Beveiliging in de schijnwerpers

Bron: Ernst & Young

Het tweede halfjaar van 2011 stond in het teken van grote incidenten op het gebied van informatiebeveiliging bij de overheid. Veel aandacht was er voor het niet goed functioneren van het DigiD beveiligingsmecha­ nisme. De incidenten werden gevolgd door de problemen rondom Diginotar, waarna de maand oktober in het teken stond van de ‘Lektober’ campagne van Webwereld. Tijdens deze campagne werden dagelijks nieuwe lekken in webapplicaties van de overheid bekend gemaakt. Dat leidde er onder andere toe dat menigeen met enige technische kennis zich stortte op het ongevraagd ‘hacken’ van webapplicaties om eventuele kwetsbaarheden publiekelijk bekend te maken. Dit alles onder de noemer van het leveren van een bijdrage aan ‘de goede zaak’.

De geïntensiveerde aandacht voor het onderwerp heeft er ook toe geleid dat veel overheidsinstanties (aangespoord door de toenmalige minister van Binnenlandse Zaken en Koninkrijksrelaties Donner) moge­ lijke problemen vóór wilden zijn en zelf een beveiligingsonderzoek hebben laten uitvoe­ ren. Ernst & Young heeft dergelijke onder­ zoeken vanuit de Advisory­praktijk uitge­ voerd voor een groot aantal gemeenten en andere overheidsinstanties (zowel klein, middelgroot als groot). Dat dit geen overbo­ dige luxe was, blijkt uit het feit dat wij in 80% van de gevallen dusdanig kritieke kwets­ baarheden hebben geïdentificeerd die met gemak binnen ‘Lektober’ hadden gepast.

Structurele missers

De geïdentificeerde kwetsbaarheden waren te herleiden tot een viertal structurele mis­ sers op het gebied van beveiliging, namelijk:

Misser 1 – Verouderde technologie

Veel van de onderzochte websites waren sterk verouderd of draaiden op een verou­ derde IT­infrastructuur. Het was geen uit­ zondering dat wij systemen van meer dan tien jaar oud aantroffen die al meerdere jaren niet werden onderhouden. Het betrof hier zowel de primaire webapplicatie als andere systemen in dezelfde infrastructuur.

Misser 2 – Prijs boven kwaliteit

Doordat in veel gevallen de prijs het belang­ rijkste selectiecriterium voor een webappli­ catie was, constateerden wij dat leveran­ ciers weinig gemotiveerd waren om proactief met beveiliging om te gaan. Daarnaast merkten wij op dat overheidsin­ stanties vaak slechts in zeer beperkte mate eisen stellen aan de door leveranciers te leveren beveiliging. Het resultaat was dat veel opgeleverde websites kritieke kwets­ baarheden bevatten, waarbij de leverancier achteraf moest worden betaald om deze op te lossen. Goedkoop bleek dan duurkoop.

Misser 3 –Te grote diversiteit

Omdat gemeenten hebben gekozen voor de goedkoopste partij worden zij nu

geconfronteerd met een grote diversiteit aan applicaties en platformen bij diverse leveranciers. Zelfs bij de kleinere gemeen­ ten zijn vaak vele hosting­, beheer­ en ont­ wikkelpartijen betrokken. Deze wildgroei is moeilijk te beheersen waardoor de aandacht al snel op functionele aspecten komt en beveiliging naar de achtergrond verdwijnt.

Misser 4 –Onvoldoende kennis

Een laatste trend is dat binnen veel over­heidsinstanties onvoldoende kennis van informatiebeveiliging is en dat medewerkers onvoldoende werden gestimuleerd om écht met beveiliging aan de slag te gaan. Gevolg: de aandacht bleef beperkt tot infrastructu­ rele beveiliging (lees: de firewall). Ondertussen belandden persoonsgegevens in slecht beveiligde databases, wachtwoor­ den werden niet versleuteld opgeslagen en detectie van beveiligingsincidenten was al helemaal een brug te ver.

Download Beveiliging in de schijnwerpers