IBD: DigiD-lek gemeenten is 'stemmingmakerij’
Het is niet mogelijk geweest DigiD-wachtwoorden van burgers te achterhalen bij twaalf gemeenten, meldt de Informatiebeveiligingsdienst (IBD) van VNG en KING.
Het is absoluut niet mogelijk geweest DigiD-wachtwoorden van burgers te achterhalen bij de twaalf gemeenten waar dat volgens het programma Opgelicht!? het geval zou zijn. Dat meldt de Informatiebeveiligingsdienst (IBD) van VNG en KING.
CMS was lek
In het tv-programma Opgelicht?! werd gemeld dat een groot aantal gemeenten een ‘lek’ in hun gemeentelijke websites hebben gehad waardoor de DigiD-gegevens van burgers in gevaar zouden zijn geweest, mede omdat 24 gemeenten gewoon een standaardwachtwoord voor hun websitesoftware aanhielden. DigiD-beheerder Logius bevestigde tegenover het programma dat op 11 september is ontdekt dat een bepaalde versie van een contentmanagementsysteem (CMS, waarop de website van een gemeente is gebouwd) een lek zit. Bij 12 gemeenten 'bleek de koppeling van het CMS met DigiD zo te zijn opgebouwd dat er een potentieel risico bestond dat DigiD misbruikt kon worden', aldus Logius.
Ander verhaal
De IBD ziet echter 'waarheden en onwaarheden door elkaar lopen'. In september 2014 is wel een kwetsbaarheid ontdekt in de websitesoftware van 12 gemeenten (niet van 24 gemeenten zoals in de media is gemeld). 'Maar dat staat los van het wachtwoordenverhaal', zegt de woordvoerster van de IBD. Die twaalf gemeenten hebben meteen actie ondernomen door een zogenaamde software-‘patch’ van de leverancier toe te passen. Bij 3 van deze 12 gemeenten betrof het bovendien software die niet in verbinding stond met de DigiD-koppeling. En allen hebben volgens de IBD een gedegen wachtwoordenbeleid.
Geen wachtwoorden ondervangen
'De IBD betreurt de incorrect gevoede stemmingmakerij die in de media op dit punt momenteel plaatsheeft en benadrukt dat de DigiD-wachtwoorden van burgers op dit punt geen gevaar hebben gelopen. Bovendien wil de IBD nogmaals aangeven dat 100% veiligheid niet bestaat en dat het gaat om het adequaat voorkomen en handelen in geval van een incident. Iets wat alle betrokken gemeenten alsook de leverancier in dit geval hebben gedaan.'
1. is deze gemeente wel aangesloten bij de IBD?
2. hebben wij hetzelfde CMS-systeem?
3. zijn er schriftelijke procedures voor de omgang met beheerderswachtwoorden?
4. hebben wij schriftelijke procedures voor het tijdig patchen van alle webapplicaties?
5. wanneer is onze website voor het laatst getest en wat was daarvan het resultaat?
6. wanneer is voor het laatst gecontroleerd of de schriftelijke procedures ook worden nageleefd?