Zowat een vijfde van de Belgische websites, eigendom van een overheid of bedrijf, is kwetsbaar voor een cyberaanval. Vooral de overheid blijkt het zorgenkindje.
De websites van de overheden lopen het grootste risico: hackers kunnen bij ruim een kwart van de overheidswebsites, zoals gemeenten en lokale politiediensten, illegaal de website aanpassen, zich eventueel toegang verlenen tot financiële stromen of zelfs privé-data stelen.
Dat blijkt uit een studie van advieskantoor BDO bij ruim 15.000 websites in ons land. Die websites werden gescreend aan de hand van 21 automatische, niet-intrusieve testen onderverdeeld in 4 categorieën (connectie, configuratie, management en security). De eerste categorie focuste zich op de veiligheid van de gebruiker op de website. De tweede ging na in welke mate de website gevoelige, technische informatie prijsgeeft. De derde categorie testte of er bepaalde poorten naar de management interface open staan en de laatste categorie richtte zich op een aantal beveiligingsinstellingen zoals hoe de mailserver omgaat met e-mail spoofing.
Signaal
‘Dat veel bedrijfs- en overheidswebsites slecht beveiligd zijn, maakt me ongerust’, bekent Nic Huysmans, manager cybersecurity bij BDO, die dit als een signaal ziet. ‘De veiligheid van een website geeft aan hoe het is gesteld met de it-beveiliging van de volledige organisatie. Als de website makkelijk te kapen is, kan dit erop wijzen dat ook de rest van de it-omgeving van de organisatie slecht beveiligd is.’
De studie wijst uit dat de publieke sector de slechtste leerling van de klas is. Een derde van de gemeentelijke websites en lokale politiezones schiet tekort voor één of meerdere hoog-risicotesten. Terwijl het Belgische gemiddelde nog geen twintig procent is.
Oude technologie als boosdoener
De energiesector komt als best uit de test, maar ook daar lopen nog altijd een kleine tien procent van de actoren een groot risico op een cyberaanval. Naast overheidssites loopt de zorgsector in de kijker voor hacking: een vijfde van de websites in de zorg blijken onveilig. ‘Eén op de vijf websites van onze ziekenhuizen, huisartsenpraktijken en woonzorgcentra lopen een hoog risico. Dat moet absoluut beter’, vindt Huysmans.
Als we kijken naar waarom de websites van bedrijven en overheidsinstellingen in België zo eenvoudig te hacken zijn, ziet Huysmans de grote boosdoener in verouderde technologieën. Dat gaat van onbeveiligde ftp-protocollen tot het blijven gebruiken van een onbeveiligd http-adres.
Wachtwoorden als aandachtspunt
Al gaat het bij security in veel gevallen ook om onachtzaamheid, vindt Jan Guldentops, die als securityspecialist bij BA regelmatig in contact komt met overheden. ‘Zo leerde ik vorige week nog dat een belangrijke softwareleverancier voor lokale overheid na twintig jaar, en tientallen waarschuwingen, nog altijd applicaties vol persoonsgegevens draaien met overal hetzelfde, op een oude calculator gebaseerde, root-wachtwoord’, stelt hij vast, om die boodschap vervolgens via sociale media te verspreiden.
Al wil Guldentops ook nuanceren. ‘Ik ben niet overtuigd of het in de privésector altijd beter is gesteld qua beveiliging. En er zijn overheidsinstellingen die wel goed bezig zijn.’
