Over de veiligheid van de Biltse website

Met dank overgenomen van A.M.C. (Anne-Marie) Mineur i, gepubliceerd op vrijdag 21 oktober 2011, 20:02.

De SP zal tijdens de raadsvergadering van donderdag 27 oktober nog niet uitgebreid ingaan op de veiligheid van de gemeentelijke website, www.debilt.nl. We wachten de resultaten af van de audit die de gemeente nu gaat doen. De SP heeft nog een aantal vragen die beantwoord moeten worden, voor de fractie kan beoordelen of de website weer veilig is. In dit bericht wil ik op een rijtje zetten welke vragen dat nog zijn.

Op zaterdag 8 oktober opende het NOS-achtuurjournaal met het bericht van Geen Stijl en Webwereld dat er ingebroken was bij 50 gemeentelijke websites. In dat rijtje stond ook www.debilt.nl. De website van Geen Stijl had een screendump van de website van Bergambacht, waar een backup van de Biltse website te zien was. Geen Stijl en Webwereld meldden verder dat er op de 50 websites allerlei informatie online stond: namen en adressen van medewerkers en politieagenten, maar ook complete DigID-sessies. Op dat laatste kom ik verderop in dit bericht terug.

Wij hebben direct contact opgenomen met de gemeente, en erop aangedrongen dat de website offline gehaald zou worden. Tegen half tien gebeurde dat, en nog diezelfde avond kwam de site weer online. Ondertussen zijn we zelf ook op onderzoek uitgegaan. De bewering van Geen Stijl dat veel van de gemeentelijke websites nog draaiden onder Windows 2000, werd voor De Bilt onderbouwd door NetCraft. Tot 8 oktober had NetCraft Windows 2000 aangetroffen, sinds die datum Windows 2008. Daarnaast lazen we op Webwereld dat deze zoektocht naar lekkende websites al veel eerder was aangekondigd, en dat de gemeente dus gewaarschuwd was. Dat wringde naar ons idee. Er waren vier punten die bij ons vragen opwierpen.

  • De screendump van het archief van de website;
  • De beweringen op Geen Stijl en Webwereld;
  • De resultaten van NetCraft;
  • Het feit dat er blijkbaar niets gebeurd was met de brief van de VNG.

Wij vonden deze signalen behoorlijk verontrustend. Op zondagavond ging dan ook de eerste set schriftelijke vragen van de SP de deur uit.

Op maandag 10 oktober kreeg de gemeenteraad van het college een brief n.a.v. beveiliging gemeentelijke website, waarin gemeld werd dat “voor onze website gebruik wordt gemaakt van de modernste technieken”, en dat er van een lek dan ook geen sprake was. Dat klopte helemaal niet met onze waarnemingen. De antwoorden die we op 11 oktober van het college kregen, hielpen daar ook niet bij. “Gaat u maar rustig slapen, wij houden de wacht”, lazen wij tussen de regels door. Dat vonden we wel erg gemakkelijk gesteld.

We gingen verder op onderzoek uit, en namen contact op met de journalist van Webwereld, Brenno de Winter. Die meldde ons dat er in De Bilt nog een extra probleem geconstateerd was. Hij was geïnformeerd door een hacker dat port 3389 openstond. Een webserver heeft heel veel toegangsmogelijkheden, die je het beste kunt vergelijken met een lange gang met deuren. Sommige deuren staan wijd open, bijvoorbeeld voor de website. Die bestanden kan iedereen bekijken maar niemand veranderen. Andere deuren zijn zichtbaar, maar wel op slot. En voor nog weer andere deuren is een rolluik neergelaten. Die zijn afgesloten voor de buitenwereld. Port 3389 was dus zichtbaar. Port 3389 is het zijdeurtje waardoor systeembeheerders binnen kunnen om bijvoorbeeld van huis uit de computer te kunnen beheren. Reuze handig, maar ook erg gevoelig voor virussen en voor inbraak.

Dit bevestigde ons in onze opvatting dat het echt niet pluis was. Het idee dat je met een uurtje rondneuzen al bepaald zou kunnen hebben dat de website wel veilig was, werd steeds ongeloofwaardiger. Op zondag 16 oktober stelden we een tweede reeks vragen. We vroegen daarin om toegang tot de backups van de website, zodat we zelf onderzoek zouden kunnen laten doen.

Tegelijk publiceerde Brenno de Winter een artikel op Webwereld waarin hij onthulde dat er ook een niet openbaar bestand opgedoken was: “een kleine database met inloggegevens van webcorrespondenten uit de gemeentelijke organisatie”. Het beeld werd er niet beter op, dat moest ook de woordvoerder van de gemeente wel erkennen. En ook Logius, het bedrijfje dat DigID beheert namens de Rijksoverheid, zag genoeg reden om de DigID-toestemming voor De Bilt tijdelijk in te trekken.

Op 18 oktober kwamen de antwoorden op onze vragen. De gemeente weigerde om mee te werken aan het externe onderzoek waar de SP om gevraagd had. Ondertussen gaf zij wel toe dat er eigenlijk nauwelijks onderzoek gedaan was naar de veiligheid van de website, en dat zij daar zonder audit eigenlijk geen uitspraken over kon doen. Voor een audit had zij inmiddels wel opdracht gegeven. Wat ons betreft is dat pure winst, en te danken aan ons doorvragen. Webwereld publiceerde op 20 oktober een artikel over de antwoorden van de gemeente.

