Veiligheid van website gemeente Nijkerk
NIJKERK - Op zaterdag 8 oktober jl. is in de media gemeld dat 50 gemeentelijke websites, waaronder www.nijkerk.org, eenvoudig gehackt kunnen worden en dat daarbij onder andere persoons-gegevens van burgers te bemachtigen zouden zijn. SIM, de huidige content-leverancier en hosting provider van onze website heeft daarop alle websites van genoemde gemeenten in eerste instantie onbereikbaar gemaakt. Na controle zijn de veilige websites weer bereikbaar gemaakt, waaronder de website van de gemeente Nijkerk. Dit betreft de nieuwe gemeentelijke website die op 1 september live is gegaan. Deze nieuwe site bleek goed beveiligd en niet gehackt. De inbraak betrof een oude server van Gemeenteweb, zonder privacygevoelige informatie.
In 2007 is besloten om het afnemen van producten en diensten via de website in de Digitale Publiekswinkel aan te gaan bieden. Vanwege de complexiteit van techniek en bijkomende beveiliging is dit uitbesteed aan een professionele partij, Gemeenteweb. Er was op dat moment voldoende vertrouwen dat Gemeenteweb de website adequaat kon beheren. Begin 2011 heeft de SIM-groep de websiteklanten van Gemeenteweb overgenomen, ook de website van de gemeente Nijkerk. Vanaf dat moment heeft de gemeente er voor gekozen een nieuwe website te gaan ontwikkelen. Op 1 september jl. is deze nieuwe website live gegaan. Deze site is niet gehackt geweest.
Onlangs bleek dat de oude servers van Gemeenteweb, met daarop kopieën van websites die zij onder beheer hadden, rechtstreeks te benaderen waren. In het geval van de gemeente Nijkerk ging het dus om de oude website. De oude servers zijn nu volledig uitgeschakeld en afgekoppeld van het internet.
Veelgestelde vragen n.a.v. de berichtgeving rond www.nijkerk.org en Diginotar:
1. Is de website met de persoonsgegevens nu veilig?
Absolute zekerheid is nooit te geven. Maar SIM neemt alle redelijkerwijs mogelijke maatregelen om de gemeentelijke websites die zij in beheer hebben te beveiligen en zal dat in de toekomst ook blijven doen. Onder deze maatregelen vallen regelmatige audits door externe deskundigen en het onmogelijk maken om op de server in te loggen anders dan vanaf vaste IP adressen waarvan bekend is dat zij bij een vertrouwde partij horen.
2. Is er risico geweest?
Ja, een zeer beperkt risico. SIM heeft de gemeente Nijkerk verzekerd dat op de oude Gemeenteweb servers alleen oude kopieën van de oude website stonden, zonder privacy gevoelige gegevens van klanten van de website.
3. Heeft er misbruik plaats kunnen vinden van gegevens via de website?
Dat is nooit met zekerheid te zeggen, maar zeer onwaarschijnlijk. Zoals hierboven aangegeven stonden er, voor zover door SIM richting de gemeenten aangegeven, geen klantgegevens op de gecompromitteerde servers. Er vindt, in opdracht van de VNG, een onderzoek plaats naar de exacte situatie bij Gemeenteweb.
4. Is er nu risico omdat bezoekers van ‘www.nijkerk.org’ nu de nieuwe website te zien krijgen?
Nee. De bezoekers komen op de zelfde, veilige omgeving als bezoekers van ‘ www.nijkerk.eu ’. Zodra de bezoeker een product of dienst wil aanvragen komt die in de extra beveiligde omgeving van ‘secure.nijkerk.eu’.
5. Wat is er gebeurd met de vooraankondiging op 2 oktober dat onderzoeksjournalisten de maand oktober gaan gebruiken om lekken op overheidswebsites aan de kaak te stellen?
SIM heeft in deze vooraankondiging toegelicht welke veiligheidsmaatregelen de SIM groep heeft genomen om gemeentelijke websites te beveiligen. Daarbij heeft zowel SIM als de gemeente Nijkerk een analyse gemaakt welke wachtwoorden, in gebruik bij de medewerkers om de inhoud van de nieuwe website te kunnen aanpassen, mogelijk te gemakkelijk achterhalen zouden zijn. Er bleken geen onveilige wachtwoorden in gebruik.
6. Waarom staat DigID uit?
De veiligheid van DigID is in beheer bij Logius, de overheidsdienst voor het bevorderen van digitale informatie-uitwisseling tussen overheden, burgers en bedrijven. Naar aanleiding van de recente berichtgeving heeft Logius de communicatie met DigID uitgeschakeld voor alle websites die in de berichtgeving worden genoemd. Daarom is het op dit moment niet mogelijk om via de Nijkerkse website producten en diensten af te nemen middels DigID. Zodra Logius zelf geconstateerd heeft dat de website ‘www.nijkerk.eu’ veilig is, zal de dienstverlening via DigID weer mogelijk gemaakt worden.
7. Hebben burgers/klanten van de gemeentelijke website risico gelopen m.b.t. gebruik van DigID?
Nee. Het op dit moment niet functioneren van DigID is, zoals boven gemeld, louter een voorzorgsmaatregel, genomen door Logius en heeft geen enkele relatie met mogelijke onveiligheid van de huidige website. De veiligheid van DigID in het algemeen is door deze mediaberichten ook niet veranderd.
8. Is er risico geweest door de affaire rond Diginotar-certificaten?
Nee. De gemeente Nijkerk (en de SIM-groep) maakte voor de beveiliging van de website geen gebruik van Diginotar-certificaten.
