Ethische hackers hebben tal van zwakke plekken in de security-aanpak van tientallen Vlaamse steden en gemeenten aan het licht gebracht. Vaak gaat het om onzorgvuldige processen.
Om het hoofd te bieden aan security-dreigingen besloot de Vlaamse Overheid in het voorjaar van 2020 om 2,18 miljoen euro te investeren in de cyberveiligheid van lokale besturen. Onder de noemer Project Cyberveilige Gemeenten werden, in samenwerking met Audit Vlaanderen en het Agentschap Binnenlands Bestuur, diverse acties uitgewerkt die lokale besturen in staat moeten stellen om de veiligheid van hun it-systemen op te krikken.
Als aanvulling op de ict-veiligheidsaudits met cofinanciering via Audit Vlaanderen is ook gekeken naar een mogelijke samenwerking met ethische hackers. Zo werd in samenwerking met Howest het programma Traject Ethisch Hacken opgestart, waarbij derdejaarsstudenten toegepaste informatica de cyberveiligheid van lokale besturen kosteloos onder de loep namen. In totaal meldden zich een veertigtal steden en gemeenten aan voor dit traject.
De pijn- en verbeterpunten
De analyse ervan, op basis van de bevindingen bij deze gemeenten, is nu afgerond. Het toont deze pijn- en verbeterpunten aan voor steden en gemeenten:
- Actualisatie van systemen en toepassingen. Het is, volgens de onderzoeker, van belang om een geformaliseerd patchingproces te hebben waar de frequentie en verantwoordelijkheden vastgelegd worden.
- Zwakke wachtwoorden is ook een klassiek aandachtspunt, blijkt uit de analyse. ‘Vaak wordt na installatie vergeten om standaardinstellingen, en dus ook wachtwoorden, aan te passen howel deze makkelijk zijn te raden, zoals een login met ‘admin’ als wachtwoord. Ook zwakke wachtwoorden van gebruikers maken het eenvoudiger voor hackers om toegang te verkrijgen met geautomatiseerde technieken.’
- Toegangen en rechten: het is aangewezen om toegangs- en gebruiksrechten voor gebruikers te beperken tot het strikt noodzakelijke.
- Technische beschermingsmaatregelen als versleuteling en netwerksegmentatie hebben een positieve impact op de veiligheid van de ict-omgeving. ‘Versleuteling zorgt ervoor dat communicatie en gegevens niet onderschept kunnen worden, terwijl netwerksegmentatie voorkomt dat besmettingen het volledige netwerk kunnen impacteren.’
- Sensibilisering is nodig. ‘Phishing-aanvallen waarbij gebruikers verleid worden op een link te klikken en/of hun gebruikersgegevens in te vullen, vormen een reële dreiging voor lokale besturen’, luidt de analyse. Om het risico te beperken is het, volgens de onderzoekers, belangrijk om in te zetten op manuele of automatische filtering en de nodige sensibilisering. ‘Want het gedrag van medewerkers is een belangrijke bouwsteen om netwerken, systemen en applicaties veilig te houden.’
- Continuïteit en herstel. In geval van cybercriminaliteit is het cruciaal dat de nodige continuïteitsmaatregelen getroffen worden om de dienstverlening waar mogelijk operationeel te houden en de werking te herstellen.
- En ten slotte zijn er ook aanbevelingen rond de leveranciersrelaties. Zo werken lokale besturen vaak samen met externe toeleveranciers voor het aanleveren en veilig houden van it-systemen en toepassingen. ‘Een vergaande samenwerking kan een positieve zaak zijn, maar het is daarbij cruciaal dat er duidelijke afspraken zijn voor taken en verantwoordelijkheden en dat deze ook opgevolgd worden.’