Vrijdag, einde van de middag in vakantietijd. Voor de meeste gemeenteambtenaren een tijd om even tot rust te komen en de dagelijkse werkzaamheden los te laten. Projecten worden over de zomerperiode heen getild zodat de dagelijkse werkzaamheden zonder problemen kunnen blijven doordraaien. De rest van het land heeft inmiddels ook vrij en een groot deel van werkend Nederland heeft het in ieder geval rustiger op de werkvloer.
Ook scholen zijn gesloten, waardoor studenten weer de mogelijkheid hebben om tijd aan hun hobby’s te besteden. Voor sommige van deze studenten is dit het zoeken naar technische kwetsbaarheden in systemen van overheden en bedrijven. Soms is het gericht zoeken of zoeken op aanvraag, soms vinden ze iets per toeval.
We merken bij de IBD dat het vakantietijd is. Het aantal Responsible Disclosure* meldingen over gemeentelijke systemen stijgt in zulke periodes flink. Wanneer de rest van het land slaapt dan ontwaken de hackers. We krijgen bij de IBD dan ook tot in de late uren nog meldingen van onderzoekers over gemeenten binnen, meestal van jonge en enthousiaste studenten.
Het oppakken van een melding, die soms beknopt of soms uitgebreid is, bestaat niet alleen uit het plat doorsturen van de melding naar de gemeente. Er wordt door onze incidenthandlers en informatiebeveiligingsadviseurs gekeken of het wel of niet gaat om een valide melding en meestal geven we de melding door met een advies over de aard en de ernst van de gevonden kwetsbaarheid inclusief de oplossingsrichting.
De conclusie of het daadwerkelijk een kwetsbaarheid betreft kan meestal getrokken worden uit de eerste informatie die we ontvangen van de onderzoeker. Als dit niet lukt zullen we vragen om aanvullende informatie of doen we zelf nog verdiepend technisch onderzoek.
Sinds medio 2017 heeft de IBD op de website een zogenaamde Hall of Fame waarbij we erkenning geven aan de onderzoekers die een melding doen bij een gemeente of bij de IBD. Voor de onderzoekers is het behalen van deze Hall of Fame de uitdaging. Door het doen van verschillende valide meldingen kunnen ze virtuele punten scoren en een hoger plaatsje op onze Hall of Fame verdienen. Dit staat natuurlijk mooi op het visitekaartje van de soms jonge onderzoekers.
Niet alle meldingen wegen even zwaar. Door de melding vanuit het oogpunt van de gemeente te bekijken blijkt soms de impact erg klein te zijn. We zullen dan in overleg met de desbetreffende gemeente bepalen of de het waard is om opgepakt te worden.
Op het moment dat het gaat om een schoonheidsfoutje of een niet valide melding proberen we ervoor te zorgen dat ook de onderzoekers hiervan leren. We doen dit door het gesprek aan te gaan en ons beeld van de melding op technische en organisatorisch vlak te beschrijven.
Door de eerste communicatie op ons te nemen en de vertaalslag te maken voor de gemeente merken we dat een melding vaak snel opgepakt kan worden. Het helpt hierbij dat we kunnen schakelen met de vertrouwde contactpersonen bij zowel de gemeente als bij leveranciers. Hierdoor kunnen kwetsbaarheden vaak direct doorgezet worden naar de juiste afdelingen. De doorlooptijd van de originele melding tot een oplossing is hierdoor vaak heel kort. Hiermee houden we de onderzoekers ook tevreden aangezien ze vaak in spanning wachten of ze voor hun melding een +1 in de Hall of Fame, een t-shirt of ander bedankje verdienen.
Als u nog geen responsible disclosurebeleid heeft voor uw gemeente, dan adviseert de IBD er een te maken. Dat kan eenvoudig door gebruik te maken van ons voorbeeldbeleid.
Daan Goumans, Adviseur (IBD)
* in januari 2020 is de term Responsible Disclosure aangepast naar Coordinated Vulnerability Disclosure. Omdat dit een blog van voor die tijd betreft, is hier de term Responsible Disclosure gehandhaafd.