De Informatiebeveiligingsdienst (IBD) wil actief op zoek gaan naar kwetsbaarheden bij gemeenten, zo schrijft de dienst. De IBD is begonnen met een pilot en werkt aan een directe samenwerking met gemeenten.
Log4j-kwetsbaarheid
De pilot was nog in voorbereiding toen in december de Log4j-kwetsbaarheid de kop op stak. Dit was voor de dienst een ideaal moment om van start te gaan. De Log4j-kwetsbaarheid is een bug in een populaire Java-library die ook door veel Nederlandse gemeentes wordt gebruikt.
De IBD heeft in december toestemming gevraagd aan gemeenten om te scannen op de Log4j-kwetsbaarheid. Gemeenten moesten vervolgens toestemming verkrijgen van hun leveranciers. De IBD omschrijft de scan zelf als “van eenzelfde aard als de scans van criminelen, onderzoekers en statelijke actoren”. Op deze manier kan de dienst gemeenten waarschuwen.
Reacties gemeenten
De IBD geeft aan dat het overgrote gedeelte van de reacties op de vraag tot toestemming van gemeenten neutraal of positief was. De dienst is nog in gesprek met gemeenten over hoe het mandaat voor het scannen het beste ingericht kan worden.
Gegevens aanleveren
Om goed te kunnen waarschuwen voor eventuele gevaren wil de IBD dat gemeenten uitgebreide lijsten van gebruikte hard- en software aanleveren. Zo zou de dienst snel kunnen waarschuwen wanneer het kwetsbaarheden vindt. “Hoe nauwkeuriger en actueler de gemeente de gegevens aanlevert, hoe beter de IBD haar rol kan invullen”, zo schrijft de dienst.
Op het moment moet de IBD nog afgaan op informatie die het van partners krijgt. Daarbij kun je bijvoorbeeld denken aan IP-adressen van kwetsbare systemen. De dienst achterhaalt vervolgens om welke gemeenten het zou gaan. Dit proces zou bijvoorbeeld kunnen worden versneld wanneer IP-adressen van gemeenten reeds bekend zijn bij de dienst.
