Nederlandse gemeenten reageren slecht of laat op responsible-disclosuremeldingen

Nederlandse gemeenten gaan doorgaans slecht om met responsible-disclosuremeldingen. Een Nederlandse onderzoeker bekeek bij ongeveer de helft van de gemeenten wat zij deden met met beveiligingsmeldingen. De gemeenten bleken in veel gevallen te laat of inadequaat te reageren.

Het onderzoek werd gedaan door een promovendus van de Universiteit Twente die daarnaast als vrijwilliger betrokken is bij hackerscollectief DIVD, aldus een persbericht van het collectief. Koen van Hove schreef 114 Nederlandse gemeenten aan met een waarschuwing over een bekende kwetsbaarheid in 'veelgebruikte software'. Hij deed dat waar mogelijk conform het responsible-disclosurebeleid van gemeenten. Nederlandse overheidsinstellingen kunnen op hun pagina's verwijzen naar een eigen beleid, maar alle overheidsinstellingen vallen ook onder het algemene responsible-disclosurebeleid dat het Nationaal Cyber Security Centrum heeft opgesteld.

Van Hove presenteert zijn onderzoek later deze week op de ONE Conference in Den Haag. Hij benaderde 114 van de 344 Nederlandse gemeenten in de periode tussen september 2022 en maart 2023. Volgens Van Hove kreeg hij bij 44 gemeenten geen reactie binnen negentig dagen. Dat is de termijn die de Universiteit Twente aanraadt; het NCSC houdt een richtlijn van zestig dagen aan. Dat is de richtlijn waarop de organisaties adviseren te reageren op een melding. Dat kan een ontvangstbevestiging zijn en hoeft niet meteen een oplossing te zijn.

Verder zag van Hove dat er bij 49 gemeenten helemaal geen oplossing kwam voor het gemelde probleem. Tien gemeenten losten het probleem wel op, maar koppelden dat niet terug aan van Hove. 19 gemeenten reageerden wel en repareerden het probleem ook.

Van Hove ontdekte in zijn onderzoek ook dat er veel verschillen zaten in de manier waarop gemeenten met responsible disclosure omgingen. Hij zag bijvoorbeeld dat het vaak niet mogelijk was om anonieme meldingen te doen, bijvoorbeeld omdat een inlog met DigiD verplicht was. Ook werkten formulieren vaak niet of kwamen e-mails niet aan.

Update: het aantal gemeenten dat niet met een oplossing kwam, is aangepast.

Door Tijs Hofmans

Nieuwscoördinator

02-10-2023 • 16:16

46

Reacties (46)

Sorteer op:

Weergave:

Das een tijdige reactie in 61% van de gevallen (70/114). Dat is behoorlijk hoog.

Waarom is dat hoog? Vanaf mei 2023 is security.txt en het proces hierbij verplicht geworden voor sites van de overheid. We meten dat vandaag (minstens) 179 van de van de 342 gemeenten dit toepast op de hoofdsite (52%). Dat is lager dan de 61%, maar je zal maar net de goede treffen natuurlijk.

De adoptie van security.txt neemt gelukkig iedere maand toe, wat betekent dat die 61% binnenkort ruim wordt ingehaald. Dat zou het beveiligingsonderzoekers een stuk makkelijker moeten maken! Ik hoop ook dat het echt zo is, want dit (vaak onbetaalde) werk is cruciaal voor de maatschappij...

Hier is de adoptie van security.txt over tijd te zien:
Zie: https://basisbeveiliging....eb_appsecpriv_securitytxt
Ik begrijp ook echt niet waarom we van gemeentes verwachten dat ze hun complete IT zelf doen / juist aanbesteden. Geef die mensen een goede basis en ondersteun ze in de aanschaf van de rest. Ik kan prima begrijpen dat ze in Limburg niet perse kustwacht nodig hebben maar het gros van de taken kan toch beter op een gelijke wijze opgelost worden?
En dan overheidsgrootte van aanbestedingen de deur uit doen?
Dat lijkt me ook niet super werken, als je zo kijkt naar de grotere projecten.
En ga je dan ook geen monopolie maken? Nu mogen gemeenten nog zelf kiezen welke pakketten zijn nemen. Maar wordt dan van bovenaf opgelegd dat je de pakketten van Centric moet gebruiken? Of Citrix ipv VMware?

Kleine regionale samenwerkingsverbanden zijn soms ook niet mogelijk omdat gewoon de hele ideeen van gemeenten botsen met buurtgemeentes, zelfs op gebied van IT.

Ik zie dan liever dat van bovenaf opgelegd wordt dat gemeenten moeten upgraden in bepaalde tijd. De US gebruikt daar bv. de CISA lijst voor, waarbij van bovenaf wordt gezegd dat deze in bepaalde onderdelen van de overheid binnen 7, 14, of 30 dagen moet worden geimplementeerd. Geen uitzondering mogelijk.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 15:33]

"Implementeren" afdwingen lijkt me niet voldoende, dan krijg je die Hof van Twente-gevallen waar incompetentie binnen de gemeente leidt tot problemen.

Er zijn dingen die je regionaal wilt houden, maar voor email en domeinnamen moet dit mijns inziens toch wel nationaal kunnen.
Ik snap niet hoe dit jouw interpretatie is van 'geef die mensen een goede basis'. En ook niet hoe een gemeente van onder de vijfduizend inwoners verplichten veilig te computeren iets kan veranderen. Ik ben al een paar keer opnieuw begonnen met een reactie, maar ik kom er echt niet uit.
Dan moet je misschien uitleggen wat jij een goede basis vind en hoe je denkt dat dat geleverd moet worden? Want nu roep je iets zonder onderbouwing.

En waarom het verplichten iets kan veranderen? Om dat daar zware boetes op staan. Als je in de US je niet aan die regel houdt, volgen acties op hoogste management niveau. Dat gaat overigens hier in NL ook veranderen. Gemeenten gaan vallen onder de NIS2 en daar staan dezelfde boetes in, waaronder tijdelijke uit functie plaatsen van het management.
Het probleem is dat de overheid al te groot is, zelfs al op lokale basis om dit degelijk te doen. Zelfs een klein dorpje heeft al teveel systemen om mogelijk te integreren, laat staan dat ze dit kunnen op nationale of regionale basis en alle variaties doortrekken.

Er zijn teveel wetten, teveel belasting en teveel regulatie en die spreken elkaar overal tegen, zelfs binnen hetzelfde systeem. Je kunt letterlijk van een gemeente naar de andere gaan en een volledig ander antwoord krijgen over wat je mag en moet doen voor bijbouwen, en dat kun je doortrekken naar alles dat je doet onder de zon, rijden, parkeren, wonen, kamperen, jagen, boeren, dieren, zorg etc etc.

En het voorbeeldje van de kustwacht, de kustwacht voert taken uit voor defensie en waterstaat maar ook landbouw, voedselkwaliteit, klimaat etc. Een boer in Limburg kan dus wel degelijk de kustwacht aan zijn strot krijgen.
Ik vraag me ook zeer af of dat zo is. Als ik even moet gokken is er gekeken naar een publieke site die vrijwel altijd geleverd wordt door een externe partij. Zo'n melding wordt dan bij de leverancier over de schutting gegooid want de gemeente heeft geen flauw idee. Afhankelijk van de severity wordt daar door de helpdesk van de leverancier een prioriteit aan gehangen (waarschijnlijk laag) en zo duurt het een eeuwigheid voordat er een reactie komt. De leveranciers hebben de taak adequaat te reageren en de gemeenten hebben de taak om te zorgen dat er tijdig een reactie komt. Beiden lijken te falen hierin.
Hoeft ook niet door de gemeente zelf te gebeuren. Maar ik werk voor wat sites van een paar gemeentes. We krijgen af en toe meldingen binnen . Dus de gemeente stuurt ons een bericht met iets als 'een bezorgde burger meldt ons dit, knipoog'. Wij pakken het dan meestal wel zo snel mogelijk op, helemaal als er een simpele oplossing lijkt te zijn.
Ik dacht dat die 90 dagen waren om voor een oplossing te zorgen. Als het alleen maar om een ontvangsbevestiging gaat is het wel heel ruim de tijd.

Mijn persoonlijke ervaring met responsible disclosure is dat als je na 2 werkdagen nog geen reactie hebt die ook niet meer gaat komen. De echte goeden reageren typisch binnen 24 uur met een ontvangsbevestiging en hebben het probleem binnen een week (provisorisch) opgelost. Daarmee is de zaak misschien nog niet afgehandeld maar er wordt in ieder geval snel gereageerd. Uiteraard is dit niet meer dan een vuistregel waar een hoop uitzonderingen op zijn.
Ik heb recent een CVD melding gedaan bij de FG van een gemeente omdat de vorige keer dat ik een (bijna identiek) issue had gemeld via het CVD meldpunt een partner/leverancier van de gemeente me heeft lopen bedreigen met juridische stappen. Het heeft mij twee maanden gekost aan escalatie om nu een gedeelte opgelost te krijgen en het lijkt pas echt opgepikt te zijn toen ik de afdeling communicatie-afdeling benaderde met vragen over de openstaande punten een een concept-artikel ter ter review voor publicatie. Ik wordt er steeds minder geduldig mee. Ik ben dan ook heel blij met onderzoeken zoals die van Koen.
Het hangt natuurlijk wel of wat voor gewicht er aan zo'n beveiligings incident gehangen wordt.
Ook bij gemeentes (althans dat mag ik hopen) is een High-High melding wat via het NCSC binnenkomt gewoon meteen patchen/oplossen.
Althans zo gebeurt dat wel in onze organisatie (onderdeel van MinJenv)

Een exploit met een lage CVE waardering bijv 3.4 of 4 (Low) hoeft echt niet dezelfde dag gepatched / opgelost te worden. Die neem je gewoon mee in het eerst volgende onderhoudsvenster.
Wel is het zo netjes om iemand meteen te informeren als hij /zij een melding heeft gedaan. Dus de responsetijd moet gewoon binnen 2 dagen gebeuren vind ik.
Wel redelijk off-topic, maar ik ben al tijden benieuwd hoe ver je met een onderzoek mag gaan, wanneer een gemeente, school of bedrijf een responsible disclosure policy heeft.
Ik zie wel eens wat voorbij komen bij een klant, waarbij de melder eerst het inlogformulier heeft lopen brute-forcen (zien we in de logs), om vervolgens te melden dat een xss header niet goed is ingesteld en meteen een beloning eist.

Wat zijn de spelregels en hoe kan je hier goed mee omgaan?
Denk dat hier veel bedrijven mee worstelen.
Een hele technische melding wordt bij de klant waar ik zit direct doorgestuurd naar de Information Security Officer en die dan maar de IT afdeling gaat bezoeken om te horen dat het niets voorstelt.
In tussem bljjft de melder zich melden voor informatie en beloning.

Vroeger mocht je nooit zonder toestemming kwetsbaarheden zoeken en testen en nu zoeken mensen actief bij allerlei gemeentem, scholen en bedrijven naar kwetsbaarheden voor erkenning en beloningen.

In Belgie is onlangs het beleid aangepast en mag ieder bedrijf onderzocht worden

Benieuwd wat de meningen zijn hierover.
Ik zie wel eens wat voorbij komen bij een klant, waarbij de melder eerst het inlogformulier heeft lopen brute-forcen (zien we in de logs), om vervolgens te melden dat een xss header niet goed is ingesteld en meteen een beloning eist.
Hoe weet (niet vermoed!) je dat de melder ook de brute-forcer is? Een IP is geen goede vorm van identificatie daarvoor.
Wat zijn de spelregels en hoe kan je hier goed mee omgaan?
Andersom, wat heb je zelf gedaan om brute-forcing te voorkomen?

Verder bepaal je de spelregels zelf.
Vroeger mocht je nooit zonder toestemming kwetsbaarheden zoeken en testen en nu zoeken mensen actief bij allerlei gemeentem, scholen en bedrijven naar kwetsbaarheden voor erkenning en beloningen.
Als jij problemen hebt met hoe je responsible disclosure hebt ingericht, dan ligt het probleem niet bij de melders.
Mee eens, je kan heel veel qua duidelijkheid over wat een melder kan verwachten, al kun je met een te slechte methode natuurlijk sneller te maken krijgen met exploiteren dan het melden al is dat een ingewikkelde lijn.
Zoals the zep mna zegt, waarom zijn al die dingen die er gebeuren in eerste instantie mogelijk. Brute forcen? Is er geen max aantal pogingen per seconde/minuut. Is er geen captcha of modern Cloudflare turnstile beveiliging ik noem maar wat mogelijkheden.
Als je wil dat er dingen niet gebeuren dan moet je ervoor zorgen dat het niet kan gebeuren. Als jij het systeem beheert kun je precies zeggen wat er wel en niet mag. Waar je dan de lijn trekt met 'normaal' gebruik en vulnerabilities vinden dat is dan weer een lastigere keuze maar ik denk zeker niet te lastig.
Ik ben benieuwd hoeveel van de meldingen er via de informatiebeveiligingsdienst zijn verstrekt, die gemeenten ondersteunt met het oplossen hiervan. Zelf heb ik hier 10+ meldingen verricht, en deze zijn allen adequaat opgepakt door de IBD, en vervolgens ook snel opgepakt door de desbetreffende gemeenten.
Ik weet dat bij dit onderzoek de IBD ook betrokken is. Gemeenten zijn eerst door de softwareleverancier aangeschreven, daarna door de onderzoeker en vervolgens is gecontroleerd hoeveel gemeenten het probleem opgelost hebben (ongeveer de helft van de kwetsbare gemeenten). Daarna zijn de gemeenten die kwetsbaar waren en het probleem niet opgelost hadden via de IBD benaderd. Dat was vrij recent, dus ik denk niet dat dit nu al geresulteerd heeft in meer gemeenten die het issue opgelost hebben.
90 dagen om alleen maar een ontvangstbevestiging te sturen klinkt (en is?) wel echt absurd lang. Juist gemeenten, die veel persoonsgegevens verwerken, moeten veel sneller reageren.

Het moet volgens mij echt mogelijk zijn om binnen 48 uur te reageren. Dan moet iemand die verstand van zaken heeft toch wel kunnen beoordelen hoe serieus de melding is en even overleggen met de beheerder van de systemen om een eerste (risico-)analyse te doen.

Ik vind het getuigen van enorme laksheid aan de kant van de gemeenten en de overheid in het algemeen.
Wat nog veel erger is dan het niet of slecht reageren van gemeenten is dat een aantal gemeenten de gegevens van Koen en zijn familie (ouders) hebben opgevraagd uit de BRP naar aanleiding van zijn melding. Daar is echt volledig geen goede reden voor te verzinnen. Ik ben erg benieuwd wat de AP daarvan vindt.
responsible-disclosuremeldingen. Toch een fijne taal, dat Nederlands 8)7
Ik ben blij dat ik niet de enige ben. Is dit echt de officiële Nederlandse term hiervoor ? Het lijkt mij dat hier toch gewoon een fatsoenlijke NL'se term voor gevonden kan worden...
Ja, helaas. Zie deze link. Dat de overheid idiote taal gebruikt is algemeen bekend, maar dat betekent niet dat je dat klakkeloos moet overnemen... :'(

[Reactie gewijzigd door Simon Weel op 22 juli 2024 15:33]

Ongelofelijk, zullen we NL maar omdopen in de Verenigde Staten van NL dan. Ik sla nu door, laat maar :)
Waarom moet er een Nederlandse term voor komen? Ik snap nog steeds niet waarom mijn universiteit wereldwijd geaccepteerde termen zoals (database) index zo nodig moest vertalen naar verwijssleutel. Ineens moest ik twee termen voor hetzelfde iets kennen.

De Nederlandse taal zit vol met buitenlandse termen. Zou jij het handig vinden om de term KBS (korte bericht service) te gebruiken ipv SMS? E-post ipv E-mail? Internet verkenner ipv Internet Browser? Wie gebruikt tegenwoordig nog de termen slimme telefoon? Daarnaast ken en begrijpt iedereen woorden zoals capuchon, delicatesse, apres-ski, bagage, chassis, depot en douane welke uit het Frans komen. Of überhaupt, ordner, spieken, heil en zegen, zeppelin, ober, fohn en schmink welke uit het Duits komen.

