Internetlek ook voor gemeenten aandachtspunt

Het OpenSSL-lek in internetsystemen dat vorige week bekend werd - ook wel Heartbleed genoemd - raakt ook gemeenten. De Informatiebeveiligingsdienst van VNG/KING heeft gemeenten ingeseind en verwijst naar de generieke technische informatie van het NCSC.

Slot en sleutels
Door de kwetsbaarheid in OpenSSL, dat in een groot deel van internetsystemen zorgt voor de goede werking van het 'slotje' voor de adresregel, is een veilige communicatie niet langer gegarandeerd zolang er geen reparatiewerk is verricht. Het vervangen van de OpenSSL-versie is nodig om aanvallen te kunnen afslaan, maar ook de bijbehorende sleutels en certificaten dienen in feite te worden vervangen omdat er wellicht al kwaadwillenden gebruikt hebben gemaakt van het lek. Met geheime sleutels van certificaten kan die persoon informatie achterhalen uit versleutelde verbindingen, zoals bijvoorbeeld die van DigiD.

Nieuw certificaat
Weinig gemeenten maken melding van problemen door het lek, maar de gemeente Rucphen meldt geen veilige verbinding te kunnen garanderen als er met DigiD wordt ingelogd. De DigiD-toegang is daarom tijdelijk afgesloten. De 'firewall' krijgt eerst een update en voor DigiD wordt een nieuw certificaat aangevraagd. Daarna gaat DigiD weer online in Rucphen.

Factsheet
De Informatiebeveiligingsdienst (IBD) zegt de 160 gemeenten die inmiddels bij haar zijn aangesloten te hebben geïnformeerd over het lek en verwijst daarbij specifiek naar de factsheet die het Nationaal Cyber Security Centrum (NCSC) daarover heeft opgesteld. Over de feitelijke ernst van de problematiek bij gemeenten wil de woordvoerder van de IBD geen uitspraken doen. "Dat doen we uit veiligheidsoverwegingen nooit."

Logius veilig
Bij Logius, waar onder andere de centrale DigiD-voorzieningen zijn ondergebracht, zijn alle producten die gebruik maken van OpenSSL gecontroleerd en zo nodig aangepast, aldus de woordvoerder. Ook certificaten en wachtwoorden zijn vervangen. Volgens hem is het aantal gemeenten dat voor informatie over OpenSSL heeft aangeklopt op de vingers van één hand te tellen.