Een groot deel van de websites waar gemeenten verantwoordelijk zijn voor het onderhoud en de beveiliging, verkeert in slechte staat. Bijna driekwart van de tienduizenden websites voldoet niet aan de verplichte beveiligingsstandaarden die gelden voor overheidsorganen. Het gaat vaak om websites die zijn ‘vergeten’ door gemeenten, zoals sites voor begrotingen, evenementen en samenwerkingsverbanden.
Dat blijkt uit cijfers van Digital Insights Platform, zo meldt Binnenlands Bestuur.
Kwart van gemeentelijke websites voldoet aan beveiligingseisen
Nederland telt bij elkaar opgeteld 342 gemeenten. Gezamenlijk beheren zij zo’n 10.000 websites, ieder vaak met een eigen thema. Een groot deel daarvan blijft online staan, zelfs als het onderwerp niet langer relevant of actueel is. Ambtenaren kijken er niet langer naar om, waardoor gemeenten in het ongewisse blijven.
Van alle gemeentelijke websites voldoet slechts 28 procent aan voor overheden opgelegde beveiligingsstandaarden. Deze gaan onder meer over veilig e-mailen via een beveiligde mailserver tot het gebruik van beveiligde verbindingen via HTTPS. Deze regels zijn bedacht door het Forum Standaardisatie en bedacht om een vuist te vormen tegen aanvalstechnieken als phishing en spoofing.
“De staat van deze duizenden gemeentelijke websites varieert van ‘pover’ tot ‘best oké”, zeggen Simon Besters en Michiel Duijsings, eigenaren en oprichters van Digital Insights Platform. Zij helpen al jaren gemeenten bij het verbeteren van digitale dienstverlening en online communicatie. Daarnaast geven zij gemeenten inzicht in leveranciers, gebruikte technieken en cookies.
‘Gemeentelijke websites zijn een ongecontroleerde wereld’
Besters en Duijsings constateerden dat de beveiliging bij websites waar gemeenten persoonlijke gegevens delen vaak wel op orde is. Dat beeld verandert bij websites met een specifiek thema, zoals een site voor een bewonersavond met betrekking tot een nieuwbouwproject.
Dat komt doordat gemeenten geen goed beeld hebben voor welke websites zij verantwoordelijk zijn. Vaak begon het met één website, maar door de jaren heen kwamen er steeds meer websites bij. Deze zijn veelal gemaakt door ambtenaren die daarbij alle vrijheid kregen. Sommige gemeenten weten niet welke domeinnamen ze in beheer hebben en worden daar jaren later door anderen mee geconfronteerd.
“De websites van de gemeenten zijn een ongecontroleerde wereld en het effect daarvan is dat er nog steeds allerlei websites bijkomen. Zo gebruiken gemeenten bijna allemaal software van dezelfde SaaS-leverancier [Software-as-a-Service, red.] voor begrotingssoftware, waarmee automatisch een website wordt aangemaakt voor iedere jaarlijkse begroting. En dan gaat het hard”, zo leggen Besters en Duijsings uit.
Verouderde websites worden vaak ‘vergeten’
Een andere reden waarom het aantal gemeentelijke websites in hoog tempo oploopt, is door het toenemend aantal gemeentelijke samenwerkingen. Door deze samenwerkingen is het na verloop van tijd niet duidelijk wie eindverantwoordelijk is voor het naleven van de beveiligingsstandaarden. Het komt ook voor dat verouderde websites worden ‘vergeten’ en niemand weet wie verantwoordelijk is.
Besters en Duijsings wijzen erop dat de NIS2-richtlijn uit Brussel eind dit jaar van kracht is. Deze nieuwe wetgeving heeft als doel om de digitale weerbaarheid van bedrijven en organisaties in Europa te vergroten en de beveiliging van netwerk- en informatiesystemen gelijk te trekken. Gemeenten zijn daarbij door de overheid aangemerkt als ‘essentiële entiteit’, wat betekent dat ze aan strenge eisen moeten voldoen op het gebied van cybersecurity.
Gemeenten kampen met gebrek aan personeel om websites te onderhouden
De reden waarom veel websites van gemeenten niet up-to-date zijn qua beveiliging, komt door een gebrek aan personeel. Er zijn simpelweg te weinig professionals in Nederland om de vele duizenden gemeentelijke websites te onderhouden. Dat probleem speelt zowel bij grotere als kleinere gemeenten.
“Grote gemeenten hebben meer capaciteit en expertise in huis, maar in de regel ook veel meer websites. Het probleem groeit als het ware met de organisatie mee. Het kan namelijk ontzettend veel tijd kosten dat op een goed niveau te doen. Kleine gemeenten hebben misschien maar één webprofessional in huis. Ik begrijp wel dat iemand er dan in vastloopt. Nu is er vaak één ambtenaar die met de beste bedoelingen tegen de helling op ploetert”, aldus Besters.
‘Potentiële kier om ergens binnen te sluipen’
Dave Maasland, CEO van cybersecuritybedrijf ESET Nederland, is ervan overtuigd dat gemeenten een serieus probleem hebben doordat de beveiligingsstandaarden niet worden nageleefd. “Alles op internet is een potentiële kier waarin aanvallers naar binnen kunnen sluipen. Een slecht onderhouden website kan een springplank zijn om bij andere binnen te komen”, zegt hij tegen Binnenlands Bestuur.
Maasland hoopt dat de NIS2-richtlijn gemeenten aanspoort om de beveiliging van hun websites aan te pakken. “Het lijkt erop dat er straks eindelijk proactief toezicht gaat worden gehouden op security van de gemeenten. Deze wet kan dus wel eens de sleutel zijn voor dit soort problemen en ervoor zorgen dat het op de agenda komt bij topambtenaren.”
