'Tientallen websites overheid voldoen niet aan veiligheidsrichtlijnen'

Tientallen websites van de overheid voldoen niet aan de richtlijnen voor digitale beveiliging. Dat meldt Trouw op basis van eigen onderzoek. Websites van onder meer de Belastingdienst, GGD's, veiligheidsregio's en waterschappen hebben een makkelijk te vinden openbare pagina waarop een beheerder kan inloggen. Dat maakt de websites kwetsbaar voor hackers.

De richtlijnen van het Nationaal Cyber Security Centrum (NCSC) adviseren om de openbare pagina en de plek waar beheerders in kunnen loggen strikt van elkaar te scheiden. Hackers hebben methoden om net zo lang gebruikersnamen en wachtwoorden uit te proberen tot ze zichzelf toegang tot de website hebben verschaft.

Zo wisten ze vorig jaar bijvoorbeeld de systemen van de gemeente Hof van Twente te kraken, die met het zwakke wachtwoord 'Welkom2020' beveiligd waren. Het gevolg was dat de gemeentelijke dienstverlening stil kwam te liggen.

Wordpress

Alle websites die het hier betreft, maken gebruik van het content managementsysteem Wordpress. Dat is ontworpen voor bloggers en een van de meeste gebruikte systemen ter wereld. Voor veel mensen is het makkelijk te bedienen. Volgens een internetspecialist die Trouw sprak draaien 165 openbare overheidswebsites op Wordpress.

Ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, draait op Wordpress. Volgens de IBD "gaat het erom dat je de risico's onderkent en dan zoveel maatregelen neemt dat die risico's acceptabel worden". Het NCSC heeft sinds 2014 gewaarschuwd voor 36 veiligheidsrisico's van Wordpress. De instelling houdt geen toezicht op het naleven van de regels maar zegt dat een organisatie zelf de afweging moet maken of het werken met Wordpress veilig genoeg is.