Inloggen
Open menu
Digitale weerbaarheid
Nieuws

IBD roept gemeenten op eigen CVD-procedure te bekijken

Een melding leidt er nog niet altijd toe dat het beveiligingsprobleem ook wordt opgelost. | Beeld: Shutterstock
3 oktober 2023

De Informatie Beveiliging Dienst (IBD) roept gemeenten op nog eens goed te kijken naar hun Coordinated Vulnerability Disclosure-procedure. Aanleiding is een onderzoek van de Universiteit Twente waaruit zou blijken dat meer dan de helft (60) van de 114 aangeschreven gemeenten nog geen duidelijke CVD-procedure heeft gepubliceerd of handhaaft. Dit onderzoek wordt binnenkort gepubliceerd. 

Sinds 1 januari 2019 heeft de overheid de Baseline Informatiebeveiliging Overheid (BIO) ingevoerd, waarin het hebben en openbaar maken van een procedure voor het melden van beveiligingsproblemen (CVD-procedure) verplicht is. Gemeenten reageren echter niet snel of adequaat genoeg op meldingen over beveiligingslekken, blijkt uit het onderzoek.

Geen terugkoppeling aan melder

Een melding leidt er nog niet altijd toe dat het beveiligingsprobleem ook wordt opgelost. Van de 89 benaderde gemeenten reageerden 44 gemeenten niet binnen 90 dagen op een melding, constateerde de onderzoeker. Bij 10 gemeenten werd het beveiligingslek opgelost zonder terugkoppeling aan de melder. Gelukkig waren er ook gemeenten die proactief op de meldingen reageerden. Bij 19 gemeenten werd de melding adequaat behandeld en kreeg de melder te horen wat er met de melding was gebeurd.

Onnodige persoonsgegevens opvragen

Ook vragen gemeenten soms persoonsgegevens op die niet noodzakelijk zijn om het probleem op te lossen. Dit gebeurt soms onbewust, via geautomatiseerde processen. Het moet echter mogelijk zijn om CVD-meldingen anoniem te doen. Het gaat bij dit soort meldingen immers vaak om ethisch hackers die organisaties willen helpen om beveiligingsproblemen op te lossen, maar geen risico willen lopen op vervolging omdat hacken in principe strafbaar is.

Drempels voor melders verlagen

Het onderzoek laat zien waar de ruimte voor verbetering zit: zorg voor een duidelijke en toegankelijke meldingsprocedure op de gemeentewebsites, bij voorkeur anoniem, en communiceer tijdig met de melder over wat er met de melding gebeurt.

Gemeenten kunnen gebruikmaken van de IBD Handreiking Coordinated Vulnerability Disclosure

Over Redactie iBestuur
Redactie website iBestuur
iBestuur heeft een onafhankelijke redactie.
Lees meer van Redactie iBestuur »

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Lees ook

Overheid in Transitie | Podium
Winstwaarschuwing voor een minister voor Digitale Zaken
Data en AI | Nieuws
Overheidsorganisaties moeten aan de slag met het registreren van algoritmes
Overheid in Transitie | Blog
We lopen vast