Duizenden gemeentelijke wachtwoorden zwerven op internet

Welkom01, Qwerty123, 123456. Het zijn bekende voorbeelden van erg slechte, door gemeenten gevoerde wachtwoorden waarmee het hackers wel héél makkelijk wordt gemaakt. Maar ook met complexere wachtwoorden zijn gemeentelijke applicaties niet veilig. Er wordt door gemeenten volop gewerkt aan bijvoorbeeld bewustwordingscampagnes voor sterke en unieke wachtwoorden, maar in de praktijk haalt het te weinig uit. Het overgrote deel van de ambtenaren gebruikt nog altijd zwakke wachtwoorden.

Analyse van 650.000 wachtwoorden

De Eindhovense scale-up MindYourPass nam het wachtwoordenbeleid van twintig gemeenten met in totaal zo’n zevenduizend medewerkers onder de loep voor een benchmark. Er werden daarbij wachtwoorden van 5.653 gemeentelijke applicaties gemeten, waarvan er door de gemeenten 120 applicaties als ‘kritiek’ en 132 als ‘belangrijk’ zijn aangemerkt. Dit leverde uiteindelijk een analyse op van ruim 650.000 inloggegevens. Daaruit blijkt dat 16,7 procent van alle wachtwoorden inmiddels te vinden is op haveibeenpowned.com, een website waar slachtoffers kunnen controleren of hun gegevens door hackers onderschept zijn. In 75 procent van de gevallen gaat het daarbij om zakelijke wachtwoorden.

Uit de benchmark wordt ook duidelijk dat ongeveer driekwart van alle ambtenaren onveilige wachtwoorden gebruikt. Zorgelijk zijn eveneens de scores voor wachtwoorden die gebruikt worden bij applicaties van gemeenten: zo’n 60 procent van de wachtwoorden voor applicaties die ambtenaren gebruiken zijn niet veilig genoeg.  Eén op de acht wachtwoorden is zelfs al onderschept en vindbaar op het internet. Uit de meting wordt duidelijk dat een groot deel van de ambtenaren vaak hetzelfde wachtwoord gebruikt voor uiteen­lopende applicaties. Zo neemt de kans op een geslaagde hackpoging met iedere applicatie verder toe. Teamleiders ICT van de gemeenten Hulst en de Kempengemeenten bevestigen het door Mind­YourPass geschetste beeld en de cijfers tegenover Binnenlands Bestuur. Zij geven aan dat het percentage gehackte wachtwoorden aannemelijk is voor alle gemeenten in Nederland.

Gemeenten begonnen met verbetertrajecten

Inmiddels zijn er met de hulp van Mind­YourPass bij de gemeenten trajecten in gang gezet waarbij het wachtwoorden-gebruik naar een hoger niveau wordt getild. ‘Alleen de ambtenaren die het belang ervan inzagen gebruikten de wachtwoordenkluis, en de rest deed dat niet’, geeft het hoofd ict van de Kempengemeenten aan. ‘Ambtenaren gebruiken vaak hun eigen methoden met wachtwoorden, en dan zie je vaak te makkelijke wachtwoorden op hergebruik gericht.’ De gemeente Eindhoven is inmiddels ook gestart met een MindYourPass-traject.

De Informatiebeveiligingsdienst (IBD) bevestigt dat het in de grootschalige datahandel op internet ook gemeentelijke accounts tegenkomt tussen lijsten met miljarden gebruikersnamen en wachtwoorden van consumenten, bedrijven, overheden en andere instellingen wereldwijd. Volgens de IBD zou dat echter meestal om verouderde informatie gaan. ‘Wanneer een gemeentelijk account in een openbare dataset voorkomt, dan informeert de IBD de gemeente en worden passende maatregelen getroffen’, zegt Mark Zellenrath namens de koepel­organisatie.

De communicatieadviseur wil niet inhoudelijk reageren op het forse percentage gehackte gemeentelijke accounts dat door een wachtwoordenspecialist werd aangetroffen en aan de IBD werd voorgelegd. Dit omdat hij de presentatie van de feiten beschouwt als onderdeel van een commercieel gedreven actie. ‘Dat Mind­YourPass de cijfers vermeldt is hun goed recht, maar wij zien het als een commerciële activiteit en geven daarom geen reactie’, aldus
Zellenrath.

Grootste deel blijft onveilig bezig 

Volgens Merijn de Jonge, directeur en oprichter van MindYourPass, zijn de wachtwoorden die worden aangetroffen bij de metingen wel degelijk nog bij gemeenten in gebruik. De wijze waarop gemeenten in algemene zin omgaan met wachtwoorden frustreert hem soms: ‘Er wordt door gemeenten veel beleid geschreven en vaak eindeloos geoefend en getraind om de bewustwording over cyberveiligheid te verhogen, maar het overgrote deel van de ambtenaren blijft onveilig omgaan met wachtwoorden.’

