Softwareversies van gemeentelijke websystemen in kaart gebracht
Kwetsbaarheden in gemeentelijke software
DongIT heeft door middel van een script, waarmee een aantal open source tools zijn gekoppeld, zijn zo veel mogelijk softwareversies van websystemen van alle gemeenten in kaart gebracht. Van alle softwareversies die gedetecteerd werden zijn de kwetsbaarheden en bijbehorende impact rating opgezocht.
Wanneer het aantal up-to-date of niet-kwetsbare systemen wordt afgezet tegen het aantal systemen met een kritische en hoge impact rating, kan geconcludeerd worden dat na alle ophef door Lektober in 2011, nog steeds veel oude software in gebruik is. Deze kritische/hoge kwetsbaarheden treffen zowel grote als kleine gemeenten. Bij een aantal softwarepakketten zoals Drupal, Joomla, phpMyAdmin, Apache en PHP zijn zelfs (bijna) louter kwetsbare softwareversies aangetroffen. 24% van alle gedetecteerde gemeentelijke systemen kan mogelijk beïnvloed worden door de kwetsbaarheden met een hoge of kritische impact rating. De verouderde software op deze systemen kan relatief eenvoudig misbruikt worden door kwaadwillenden.
Het onderzoek toont aan dat de huidige inspanningen om gemeentelijke systemen te beveiligen nog niet afdoende effect hebben gehad. Men dient continu bewust te zijn van welke systemen aanwezig zijn en welke publiek toegankelijk dienen te zijn. Systemen die niet-publiek toegankelijk hoeven te zijn, dienen afgeschermd te worden. Vervolgens dient er focus te liggen op het up-to-date houden van systemen. In het document "ICT-beveiligingsrichtlijnen voor Webapplicaties" van het Nationaal Cyber Security Centrum staat helder omschreven hoe het updateproces dient plaats te vinden. Door eenzelfde onderzoek hierna periodiek uit te voeren kan onderzocht worden hoe effectief gevoerd beleid is.
Het volledige rapport en geschreven artikel in InGovernment zijn hieronder te downloaden:
