Ethisch hacker Koen van Hove, deeltijd promovendus op Universiteit Twente en vrijwilliger bij Dutch Institute for Vulnerability Disclosure (DIVD), werkte afgelopen jaar aan een uniek project. Koen bracht beveiligingslekken bij gemeenten in kaart en adviseerde over het oplossen ervan. Zijn werk kreeg veel media-aandacht en leidde tot vragen in de lokale politiek. Koen blikt terug op deze bijzondere periode.
Allereerst naar het onderzoek van Koen. ‘Veel gemeenten reageren traag of niet adequaat op meldingen over beveiligingslekken’, legt hij uit, ‘de zogeheten Coordinated Vulnerability Disclosures (CVD-meldingen). Deze worden vaak gedaan door ethisch hackers zoals ikzelf, die zo het internet veiliger willen maken. Dit proces is de laatste jaren wel verbeterd, maar er blijft nog steeds een wereld te winnen voor de gemeenten. We namen daarom 114 Nederlandse gemeenten onder de loep.’
Optimisme
Tussen 30 augustus 2022 en 23 februari 2023 meldde Koen een beveiligingslek in veelgebruikte software bij gemeenten. Waar dat kon, maakte hij gebruik van de CVD-procedure op de website van de gemeenten. In totaal nam hij contact op met 114 Nederlandse gemeenten.
Het ging hierbij om een beveiligingslek die het mogelijk maakte om via door gemeenten gebruikte infrastructuur e-mails te versturen die niet te onderscheiden zijn van legitieme gemeentelijke correspondentie.
Er werd van 89 gemeenten bijgehouden of het probleem werd opgelost. Van deze 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen, de standaard termijn. Bij 49 van de reagerende gemeenten bleek het probleem niet opgelost te zijn. Bij 10 gemeenten werd het beveiligingslek opgelost, maar dit werd niet teruggekoppeld aan de melder. Koen: ‘Toch is er reden voor optimisme, want er waren wel degelijk gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en werd er ook gereageerd op de melding.’
Uitdagingen
Volgens Koen waren er tijdens het meldingsproces uitdagingen. ‘Denk aan niet-functionerende formulieren en e-mailadressen, en verwarrende meldmethoden. Opvallend was ook dat veel meldingsformulieren alleen toegankelijk waren na een inlog via DigiD. Dat maakt anonieme melding onmogelijk. Daarnaast viel ook op dat bij 11 van de 114 een geautomatiseerd proces startte na de melding. Hierbij werden persoonsgegevens zoals geboortedatum, huwelijksdatum, financiële staat, verblijfsvergunning van zowel de melder als partner, ouders en kinderen, opgevraagd. Dit gebeurde zonder dat de verantwoordelijken bij de gemeenten hiervan op de hoogte waren.’
Verplichte openbaring
Op 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Het onderzoek wijst uit dat er ruimte is voor verbetering, aangezien meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft.
Het belang van meldingen via het CVD- systeem voor gemeenten is evident, zoals geïllustreerd in 2020 tijdens een ransomware-aanval op gemeente Hof van Twente. ‘Vrijwilligers die deze meldingen doen, zijn niet wettelijk verplicht dit te melden, maar zetten zich in vanwege hun bewustzijn van de betekenis ervan’, vertelt Koen. ‘Daarom is het cruciaal om de drempel voor het doen van deze meldingen zo laag mogelijk te maken. Dit kan worden bereikt door een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites te publiceren, bij voorkeur ook anoniem en zonder onnodige persoonsgegevens op te vragen.’
Brandjes
Nu de ‘storm’ rondom zijn opzienbarende onderzoek enigszins is gaan liggen, blikt Koen terug op de resultaten en het proces. ‘Ethische hackers als ikzelf zijn goedwillende mensen die het internet veilig willen houden’, zegt hij. ‘Binnen het DIVD proberen we met 150 man bestaande beveiligingslekken in software op te lossen. Ik zie ons als de vrijwillige brandweer. We gaan op zoek naar een brandje en proberen het te blussen. Daarbij is het zo dat grote bedrijven mogelijkheden hebben om mensen aan te stellen voor cyberveiligheid, maar de bakker op de hoek niet. Ook kleine ondernemers willen we helpen.’
Mediahype
De media-aandacht die zijn onderzoek teweegbracht, was volgens Koen best overweldigend. ‘NOS, Tweakers, Binnenlands Bestuur… Ook de IBD, dat is de informatiebeveiligingsdienst van de Nederlandse gemeenten, deed er een persbericht over uit. Ik werd door hen bovendien gevraagd om een webinar hierover te houden voor 120 gemeenteambtenaren. De aandacht was vrij groot en ook daar deed ik het voor.’
Uiteindelijk was de aandacht zelf niet het doel voor Koen. Hij hoopt vooral dat de situatie verbetert. De eerste stappen lijken gezet. ‘In een aantal gemeenteraden zijn vragen gesteld aan de wethouder over mijn onderzoek. Dat was in ieder geval in Utrecht, Hilversum en Wijchen het geval. Ook hebben Amsterdam en Utrecht mijn werk meegenomen in de evaluatie van hun beleid. Van andere gemeenten, bijvoorbeeld Noordwijk, weet ik dat ze de NOS-berichtgeving zagen en ons lieten weten hier werk van te maken. Het is al met al erg fijn dat dit nu in de belangstelling staat. Een onderzoek doen is één, maar dat er iets mee wordt gedaan is twee. Je wilt niet dat het in een lade belandt. Ik geloof erin dat er beleidsaanpassingen volgen en dat de 342 gemeenten in Nederland dit beter afstemmen. Op die manier houden we online Nederland een stukje veiliger.’ \
