Overheidswebsites voldoen nog te vaak niet aan de veiligheidseisen van het NCSC. Het gaat volgens onderzoek van Trouw om tientallen overheidwebsites, waaronder die van de Rijksoverheid, enkele tientallen gemeenten, vijf veiligheidsregio’s, vier regionale GGD’s, acht omgevingsdiensten en een aantal waterschappen. Het gaat om sites gemaakt met WordPress.
Grootste probleem is dat je op deze sites via een publieke webpagina moet inloggen voor beheer van de site. Omdat dit soort pagina’s makkelijk is te vinden is het voor hackers ook eenvoudig om gebruikersnaam en wachtwoord te achterhalen. Sinds 2014 dingt het Nationaal Cyber Security Centrum (NCSC) al aan dat dit soort inlogpagina’s juist niet publiek toegankelijk moeten zijn vanwege de veiligheidsrisico’s. Maar het gebeurt dus nog steeds en op vrij grote schaal.
Welkom2020
Precies op die manier kregen hackers in december vorig jaar toegang tot de gemeente Hof van Twente. Dat kon eenvoudig via een publiek toegankelijke webpagina waar je kon binnenkomen met het account ’testadmin’, en het wachtwoord ‘Welkom2020’. Wat volgde was een grote ransomware-aanval die begon met de boodschap: Hello, need data back? Contact us fast.”
Een rapport van het NFIR in opdracht van de gemeente en een duidingsrapportage over de hack van security-expert Brenno de Winter maken gehakt van het securitybeleid van de gemeente. De gemeente was in eerste instantie verrast door de hack en bleek, volgens de onderzoekers, te goed van vertrouwen. De makkelijk te benaderen inlogpagina en het eenvoudige wachtwoord deden de rest. De schade liep voor de gemeente uiteindelijk op tot enkele miljoenen, die nog bovenop de schade komen van de openbaar gemaakte persoonsgegevens.
Het is overigens niet per definitie zo dat openbare inlogpagina’s onveilig zijn. Met middelen als tweetrapsauthenticatie kun je bijvoorbeeld extra beveiliging inbouwen. Uit het onderzoek van de krant wordt nog niet duidelijk welke van de onderzochte sites dit heeft ingebouwd. In totaal zijn er 1.148 websites van de Rijksoverheid. Daarvan werken 165 met WordPress.
Lees ook:
- Wachtwoord Welkom2020 veroorzaakte hack Hof van Twente
- Softwarepakketleverancier: van onderhoud naar innovatie
