Veel gemeenten negeren meldingen over beveiligingslekken. Ze reageren te traag of niet adequaat genoeg op zogenoemde Coordinated Vulnerability Disclosures (CVD-meldingen) die ethische hackers doen om het internet veiliger te maken.
Dat blijkt uit onderzoek van de Universiteit Twente en Dutch Institute for Vulnerability Disclosure (DIVD) onder gemeenten. De laatste jaren is de situatie wel verbeterd, maar er blijft nog steeds een wereld te winnen voor de gemeenten.
Koen van Hove, promovendus aan de Universiteit Twente, onderzocht de werking van CVD-procedures bij Nederlandse gemeenten. Tussen 30 augustus 2022 en 23 februari 2023 meldde Van Hove, tevens vrijwilliger bij DIVD, een beveiligingslek in veelgebruikte software bij gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten. Het ging hierbij om een beveiligingslek die het mogelijk maakt om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.
Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Bij tien gemeenten werd het beveiligingslek opgelost, maar niet teruggekoppeld aan de melder. Bij negentien gemeenten werd de melding adequaat behandeld en volgde er een reactie op de melding. 44 gemeenten reageerden niet binnen negentig dagen. Tijdens het meldingsproces stuitte de promovendus op uitdagingen, waaronder niet-functionerende formulieren en e-mailadressen, en verwarrende melding methoden.
BIO
Sinds 1 januari 2019 geldt de Baseline Informatiebeveiliging Overheid (BIO) die het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht stelt. Meer dan de helft van de 114 aangeschreven gemeenten heeft nog geen duidelijke CVD-procedure gepubliceerd of handhaaft die.
Zoals hier tot vervelens toe herhaald zijn de College’s van B&W ‘responsible’ én ‘accountable’.
De ‘Responsibility’ is doorgaans óf uitbesteed, óf in de organisatie weggedelegeerd op een hongerbudget.
De ‘Accountability’ blijft echter in volle omvang en gewicht bij het College.
Het College wordt hierop gecontroleerd door de Gemeenteraad.
Dat ontbreekt het echter doorgaans aan bewustzijn en kennis.
De Rijksoverheid is al decennia terughoudend met ingrijpen.
De Autoriteit Persoonsgegevens ontbreekt het aan capaciteit.
De VNG komt niet verder dan prettige berichten, en seminars.
Dus al de boel weer eens omvalt kan de burgemeester in ieder geval diens verwaarloosde ‘verantwoordelijkheid’ nemen door op de bres te staan, zich op de borst te slaan en te krijten over zoveel schande van een ‘cyberattack’.
–
Ook wel interessant is dat de Computable-Nieuwsbrief wordt verzonden via computable@e.jaarbeurs.nl.
Dat lijkt verder in orde te zijn, maar vreemd blijft het.
In 2016 was er ophef over het gemak van misbruik gemeentelijke e-mail domeinen en ik mag hopen dat dit door alle gemeenten opgelost is want het onderzoek van promovendus is wat magertjes. Too many chiefs and not enough indians snijdt de reactie van P.J. Westerhof meer hout als het gaat om het Excelmanagement van kruisjes in het beleggen van verantwoordelijkheden. Wat betreft legitieme gemeentelijke correspondentie is te goed van vertrouwen gewoon naïef zoals Hof van Twente leerde want de VNG komt inderdaad ook niet verder dan de papieren tijgers welke makkelijker te temmen zijn dan een operationele realiteit.
Rechtmatigheid en doelmatigheid in gemeenteland zijn twee kanten van dezelfde medaille want als vrijwilliger weet ik dat gemeenten in wel meer dingen nalatig zijn als het gaat om transparantie in het openbaar bestuur. Brede invulling van legitiem gaat tenslotte om eerlijk volgens een toetsing van een codificatie van het recht. En gemeenteraad verliest de controle als wethouders de publieke zaak met private rechtspersonen in gaan vullen, privatisering van gemeentelijke taken middels stichtingen zorgt voor de belangenverstrengelingen in het openbaar bestuur.
Gemeenteraad bestaat veelal uit goedwillende vrijwilligers met een betere onkostenvergoeding dan ik heb, bewustzijn en kennis bij bestuur van de plaatselijke sportvereniging is veelal groter door eenzijdigheid in publiek bestuurlijke vertegenwoordiging. Steekproef aangaande functies en nevenfuncties laat een bestuurlijke inteelt zien waardoor het UBO-register geen politiek draagvlak heeft. Want het excuus van capaciteit is gwoon een leugen, een moderne datasynthese aangaande relaties leert dat de waan van de dag regeert want wat is nu eigenlijk het risico?