Daarna gebeurden er twee dingen. Ten eerste vroeg ik inzage in het contract dat de gemeente had gesloten met zijn nieuwe provider. Ik wilde weten hoe waarschijnlijk het was dat de website nog op Windows 2000 draaide. Het contract met de nieuwe provider bleek op 4 juni 2010 getekend te zijn. Het was niet erg waarschijnlijk dat de nieuwe provider tot 8 oktober 2011 niets zou doen met de website. En uit de lijst met veelgestelde vragen van NetCraft blijkt dat lang niet elke website regematig onderzocht wordt. Pas als er een expliciet verzoek komt, wordt de website onderzocht. Dat zou heel goed ons verzoek geweest kunnen zijn. Wij concluderen daaruit dat er een logische verklaring is voor de resultaten van NetCraft, en we nemen aan dat de nieuwe website niet meer op Windows 2000 draait. Of de oude site nog wel in de lucht was, kunnen we zonder audit of eigen onderzoek niet nagaan.

Het tweede wat er gebeurde, was dat ik werd uitgenodigd door de burgemeester om te komen praten. Hij wilde voorkomen dat er ruis op de lijn kwam, en hij wilde duidelijkheid over waar de discussiepunten nog lagen. Ik heb eerder gesprekken met hem gehad over de politieke gebeurtenissen, en ik ken hem niet anders dan zakelijk en correct. Dus vanochtend ben ik wezen praten met hem en met twee ambtenaren.

Ik heb duidelijk gemaakt dat ik me vooral zorgen maak over de uitwisseling van persoonlijke gegevens. Brenno de Winter schreef ook daarover een nuttig artikel waarin hij de wettelijk rol van de gemeente uiteenzet met betrekking tot de bescherming van persoonsgegevens. Hij citeert Aline Klingenberg, universitair docent bestuursrecht aan de Rijksuniversiteit Groningen: “in art. 2:14, derde lid van de Algemene wet bestuursrecht staat dat als een bestuursorgaan een bericht elektronisch verzendt, het bestuursorgaan ervoor moet zorgen dat dit op een voldoende betrouwbare en vertrouwelijke manier gebeuren moet”. Met een twijfelachtige website en een twijfelachtig DigID kun je je ernstig afvragen of De Bilt dat op dit moment kan.

DigID is behoorlijk goed beveiligd, maar het heeft twee rare eigenschappen. Ten eerste is het mogelijk om met jouw DigID de belastingaangifte van een ander te doen. Daar kijkt DigID niet naar. Het is alsof je gefouilleerd wordt, en dan een backstagepas krijgt waarmee je je gang kunt gaan. Zoals de meeste fans alleen maar een handtekening willen van hun idool, willen de meeste DigID-gebruikers alleen maar belastingaangifte doen, maar hackers hebben nogal eens andere plannen. Het tweede gekke ding is, dat zo’n DigID-backstagepas nog een poosje geldig blijft, ook als jij allang uitgelogd bent. Als een hacker is binnengedrongen op de website, en hij vindt open DigID-sessies — geldige backstagepassen — dan kan hij zijn gang gaan. En met de verhalen over de flaters van DigiNotar van begin september nog vers in ons geheugen, moeten we zeggen dat dit niet alleen maar theoretische gevaren zijn: er was een Iraanse hacker bezig om forse identiteitsfraude te plegen. Dat er in het lijstje met mislukte aanvallen van de afgelopen dagen ook een poging vanuit Islamabad is gedaan, onderstreept dat alleen maar.

We hebben dus te maken met een website waarvan we niet weten hoe veilig hij is, en die toegang geeft tot DigID-informatie die op zijn minst gevoelig is voor misbruik. Hiermee kan de gemeente niet garanderen dat het verzenden van informatie op een “voldoende betrouwbare en vertrouwelijke manier” gebeurt.

SP De Bilt wacht dus af wat de uitkomsten zijn van de audit die is aangevraagd. Naar verwachting zullen die binnen enkele weken bekend gemaakt worden, dus na de raadsvergadering van donderdag 27 oktober. Wat ons betreft moet die audit antwoord geven op de volgende vragen:

  • Welke informatie had er door derden aangetroffen kunnen zijn? Met andere woorden: hoe veilig of onveilig was de website?
  • Welke informatie is er door derden aangetroffen op de website van De Bilt? Met andere woorden: welke schade is er daadwerkelijk aangericht?
  • Hoe veilig is de website nu, en zijn de maatregelen die de gemeente neemt, voldoende om de veiligheid voor de toekomst te garanderen?

Als de audit naar ons idee niet voldoende antwoord geeft op deze vragen, dan zullen wij nogmaals, met een beroep op de Wet Openbaarheid Bestuur (WOB), de backup-bestanden van de website op 8 oktober opvragen, en zelfstandig onderzoek laten doen.

De eerstvolgende gelegenheid om te debatteren over dit onderwerp, is de raadsvergadering van 24 november.