Hackers: 'Veel gemeenten reageren niet adequaat op veiligheidslekken'

Gemeenten reageren niet snel of adequaat genoeg op meldingen over beveiligingslekken. Dat blijkt uit onderzoek van de Universiteit Twente en de vrijwilligersorganisatie van 'ethische hackers', het Dutch Institute for Vulnerability Disclosure. Het DIVD informeert bedrijven en overheden over kwetsbare systemen.

Om beveiligingsproblemen bij de overheid te verhelpen kunnen experts een zogeheten CVD-melding doen via de website van een gemeente, zo is het idee. Maar dat systeem werkt lang niet altijd even goed.

Koen van Hove deed als ingenieur en onderzoeker bij DIVD onderzoek naar die CVD-procedures, uit nieuwsgierigheid naar de alertheid van Nederlandse gemeenten. Van augustus 2022 tot februari 2023 maakte hij melding van een beveiligingslek bij 114 gemeenten, als gevolg van het gebruik van door gemeenten veel gebruikte software.

Anoniem niet mogelijk

Ruim de helft van de gemeenten bleek geen duidelijke CVD-procedure te hebben, 44 gemeenten reageerden niet binnen drie maanden. Ook werkten invulformulieren of e-mailadressen niet altijd. Daarnaast kon vaak alleen melding worden gemaakt na inloggen via DigiD, waardoor een beveiligingslek anoniem aankaarten onmogelijk werd gemaakt.

Bij elf gemeenten moesten melders uitgebreide persoonsgegevens aanleveren, zoals geboortedatum, gegevens van familie of een verblijfsvergunning. De gemeenten bleken daarvan niet op de hoogte.

Reden voor optimisme

Bij tien aangeschreven gemeenten werd het beveiligingslek wel opgelost, maar kreeg de melder dit niet te horen.

DIVD roept gemeenten op de drempel voor beveiligingsmeldingen te verlagen door een duidelijke procedure op de gemeentewebsites te zetten, met de optie om ook anoniem melding te kunnen maken.

Volgens DIVD is er ook reden voor optimisme: negentien gemeenten reageerden wel op tijd en handelden de melding goed af.