Beveiliging websites Stad Gent
Recent verschenen in verschillende media berichten over de gebrekkige beveiliging van overheidswebsites, in het bijzonder die van steden en gemeenten. Ook de VVSG geeft toe dat lokale overheden niet altijd beseffen dat ze websites en nieuwe media beter moeten beveiligen.
Stad Gent beschikt zelf over een uitgebreide website waar we niet alleen via communiceren, de website bevat immers ook diverse toepassingen, bijvoorbeeld het e-loket, de online sollicitatiedossiers, centraal aanmeldingsregister voor scholen, die gevoelige informatie van onze inwoners bevatten.
Naast de officiële website gebruikt Stad Gent ook andere communicatiekanalen zoals Twitter en Facebook. Gentenaars beschouwen de informatie via deze officiële kanalen als betrouwbaar. Wie zich hier onrechtmatig toegang zou tot weten te verschaffen zou foutieve of misleidende communicatie de wereld in kunnen sturen met alle mogelijke gevolgen van dien.
- Kan het stadsbestuur garanderen dat de website(s) van Stad Gent op dit moment veilig zijn?
- Is er in het verleden onderzoek gedaan naar de veiligheid van de website(s)?
Zo ja, met welke frequentie?
Waaruit bestond dat onderzoek?
Wat waren hiervan de resultaten?
Zo nee, waarom niet? - Is Stad Gent in het verleden geconfronteerd met ‘inbraken’ of poging tot ‘inbraak’ in haar website en/of andere online communicatiekanalen?
Zo ja, wat was de impact hiervan?
Welke maatregelen werden getroffen om dit in de toekomst te vermijden?
Stephanie D'Hose
Gemeenteraadslid
Antwoord:
Kan het stadsbestuur garanderen dat de websites van Stad gent op dit moment veilig zijn?
Eerst en vooral is informatieveiligheid van websites een relatief begrip: het is “een” mogendheid gelukt om virussen binnen te smokkelen in de besturingssoftware van een streng beveiligde nucleaire installatie in Iran. Het is een andere mogendheid gelukt een bijzonder hardnekkige “malware” binnen te smokkelen bij de door Belgacom uitgebate internationale netwerken. En dit terwijl Belgacom beschikt over een zeer uitgebreide informatiebeveiligings-afdeling (Telindus).
Tegen dit soort van gesofisticeerde en overheids-gefinancierde pogingen tot inbraak zijn zeer weinig organisaties opgewassen. We kunnen dus niet garanderen dat aanvalspogingen op deze schaal altijd succesvol verijdeld kunnen worden.
Aan de andere kant doet de stad Gent grote inspanningen om de informatieveiligheid van haar websites en de gegevens waar zij over beschikt (zoals bv. persoonsgegevens van onze burgers) te borgen:
- Op organisatorisch vlak beschikt de stad Gent, als één van de weinige en één van de eerste, Vlaamse steden over een consulent informatieveiligheid en een permanente werkgroep informatieveiligheid, die op regelmatige tijdstippen informatieveiligheids-aspecten behandelt. De stad werkt hiervoor samen met de security officer en de technische staf van Digipolis.
- Op technisch vlak worden onze websites met verschillende verdedigingslagen beveiligd. Technisch gesproken zal een persoon op het internet die slechte bedoelingen heeft volgende verdedigingslagen moeten doorbreken:
- Een eerste verdedigings-laag is een “next-generation firewall” die op een laag niveau de datastroom controleert op malware, aanvalspatronen, en dergelijke meer, en deze eventueel blokkeert.
- Een tweede verdedigings-laag is een “statefull inspection firewall” die bovendien uitgerust is met een eenvoudig intrusiedetectie en – preventie systeem.
- Een derde verdedigings-laag is een “web-firewall” die er voor zorgt dat enkel de geoorloofde webadressen kunnen bereikt worden, en die een aantal verdedigingsmechanismen bevat die de zwakheden van websites compenseert. Hieronder valt bv. de zogenaamde SQL injectie: dit is de tactiek om een gemeentelijke website te kraken zoals onlangs getoond in de media. Dit is op de Gentse website dus niet mogelijk.
- Op de webservers zelf zijn nog antivirusbescherming modules geplaatst indien men er toch in zou geslaagd zijn de vorige beschermings-lagen te doorbreken.
- Tot slot wordt de infrastructuur waarop de websites zijn gehost wekelijks gescand op zwakheden vanop het
internet door een extern bedrijf dat zich hierin specialiseert. De gevonden zwakheden worden regelmatig
opgevolgd en waar nodig wordt er geremedieerd. Dit najaar is een gedetailleerde penetratietest (een
gecontroleerde poging tot “hacking”) gepland voor de meer gevoelige delen van de website (o.a. elektronische
loketten). De resultaten hiervan worden uiteraard opgevolgd en waar nodig zal er geremedieerd worden.
Het antwoord is dus genuanceerd: we kunnen niet garanderen dat hoog-gesofisticeerde aanvalspogingen uiteindelijk toch niet zouden slagen. Aan de andere kant zijn het netwerk en de websites van de stad Gent waarschijnlijk één van de best beschermde gemeentelijke infrastructuren in Vlaanderen.
Is er in het verleden onderzoek gedaan naar de veiligheid van de websites.
Zo ja met welke frequentie?
Waaruit bestond dat onderzoek?
Wat waren hiervan de resultaten?
Zoals hiervoor opgemerkt wordt de infrastructuur waarop de websites gehost zijn, gescand op zwakheden. Deze scans worden wekelijks uitgevoerd. Gevonden zwakheden worden opgevolgd en waar mogelijk geremedieerd. De gevonden zwakheden hangen meestal samen met verouderde software op de infrastructuur.
Maandelijks is er een nazicht en optimalisatie in functie van gevonden bedreigingen op de firewalls in een samenwerking tussen de technici van Digipolis en de leverancier van de toestellen.
Een penetratie test van de gevoelige delen van de website is gepland voor dit najaar. Gezien dergelijke test verschillende dagen in beslag neemt, kunnen we dit slechts af en toe laten uitvoeren.
Is stad Gent in het verleden geconfronteerd met "inbraken" of poging tot "inbraak" in haar website en/of andere communicatiekanalen?
Zo ja, wat was de impact hiervan?
Ja, de website “archeoweb” kwam op 2/8/2012 op de zwarte lijst van Google terecht. De bezoekers van de website kregen het bericht dat het beter was deze website niet te bezoeken. De reden was dat een “inbraakrobot” erin geslaagd was om onveilige inhoud op deze website te plaatsen.
Gelukkig is dit een website met zeer weinig bezoekers, en was de boodschap beperkt tot deze website zelf.
De oorzaak was dat deze website zodanig verouderd was, dat het moeilijk was om deze website aan te passen. De zwakheid van de website is met een omweg ongedaan gemaakt.
Het Twitter account van de stad is op een bepaald moment gekaapt. Hoogstwaarschijnlijk door een onvoorzichtigheid van een gebruiker van dit account. Het paswoord van het account is onmiddellijk veranderd, en de gebruikers van dit account hebben gepaste instructies gekregen om dit in de toekomst te vermijden. Het incident duurde minder dan een dag en er werd slechts 1 bericht verstuurd tijdens de ‘kaping’.
Momenteel werken 3 medewerkers bij de dienst communicatie voor de Twitter-account van de stad (waaronder de social mediamanager en Gentinfo).
Martine De Regge
Schepen van Personeelsbeleid, Facility Management en Adminstratieve Vereenvoudiging