Dat terwijl er regelmatig gemeenten gehackt worden met soms grote financiële gevolgen. ‘In zulke gevallen gaat er snel een beschuldigende vinger richting een ambtenaar die een te zwak wachtwoord gebruikt, terwijl het eigenlijk de organisatie zelf is die de fout begaat door het niet af te dwingen’, zegt De Jonge.

De CEO stelt dat een wachtwoord een zeer persoonlijk gegeven is, waar mensen soms lang over nadenken en waarin ze vertrouwen hebben. Daardoor gebruiken ze hetzelfde wachtwoord op meerdere plekken. Organisaties kunnen niet altijd controleren of medewerkers stiekem of onbewust allerlei ‘geitenpaadjes’ nemen die risico’s met zich meebrengen. Een risico ontstaat bijvoorbeeld wanneer ambtenaren overal hetzelfde wachtwoord gebruiken, maar dan met telkens een kleine afwijking.

Hackers kunnen steeds meer

De Jonge: ‘Wanneer hackers één wachtwoord hebben onderschept, is de rest een koud kunstje. Dat komt omdat ze tegenwoordig in een mum van tijd miljoenen combinaties kunnen maken en wachtwoordboeken gebruiken. Maar mensen zijn helemaal niet in staat om tientallen moeilijke en unieke wachtwoorden te onthouden. Zoiets moet je aan de techniek overlaten.’

Vanuit die visie begon De Jonge enkele jaren geleden met MindYourPass, een wachtwoordgenerator die een gepatenteerde wiskundige formule toepast waarmee op basis van een ‘eigen’ bedacht wachtwoord een veel sterker wachtwoord voor ieder account wordt gegenereerd. De software van MindYourPass wordt in de webbrowser van medewerkers geïnstalleerd, waardoor het over de schouder kan meekijken om hun wachtwoordgebruik te meten. ‘Er wordt gekeken naar de kwaliteit, waar er wordt ingelogd, hoe er wordt ingelogd en of er inmiddels wachtwoorden gestolen zijn’, vertelt De Jonge.

Betere wachtwoorden afdwingen

Medewerkers kunnen met behulp van software ook ‘gedwongen’ worden om betere wachtwoorden te kiezen. Dat kan als vervelend worden ervaren, maar het is wel een manier om resultaten te behalen. ‘Het kan met een vrijblijvende waarschuwing, maar ook met een pop-up die blijft staan tot er is ingegrepen. De meetgegevens van wachtwoordgebruik van MindYourPass worden in rapportages gegoten, en dat levert voor een gemeentelijke chief information security officer een schat aan informatie op’, verzekert De Jonge. ‘Die kan daarmee aan zijn bestuur laten zien hoe het wachtwoordgebruik ervoor staat binnen een organisatie, in plaats van abstracte discussies voeren over bewustwordingscampagnes. Daarmee kan veel beter worden ingeschat wat er aan maatregelen nodig is.’

Het goed meetbaar maken van het wachtwoordgebruik bij gemeenten is volgens De Jonge inmiddels bittere noodzaak. Hij ergert zich aan de vrijblijvende aanpak van de wachtwoordensterkte bij gemeenten, maar ook aan de gestelde normen uit de Baseline Informatiebeveiliging Overheid (BIO) waaraan gemeenten moeten voldoen. Volgens hem is het een ‘papieren werkelijkheid’. ‘Gemeenten beschikken bijvoorbeeld vaak wel over de verplichte wachtwoordenmanager, zoals voorgeschreven wordt als norm in de huidige BIO.’ Maar dat is schijnveiligheid, meent De Jonge: ‘Je kunt er wel het vinkje op de checklist mee zetten om te laten zien dat je veilig werkt. Maar als, zoals uit onze benchmark blijkt, nagenoeg niemand de wachtwoordmanager gebruikt, levert dat geen extra veiligheid op.’

Makkelijke weg

Volgens De Jonge maakt slechts een klein deel van de ambtenaren daadwerkelijk gebruik van zo’n door de BIO verplichte kluis. Organisaties dwingen het gebruik niet af. Het is nog altijd mogelijk om de kluis te vullen met zwakke wachtwoorden, en diezelfde bewaarplek te beveiligen met een zwak wachtwoord. Door gemeenten wordt in de ogen van De Jonge vaak nog gekozen voor de makkelijke weg: ‘En de hackers lachen zich helemaal dood. Want die hebben nu alle tijd van de wereld om rustig rond te kijken in de applicaties van gemeenten.’