"Overheden negeren basale beveiligingsregels", zo luidt de conclusie van een onderzoeksartikel van nieuwsblad Trouw, gepubliceerd op 9 juni 2021. Tientallen websites van onze overheid zijn daardoor kwetsbaar voor aanvallen, waaronder die van het Rijk, maar ook een tiental gemeenten, vijf veiligheidsregio's en vier GGD'en.
Wat deze organisaties met elkaar gemeen hebben, is dat hun belangrijkste websites draaien op Wordpress: een contentmanagementsysteem (CMS) dat wereldwijd populair is onder webredacteuren. Die populariteit heeft wel een keerzijde, namelijk ook hackers wijden graag hun energie aan het blootleggen van de inherente kwetsbaarheden van Wordpress. Die zijn talrijk, maar het Trouw-artikel gaat met name in op het gemak waarmee 'gewone' websitebezoekers de inlogpagina voor webredacteuren kunnen opvragen. Op zichzelf is dit nog niet voldoende om toegang te krijgen, maar het vergroot wel het zogenaamde aanvalsoppervlak. En als deze pagina niet is beveiligd met sterke authenticatie - hetgeen maar al te vaak gebeurt - dan is dit voor een hacker haast een uitnodiging om in te breken en de overheidswebsite over te nemen. Een in het artikel aangehaalde cybersecurity expert vond dit 'schokkend'. Want informatiebeveiligers van de betrokken organisaties zouden de risico's toch beter moeten inschatten. Maar hoe schokkend men dit ook vindt, het is het niet aannemelijk dat iemand, zoals dat heet, zal worden ontslagen voor het aanschaffen van Wordpress, net zoals niemand ooit is ontslagen voor het aanschaffen van Microsoft-, of daarvoor, IBM producten.
Onze Solution Architect Martin van Amersfoorth: "Toch denken we dat het probleem niet vanzelf zal weggaan, en dat er iets moet gebeuren. Als er dan toch koppen moeten rollen, laat het dan die van het contentmanagementsysteem zelf zijn. Het gevolg - een headless CMS - is juist een goed voorbeeld van het principe van 'security by design' waar overheden zich aan te houden hebben: het implementeren van systemen die vanaf de grond af aan zijn opgebouwd met beveiligingsmaatregelen. Door het 'hoofd' - de website - te ontkoppelen van de rest - het redactiesysteem - wordt ervoor gezorgd dat het aanvalsoppervlak drastisch wordt verkleind, en buitenstaanders op geen enkele manier toegang krijgen tot de controlerende onderdelen van een website." Mede op basis van technologieën zoals headless CMS en React kan Finalist u helpen met het realiseren van websites die niet alleen vanaf de grond af aan zijn beveiligd, maar die ook vele malen sneller zijn, en ook beter schalen. Wij staan klaar om de dreigingen voor u weg te nemen.
Voor meer informatie contact opnemen met Samantha Boer, Accountmanager Finalist +31 6 21397155, [email protected]
Bekijk hier het artikel van Trouw.