Juist door wereldwijd dezelfde termen te gebruiken verhoog je juist de bekendheid van een fenomeen...
Letterlijk vertaald zo je uitkomen op 'verantwoord melden'.
Omdat de gemiddelde Nederlander geen idee heeft wat bedoelt wordt met " responsible disclosure" . Verantwoord melden komt al een stuk dichter in de buurt. Klakkeloos overnemen van buitenlandse termen vind ik heel gemakkelijk en het erodeert het gebruik van de Nederlands taal. Het is niet zo deze term zo erg veel gebruikt wordt dat deze in de dagelijkse taal zit zoals bijvoorbeeld SMS.

Maar het is vechten tegen de bierkaai. We zouden met zijn allen juist trots moeten zijn op onze eigen taal in plaats van zo maar nieuwe termen als deze in te voeren. En dit nog wel van onze overheid welke een goed voorbeeld zou moeten geven. Ik vind het gewoon jammer.
zoiets als verandwoordelijke openbaarheids stelling?
Geen idee wat "responsible-disclosuremeldingen" zijn.

Ik gok betekenisloze ambtenaren term die eigenlijk niets betekend.

[Reactie gewijzigd door MrMonkE op 22 juli 2024 15:33]

Het is een probleem dat gemeld wordt onder verantwoorde openbaarmaking beleid. Uit de link van Simon Weel:
Een responsible disclosure-beleid kan in de vorm zijn van een pagina op je website. Op deze pagina stel je een aantal regels en beloftes op. Deze regels zijn bijvoorbeeld dat de onderzoeker de kwetsbaarheid direct meldt, de kwetsbaarheid niet misbruikt, het problemen niet deelt met de buitenwereld maar eerst met de betreffende organisatie bespreekt, en dat de vinder voldoende informatie biedt om het probleem te kunnen reproduceren. Als belofte kan je aanbieden om spoedig te reageren, een oplossing te vinden voor het probleem, geen juridische stappen te ondernemen en mogelijk zelfs een beloning te bieden.
Dank je, vrij duidelijke taal.
Qua ICT loopt de gemeente hier ook gigantisch achter en er zelfs nog HP mini-pc's staan waar ik Windows 7 op zag staan, dus tja.....En ja nog steeds gaan hier veel zaken via de post terwijl bijna elke ambtenaar een e-mailadres heeft vanuit de gemeente. Resultaat is dan ook vaak dat reacties soms weken op zich laten wachten terwijl via mail dit dezelfde dag nog kan.
Dit is matig inderdaad maar zeker niet onverwachts, er zijn ook zoveel systemen waarin software wordt gebruikt die breekt bij een (mogelijke) upgrade. Ik weet niet precies op welke plekken dit wel en niet is alleen dat t veel voorkomt.
Resultaat ze blijven maar lekker bij de oude systemen zolang het werkt met resultaten voor beveiliging die niet super zijn. In het beste geval kun je natuurlijk een systeem afsluiten voor alleen niet gebruikte dingen maargoed dat gaat vaak tot op zekere hoogte maar en gaat in de meeste gevallen fout.

[Reactie gewijzigd door PaulHelper op 22 juli 2024 15:33]

Tja, kan mij nog herinneren dat een van de wethouders hoogst verbaasd ervan was dat blijkbaar systemen hier in de gemeente gehackt waren. Hij ging er dus vanuit dat alles hier met recente software werkt maar of je dan Windows 7 recent kan noemen, tja....
Als ik zie hoeveel troep er op die mailadressen binnenkomt van Indiërs die denken dat ze het beter weten in mega gebrekkig Engels in de hoop geld te vangen, dan snap ik dat er meldingen gemist worden.

Wat een idee vind is dat er een centrale meldpost komt die meldingen kan controleren en doorzetten naar gemeentes e.d. Een uitbreiding van het IBD bijvoorbeeld. Een disclosure op de site met een link en/of mailadres naar de centrale post. Deze centrale post kan dan ook verifiëren/bijhouden of het al opgelost is, gemeentes kunnen er niet meer onderuit en de centrale overheid heeft betrouwbare cijfers.
Indiërs? Interessant, maar als dat zoveel ongewenste extra meldingen geeft kun je dan niet ervoor zorgen dat bijv de ips uit Nederland/Europa moeten komen afhankelijk van je publiek. Ja er bestaan VPNs en ik weet niet de details maar ik neem aan dat je hier wel wat in kunt verbeteren als dat echt een probleem oplevert.

Op dit item kan niet meer gereageerd worden.