IBD roept gemeenten op eigen CVD-procedure te bekijken
De Informatie Beveiliging Dienst (IBD) roept gemeenten op nog eens goed te kijken naar hun Coordinated Vulnerability Disclosure-procedure. Aanleiding is een onderzoek van de Universiteit Twente waaruit zou blijken dat meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft. Dit onderzoek wordt binnenkort gepubliceerd.
Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Gemeenten reageren echter niet snel of adequaat genoeg op meldingen over beveiligingslekken, blijkt uit het onderzoek.
Geen terugkoppeling aan melder
Een melding leidt er nog niet altijd toe dat het beveiligingsprobleem ook wordt opgelost. Van de 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen op een melding, constateerde de onderzoeker. Bij 10 gemeenten werd het beveiligingslek opgelost zonder terugkoppeling aan de melder. Gelukkig waren er ook gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en kreeg de melder te horen wat er met de melding was gebeurd.
Onnodige persoonsgegevens opvragen
Ook vragen gemeenten soms persoonsgegevens op die niet noodzakelijk zijn om het probleem op te lossen. Dit gebeurt soms onbewust, via geautomatiseerde processen. Het moet echter mogelijk zijn om CVD-meldingen anoniem te doen. Het gaat bij dit soort meldingen immers vaak om ethisch hackers die organisaties willen helpen om beveiligingsproblemen op te lossen, maar geen risico willen lopen op vervolging omdat hacken in principe strafbaar is.
Drempels voor melders verlagen
Het onderzoek laat zien waar de ruimte voor verbetering zit: zorg voor een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites, bij voorkeur anoniem, en communiceer tijdig met de melder over wat er met de melding gebeurt.
Gemeenten kunnen gebruikmaken van de IBD Handreiking Coordinated Vulnerability Disclosure.