Knops: geen bezwaar tegen gebruik van WordPress voor overheidssites
Het Nationaal Cyber Security Centrum (NCSC) raadt het gebruik van WordPress voor overheidssites niet af. Daarnaast is de hoeveelheid bekende kwetsbaarheden geen exacte maatstaf om de veiligheid van een product te beoordelen, zo stelt demissionair staatssecretaris Knops op Kamervragen van DENK.
Aanleiding voor de vragen was berichtgeving van dagblad Trouw dat de overheid door het gebruik van WordPress-sites waarvan de inlogpagina voor iedereen toegankelijk is het "hackers" eenvoudig maakt om in te breken. Knops laat weten dat sinds januari 2019 de Baseline Informatiebeveiliging Overheid (BIO) voor van kracht is. De BIO stelt dat voorafgaand aan het gebruik van een informatiesysteem een risicoafweging moet worden gemaakt die vervolgens richtinggevend is voor het nemen van beveiligingsmaatregelen.
"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris. Daarnaast verplicht de BIO verschillende acties, waaronder het nemen van beveiligingsmaatregelen voor publieke inlogpagina's waar een gebruikersnaam en wachtwoord moeten worden ingevuld.
Dat zijn het verplichte gebruik van tweefactorauthenticatie. Als dat niet aan de orde is, dan worden eisen gesteld aan de complexiteit van de wachtwoorden. De BIO schrijft ook voor dat beveiligingsupdates voor ernstige kwetsbaarheden in hard- en software binnen een week moeten worden geïnstalleerd en dat in de tussentijd op basis van een expliciete risicoafweging mitigerende maatregelen getroffen moeten worden.
Trouw stelde dat het inloggen met alleen een gebruikersnaam en wachtwoord niet voldoet aan de richtlijn van het NCSC. In de beveiligingsrichtlijnen voor webapplicaties adviseert het NCSC om sterke authenticatiemechanismen voor de toegang tot systemen te overwegen. "Publieke webpagina’s waarin het volstaat om met een gebruikersnaam en wachtwoord in te loggen, voldoen niet zonder meer aan de overweging uit de hierboven genoemde richtlijn van het NCSC", laat Knops daarover weten.
De staatssecretaris voegt toe dat beveiliging het resultaat is van een risico-afweging om wat voor informatie het gaat. Daarnaast gaat het bij beveiliging om de samenhang van getroffen maatregelen en niet om het richten op slechts één maatregel, laat hij verder weten. "Dat kan betekenen dat bij een authenticatie met alleen gebruikersnaam en wachtwoord op andere plaatsen in het systeem aanvullende maatregelen zijn getroffen (segmentering, beperking van rechten, etc.). Welke dat zijn, zal per geval verschillen", merkt Knops op.
Volgens de staatssecretaris houdt dit in dat het NCSC het gebruik van Wordpress op zich niet afraadt. "Het is aan overheidsorganisaties om door het treffen van de verplichte maatregelen uit de BIO en aanvullende maatregelen, voortvloeiend uit een risicoafweging, te bepalen hoe Wordpress veilig kan worden ingezet."
DENK-Kamerlid Van Baarle vroeg ook naar de mening van de minister dat de website van de Informatiebeveiligingsdienst (IBD) op WordPress draait. Knops laat daarover weten dat de IBD periodiek penetratietesten uitvoert op de website en aan de hand van de uitkomsten maatregelen neemt. "Ik zie daarom geen bezwaar tegen het gebruik van individuele softwarepakketten, zoals Wordpress, als risicoafwegingen zijn gemaakt en maatregelen zijn getroffen."
Verder wilde het Kamerlid weten wat de staatssecretaris ervan vindt dat het NCSC tientallen keren beveiligingsbulletins heeft uitgebracht met informatie over kwetsbaarheden in WordPress. Volgens Knops zijn dergelijke waarschuwingen aan de orde van de dag en worden die voor heel veel programma's door het NCSC verstuurd. "Ik heb niet het beeld dat de hoeveelheid bekende kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen."
"Erkent u dat de overheid tekort heeft geschoten in het treffen van digitale beveiligingsmaatregelen tegen eventuele hackers?", vroeg Van Baarle verder. "Dat beeld deel ik niet", antwoordt de staatssecretaris daarop.
