Nieuws

‘Tientallen overheidswebsites zijn onvoldoende beschermd tegen hackers’

Tientallen websites van de overheid zijn niet goed beveiligd. Ze bieden de buitenwereld toegang tot de inlogpagina’s voor het beheer ervan, waardoor ze een gemakkelijker doelwit zijn voor kwaadwillenden, meldt Trouw op basis van eigen onderzoek. Het Nationaal Cyber Security Centrum (NCSC) adviseert om dergelijke inlogpagina’s juist niet publiek toegankelijk te maken.

De handen van een Russische hacker van de groep Red Hacker Alliance. De gefotografeerde persoon komt niet in dit stuk voor. Beeld AFP
De handen van een Russische hacker van de groep Red Hacker Alliance. De gefotografeerde persoon komt niet in dit stuk voor.Beeld AFP

Naast allerlei websites van de Rijksoverheid gaat het om een tiental gemeenten, vijf veiligheidsregio’s, vier regionale GGD’s, acht omgevingsdiensten en enkele waterschappen.

Zij bieden volgens de krant een publieke webpagina aan, die kan worden beheerd door op een makkelijk te vinden pagina een gebruikersnaam en wachtwoord in te vullen. Hackers kunnen vervolgens van technische middelen gebruikmaken om een gebruikersnaam te achterhalen en geautomatiseerd wachtwoorden uit te proberen, totdat ze beethebben. Als zo’n poging wordt opgemerkt moet de beheerder van de site razendsnel een software-update installeren om de hackers buiten de deur te houden.

Op zo'n manier kwamen hackers eind vorig jaar bij de Overijsselse gemeente Hof van Twente binnen. Daar werden de systemen beheerd vanaf het account ‘testadmin’, dat als wachtwoord ‘Welkom2020' had. De schade van de hack liep in de miljoenen euro’s.

Volgens de krant zijn de kwetsbare websites allemaal gemaakt met het populaire softwarepakket WordPress, waarvan een openbaar inlogscherm een bekend veiligheidsrisico is. De NCSC heeft sinds 2014 voor 36 ernstige veiligheidsproblemen in WordPress gewaarschuwd.

Van de 1148 websites van de Rijksoverheid die hij op afstand kan uitlezen, gebruiken er 165 WordPress, meldt internetspecialist Jules Ernst aan Trouw. Ernst onderzoekt van welke software overheden gebruikmaken. De afhankelijkheid van Wordpress hangt mogelijk samen met de manier waarop de websites in kwestie tot stand komen: overheden schakelen vaak externe ict-bedrijven of communicatiebureau's in om websites te bouwen. Zij gebruiken graag Wordpress, aldus Ernst.

De regels schrijven voor dat overheden bij alle ICT nadenken over beveiliging en voor de veiligste optie kiezen, maar dat gebeurt in deze gevallen niet. NCSC bevestigt aan de krant dat websites waarbij buitenstaanders kunnen proberen in te loggen als beheerder, niet aan de richtlijnen voldoen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden