Brief regering : Reactie op verzoek commissie inzake het bericht van Trouw over “Overheden negeren basale beveiligingsregels, tientallen websites gevoelig voor hacks”

Nr. 771 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 juli 2021

Tijdens de procedurevergadering van de vaste commissie voor Digitale Zaken van de
Tweede Kamer op 9 juni jl. is verzocht om een reactie op het bericht van Trouw over
«Overheden negeren basale beveiligingsregels, tientallen websites gevoelig voor hacks».
Deze brief bevat de gevraagde reactie.

Ik vind het van groot belang dat informatieveiligheid goed is geregeld en dat burgers
en inwoners veilig hun zaken kunnen doen met de digitale overheid. Het artikel van
Trouw stelt dat publieke webpagina’s, waarin je een gebruikersnaam en wachtwoord moet
invullen, de hele wereld toegang verschaffen tot de inlogpagina’s voor het beheer
van websites. Daarmee zou het de kans vergroten dat kwaadwillenden kunnen inbreken.

Kaders en richtlijnen

Voor de beveiliging van websites bij de overheid hanteren overheden bij het Rijk,
provincies, waterschappen en gemeenten een basisnormenkader voor informatiebeveiliging.
Het basisnormenkader is de Baseline Informatiebeveiliging Overheid (BIO)1, dat sinds januari 2019 van kracht is.

De BIO stelt (in deel 1) dat voorafgaand aan het gebruik van een informatiesysteem
een risicoafweging dient te worden gemaakt die vervolgens richtinggevend is voor het
treffen van beveiligingsmaatregelen. Proportionaliteit is daarbij het uitgangspunt.
Met andere woorden, gaat het om zeer vertrouwelijke informatie, dan worden andere
afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid
belangrijk is. Uiteindelijk is het resultaat dat een samenhangend pakket van maatregelen
wordt vastgesteld en toegepast. Dat is niet vrijblijvend. Over de staat van informatieveiligheid
leggen de verschillende overheidsorganen verantwoording af aan hun controlerende organen,
zoals Gemeenteraad, provinciale staten, etc.

Onderdeel van het pakket van maatregelen zijn acties die altijd moeten worden toegepast
(BIO, deel 2). Een tweetal daarvan biedt een belangrijke bijdrage aan de veiligheid
van publieke webpagina’s waarin je een gebruikersnaam en wachtwoord moet invullen.
Dat zijn het verplichte gebruik van tweefactorauthenticatie. Als dat niet aan de orde
is, dan worden eisen gesteld aan de complexiteit van de wachtwoorden. De BIO schrijft
ook voor dat (beveiligings)patches voor ernstige kwetsbaarheden in hard- en software
binnen een week moeten worden toegepast en dat in de tussentijd op basis van een expliciete
risicoafweging mitigerende maatregelen getroffen moeten worden.

Het Nationaal Cybersecurity Centrum (NCSC) publiceert regelmatig adviezen in de vorm
van richtlijnen. Specifiek met betrekking tot het bericht van Trouw is dat de richtlijn
«ICT beveiligingsrichtlijnen voor webapplicaties».2 Voor het onderdeel «operationeel beleid voor platformen en webservers» doet de richtlijn
van het NCSC de volgende aanbeveling: «Overweeg de invoering van sterke authenticatiemechanismen
voor de toegang tot systemen. Deze mechanismen kenmerken zich door het gebruik van
ten minste twee factoren voor authenticatie.» Overigens kan bovengenoemde richtlijn
van het NCSC voor de overheid worden beschouwd als een nadere detaillering van de
BIO voor het onderdeel webapplicaties.

Tot slot hanteert de overheid eveneens de Coordinated Vulnerability Disclosure (CVD)3, een leidraad van het NCSC, om de veiligheid van informatiesystemen, waaronder ook
websites, verder te stimuleren. Het doel van CVD is om bij te dragen aan de veiligheid
van ICT-systemen door kennis over kwetsbaarheden te delen. Eigenaren van ICT-systemen
kunnen dan kwetsbaarheden (laten) verhelpen vóórdat deze actief misbruikt kunnen worden
door derden.

De constateringen

Publieke webpagina’s waarin het volstaat om met een gebruikersnaam en wachtwoord in
te loggen, voldoen niet zonder meer aan de overweging uit de hierboven genoemde richtlijn
van het NCSC. Zoals eerder gemeld in deze brief, is beveiliging het resultaat van
een risico-afweging om wat voor informatie het gaat. Ook gaat het bij beveiliging
om de samenhang van getroffen maatregelen en niet om het richten op slechts één maatregel.
Dat kan betekenen dat bij een authenticatie met alleen gebruikersnaam en wachtwoord
op andere plaatsen in het systeem aanvullende maatregelen zijn getroffen (segmentering,
beperking van rechten, etc.). Welke dat zijn, zal per geval verschillen.

Dat betekent dat het NCSC dit gebruik van Wordpress op zich niet afraadt. Het is aan
overheidsorganisaties om door het treffen van de verplichte maatregelen uit de BIO
en aanvullende maatregelen, voortvloeiend uit een risicoafweging, te bepalen hoe Wordpress
veilig kan worden ingezet.

Ook meldt Trouw dat het NCSC sinds 2014 overheden 36 waarschuwingen heeft gestuurd
over veiligheidskwesties bij Wordpress. Ik heb niet het beeld dat de hoeveelheid bekende
kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen.
Er spelen ook andere factoren mee zoals de aard, omvang en frequentie van onderzoeken
naar een product.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops