De Bilt was een van de overheidsorganisaties die afgelopen week op een lijst van vijftig gemeenten stond, waarvan de website totaal onbeveiligd was. De gemeente ontkende een probleem te hebben en distantieerde zich van de verantwoordelijkheid om oude sites op te ruimen.

Volgens het gemeentebestuur was er geen beveiligingsprobleem en schreef in antwoord op vragen van de SP: “...hieruit bleek dat voor onze website gebruik wordt gemaakt van de modernste technieken. Van een lek was dan ook geen sprake." Ook tegenover de NOS beweerde de gemeente ten onrechte in de media te zijn gekomen met een lekke site.

Toch beveiligingsprobleem

Dat blijkt nu toch anders in elkaar te steken. De SP ontdekte via Netcraft dat www.debilt.nl vanaf 10 mei 2002 tot 8 oktober 2011 draaide op Windows 2000. Vanaf 8 oktober draait de website afwisselend op Windows 2008, 2003 en 2008. Ook is van provider gewisseld.

Hacker DC tipte Webwereld dat op de nieuwe omgeving diverse poorten open staan die niet open horen te staan. Zo is er ondersteuning voor Windows-netwerken (SMB-protocol) dat de mogelijkheid biedt om schijven of printers te benaderen.

Ook blijkt er een mogelijkheid te zijn geweest om remote in te loggen via een terminal server. Dit is vaak ook te kraken en inmiddels ook ontdekt door de gemeente, want gedurende de week is de poort gesloten. Feiten die op gespannen voet lijken te leven met de beantwoording van eerdere raadsvragen.

Niet de waarheid

Raadslid AnneMarie Mineur (SP) is ontstemd over de gang van zaken en eist opheldering. “Als u gebruik maakt van de modernste technieken, en er geen sprake is van een lek, waarom bent u dan op zo een korte termijn, nota bene op zaterdag, overgestapt op een andere provider?", vraagt ze dan ook.

Tegenover Webwereld stelt ze dan ook dat ze van mening is dat het College van Burgemeesters en Wethouders haar niet juist heeft geïnformeerd. Dat is doorgaans een doodzonde in de politiek. “We hadden niet de modernste software, maar software uit het jaar 2000", zegt ze tegenover Webwereld. “Het is alsof je in een Maliënkolder de volgende oorlog probeert te winnen. Dat gaat helemaal nergens over."

Onderzoek

Mineur wil nu een onafhankelijk onderzoek. Dat moet duidelijkheid geven en zorgen dat dit soort blunders met de website niet meer voorkomen. Ook moet duidelijk worden hoe er een backup-bestand van de gemeente De Bilt op de website van de gemeente Bergambacht heeft kunnen staan.

"Nee wij zijn niet tevreden. We hebben heel sterk de indruk dat de gemeente beveiligingsproblemen probeert weg te moffelen." Tot slot wil Mineur duidelijk hebben welke maatregelen en certificeringen er nu binnen de gemeente zijn op het gebied van ICT-beveiliging.

Oude server

In een reactie stelt de gemeente De Bilt dat het bestand van ruim 1,5 Gb in de directory bij Bergambacht een kopie was van de site van De Bilt met pdf-bestanden, foto's en documenten. "Het bestand bevat louter openbare informatie", stelt een zegsvrouw.

De gemeente zegt afspraken te hebben over de updates, die maandelijks worden geïnstalleerd. Maar onduidelijk blijft waarom er dan kennelijk toch voor de website van server is gewisseld.

Ook wachtwoorden gelekt, niet ernstig

Toch had de gemeente niet alles goed op het netvlies staan, want er was ook een niet openbaar bestand. "Bij nadere beschouwing bleek daar ook een kleine database bij te staan met inloggegevens van webcorrespondenten uit de gemeentelijke organisatie", stelt de gemeente. Het zou gaan om oude inloggegevens. "Er staan geen gebruikersgegevens of andere gevoelige informatie van andere dan deze personen in. Derhalve beschouwen wij dit als ongelukkig maar niet ernstig."

"De berichtgeving van de afgelopen week heeft bij ons absoluut geleid tot extra alertheid. Wij realiseren ons dat 100% veilig niet of nauwelijks te garanderen is en dat goede beveiliging van online data heel belangrijk is", voegt de zegsvrouw toe. De gemeente laat binnenkort een audit op de website uitvoeren.

Update 19:42 reactie De Bilt toegevoegd.