De gemeente Den Helder onderzoekt of stappen noodzakelijk zijn tegen het bedrijf dat de gemeentelijke website host, meldt een woordvoerder van de gemeente.
Als gevolg van een beveiligingslek waren de privégegevens van 1.600 inwoners van de stad te bekijken. De gemeente werd donderdagmorgen met het nieuws geconfronteerd door een journalist van de site Webwereld, die was getipt door een hacker. Enkele uren later was het lek gedicht.
Volgens de woordvoerder van de gemeente waren door het lek privacygevoelige gegevens te vinden van mensen die via de website om informatie hadden gevraagd. De inhoud van de informatieverzoeken was niet in te zien, de persoonlijke gegevens van de inzenders waren dat wel.
Daarnaast was openbare informatie toegankelijk en was het blogadres van burgemeester Koen Schuiling te vinden, aldus de woordvoerder.
Veilig
Hij noemt de ernst van de zaak uiteindelijk betrekkelijk, maar dan vooral gezien de aard van de informatie die toegankelijk was. “Want wij zijn hier absoluut niet blij mee. Digitale gegevens moeten absoluut veilig zijn. Ook als het om de website gaat. Voor ons als gemeente is dat een prioriteit.”
Controles van de website hebben donderdag na het repareren van het lek volgens hem uitgewezen dat de veiligheid in orde is. “We gaan nu kijken wat er nog meer nodig is. Daarbij bekijken we ook of en welke maatregelen we eventueel moeten nemen tegen het bedrijf dat de hosting verzorgt.”
De vraag is wie is er verantwoordelijk voor de beveiliging van de website. In dit geval is de maker van de website (Webburo) ook de partij die de hosting heeft geregeld, dus Webburo is verantwoordelijk.
Als dit nu twee verschillende partijen zouden zijn, is nog steeds Webburo verantwoordelijk. Zij hebben de website gemaakt, dus zij zijn het eerste aanspreekpunt van de gemeente ?n de eerste lijn van verdediging.
Er wordt veel gesproken hoe je beveiligingen kunt inbouwen. Zelf ben ik ontwikkelaar en zorg ik altijd dat mijn software goed beveiligd is. Ik laat dit NOOIT afhangen van een hosting partij (tweede lijn), hiervoor zou Webburo zich ook moeten schamen. Je kunt namelijk nooit weten welke maatregelen een hosting neemt of heeft genomen, en of ze deze niet afschaffen zonder dat jij het weet.
Aan de kant van de hosting is er ook wel wat te zeggen. Als hostingpartij kun je er niet lukraak van uit gaan dat mensen die bij jou hosten alles veilig maken, dus aan de kant van de hosting moet je ook dingen doen, geen beveiliging inbouwen is gewoon not done.
De beveiliging die je als hosting maakt zijn vaak dezelfde (ze doen in ieder geval hetzelfde) dan de beveiligingen aan de kant van de programmeur. Maar liever een dubbel slot dan geen slot toch?
De schuld ligt wellicht ergens in het midden, maar als Webburo de hosting heeft geregeld van de website, is het duidelijk dat zij verantwoordelijk zijn voor de beveiliging. Ik kan natuurlijk niet een slotenmaker een slot laten monteren en mezelf aansprakelijk stellen als het slot slecht gemonteerd is, ik snap namelijk niets van sloten.
In ieder geval, het oplossen van dit ernstige lek is/was erg makkelijk. Als je de code op een nette manier schrijft, kun je dit in ??n of twee regels beveiligen. Aan de kant van de server (hosting), kun je met ??n regel in het configuratiebestand dit soort dingen voorkomen.
Dit heeft niets met de hostingorganisatie te maken met met de website zelf. Gewoon een php script met een foutje. Gaat lekker zo. Gaat er nu eigenlijk eens iemand met verstand van zaken naar kijken!
Ik overweeg stappen tegen mijn parkeergaragehouder. Ik heb daar mijn auto gestald, het tarief betaald via creditcard, maar bij terugkomst was de auto opengebroken. Ik heb de beveiliger aangesproken maar die had niets gezien… nu vraag ik je, dat kan toch helemaal niet? Ik heb betaald voor een veilige parkeerplek, maar mijn auto is toch opengemaakt…
Ik had mijn auto ook niet afgesloten, want de beveiliger bij het hek was best breed en zag er gevaarlijk uit….
De aanval lijkt de beste verdediging dacht de woordvoeder van de gemeente blijkbaar.
En ondertussen zitten ze zelf te pitten als ze meerdere malen op het gevaar worden gewezen.
Daarmee bevestigd de gemeente maar weer eens het bekende vooroordeel over ambtenaren: Liever lui dan moe….
Iemand die ‘echt’ verstand heeft van ICT heeft waarschijnlijk een ‘echte’ baan in het bedrijfsleven.
Inderdaad en nog een ander de schuld geven ook! Daar zijn ze goed in. Besteed gemeente geld nou eens een keer goed! Inplaatst alles aan de Antilianen te spenderen stichting hier.. renovatie daar.. hutje om te domino-en. Gezellig
Man,man dit loopt al sinds 15 aug,..leeghoofden die ambtenaren
Sja, en daar sta je daar breeduit op Geenstijl.
laat de ict pippo van de gemeente zelf eerst ff de hand in eigen boezem steken , alvorens het bedrijf wat de hosting faciliteerd de schuld te geven.
het hosting bedrijf kan er weinig aan doen als de site zelf niet goed in elkaar zit,
de fout zit in onvoldoende kennis van de gemeentelijke ict?rs die de boel klaarblijkelijk niet testen op lekken, maar gelijk alles in bedrijf brengen.
kortom grove fout van de gemeente zelf.
maar jah, verantwoordelijheid afschuiven is een gemeengoed bij de overheid.