Let erop dat er ook zoiets bestaat als overbeveiliging. Overal MFA, op alle systemen alle mogelijke SIEM events monitoren, alle systemen verplichte source code analyses laten ondergaan, overal zus en zo ... dat gaat je tientallen miljoenen extra per jaar kosten. Wie gaat dat betralen? Geld groeit helaas niet aan een boom, dus er moeten keuzes worden gemaakt.
Dat dus niet alles "Fort Know style" wordt beveiligd is niet meer dan normaal. Daar hebben we ook BIA classificaties voor. Public info wordt niet op dezelfde manier beschermd als confidential info. Als je dat wel wilt, dan zul je management moeten overtuigen dat die miljoenen prima besteed zijn. Ga er maar aan staan.
In theorie klinkt het allemaal erg aannemelijk. Iedereen die echter wat jaartjes meedraait in de security weet ook: de theorie komt zelden overeen met het beleid.
Om een voorbeeld te noemen: de risicoafweging die wordt genoemd. Dat zijn vaak lachwekkende exercities. De software is al aangeschaft, inclusief alle problemen die later pas naar voren komen, zoals niet te upgraden naar de nieuwste Java versie, bepaalde configs die niet kunnen worden afgedwongen, events die niet kunnen worden gelogd, gebrekkige integratie met bestaande producten, geen support voor de meest veilige protocolvarianten zoals TLSv1.3 en ga zo maar verder. En wat krijg je dan: mensen kletsen naar een oplossing toe om het risico toch maar te accepteren. Want ja, de rekening is al betaald.
We hebben een firewall (waar de regels inmiddels een grote puinhoop zijn). En netwerkscheiding (waarbij de users in D, T, A en P met hetzelfde account aanloggen). En antivirus (die uit te schakelen is zonder dat dit wordt gemonitored). En user awareness (waarbij mensen een verplichte cursus hebben gevolgd die niets voorstelt). En monitoring (waarbij een compliance-lijstje wordt afgewerkt dat zelfs bekende aanvallen nauwelijks detecteert). En ....
Daarnaast is het in de praktijk een zwaktebod om te wijzen naar wat zou moeten gebeuren volgens het beleid. Als we puur de compliance-blik hanteren, en we gaan kijken hoeveel systemen tot welk niveau voldoen aan de verplichte eisen, dan word je niet vrolijk. Zoek via je favoriete zoekmachine op "rekenkamer beveiliging" en je vraagt je toch af waar al die rapporten vandaan komen als het beleid zo goed wordt gevolgd?! Om dan te schermen met diezelfde richtlijnen is een zwaktebod en theoretisch sterk, maar praktisch zeer zwak.
Ook de verwijzing naar periodieke pentesten doet het theoretisch goed, maar is vaak een druppel op de gloeiende plaat. Ten eerste is een pentest een momentopname. Morgen hebben we weer 15 changes op het programma staan en niemand weet door de enorme complexiteit hoe dit de rest van het applicatielandschap op welke vlakken precies zal beïnvloeden. Waar komen immers al die incidenten en prio meldingen na changes vandaan? Ten tweede richten pentesten zich veelal slechts op een zeer klein deel van de cpplicatie, doordat je anders permanent aan het pentesten bent. Ten derde worden pentesten niet heel frequent uitgevoerd (hoewel dit voor internet-facing applicaties wellicht anders is bij de overheid). Bij sommige systemen is dat zelfs alleen "by livegang", als dat dan al gebeurt, waarna er geen pentesten meer worden uitgevoerd. Misschien nog wel een periodieke vulnerability management scan of Desired State Configuration check via Nessus of zelfgemaakte Powershell scripts (waarbij de opvolging vaak een uitdaging is, zeker bij grote netwerken zoals bij de overheid), maar ook dat is geen zekerheid. Dus theoretisch leuk, maar de praktijkcontext is vele malen belangrijker.
En wat betreft die exacte maatstaf voor bepaling van de veiligheid: die is inderdaad lastig te geven. Maar als er tientallen bugs met een hoge CVSS score zijn uitgekomen voor een applicatie (denk aan Flash), al dan niet afgezet tegen b.v. "lines of code" (LOC), dan is dat een aardige indicator hoe veilig dat product is. Zeker niet zaligmakend, maar dit soort informatie geeft wel een beeld. Ik ben oprecht benieuwd wat de lezers van dit forum denken dat een goede maatstaf is.
En nu een met de plugins (want wie gebruikt puur Wordpress?): https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
Maar, voor de rest prima bruikbaar hoor! Gewoon ermee doorgaan...
En nu een met de plugins (want wie gebruikt puur Wordpress?): https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
Maar, voor de rest prima bruikbaar hoor! Gewoon ermee doorgaan...
Beetje kansloze opmerking..
Laten we vooral het gebruik van software laten leiden door het aantal cve's
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+kernel
om er maar 2 te noemen.
Beetje kansloze opmerking..
Laten we vooral het gebruik van software laten leiden door het aantal cve's
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+kernel
om er maar 2 te noemen.
Dat is nu net waar 99% van de Wordpress websites de mist in gaan, ze voldoen (bijna nooit) aan de W3C standaarden.
dan een super-de-duper cms op https://overheiddienst.nl/ (waar je dus als eindgebruiker geen idee hebt of dat wel van de overheid is).
-10penny
Ik ben het met je eens, maar om nog een andere reden. Software, applicaties en websites hebben nogal de neiging om te groeien en te evolueren. Gaat het in eerste instantie om statische informatie heb je veel kans dat het een jaar later ineens over dynamische informatie gaat, willeswaar openbaar, maar wel dynamisch waarschijnlijk uit een database. Wellicht dat er in eerste instantie geen vertrouwelijke informatie in die database staat, maar alleen openbare publiek toegankelijke informatie (heel onwaarschijnlijk), dan zegt dat nog niets over wat er in de jaren daarna allemaal voor informatie wordt opgelsagen in die database. MIsschien nog wat later, maakt men een klantenportaal in die website (hoeveel websites hebben nu niet een: "mijn.xyz.nl" - portal. Dan praat je dus al over persoonsgegevens. Etcetera.
Mijn punt is: als je de beveiliging niet van te voren goed uitdenkt en niet zo inricht dat het mee kan groeien met de applicatie, dan ben je x jaar later de lul. Dan heb je of een onveilige applicatie, of eentje die zoveel werk kost om veilig te maken, dat het beter herbouwt kan worden. Hoeveel overheidsprojecten zijn niet kostentechnisch zo gi-gan-tisch uit de klauwen gelopen dat het niet grappig meer is.
En reken maar dat beveliging ook nog eens kostentechnisch gezien, voor managers, het meest oninterresantste stukje is om geld in te steken.
Beveiliging moet *van te voren* goed uitgedacht worden. Het moet al zo in elkaar zitten dat het kan meegroeien met de applicatie. Dat je ofwel al een hoge beveiligingsgraad hebt, default secure, of dat het makkelijk is om andere authenticatie/encryptie/whatever technieken erin te zetten. Vanaf de grond af moet het ontwikkeld zijn met een visie dat alleen maar het minimale aan gegevens toegankelijk is etc.
Je vergelijking gaat hier m.i. mank.
als iedereen zo zou redeneren dan gaan we kosten maken die niet nodig zijn, wil jij dan ook meer belasting betalen?
Dat is nu net waar 99% van de Wordpress websites de mist in gaan, ze voldoen (bijna nooit) aan de W3C standaarden.
Wat probeer je hjer te zeggen?
Of je voldoet aan W3C standaarden bepaal je door de standaarden toe te passen in het gebruikt DMS, in dit artikel WP. Dat is een keuze en heeft niks met het DMS te maken.
dus niet met user enumeration op enabled laten staan alsmede directory listing.
Dat er geen kwetsbare plug-ins gebruikt worden. Dat script bibliotheken met veilige versies draaien.
Dat de connectie van de website op de achterliggende server voldoende beveiligd is.
Dit is wat je allemaal van een veilige Word Press overheidssite mag eisen, toch?
Hoe veel sites voldoen hier niet aan?
Beveiliging is vaan een "last resort issue" oftewel een sluitpost op de begroting.
Die de beveiligingsbeslissingen nemen en moeten uitvoeren zijn vaak niet dezelfden.
Die er verstand van moeten hebben, hebben het veelal niet.
Die er wel verstand van blijken te hebben, doen er veelal niet toe.
Hoeveel schade zullen we nog moeten verstouwen, aleer dit bovenstaande patroon zich gaat wijzigen.
Steeds blijft men echter weer z'n huisje op het ijs bouwen,
Krak zei het ijs, weg was Gijs.
luntrus
Of je voldoet aan W3C standaarden bepaal je door de standaarden toe te passen in het gebruikt DMS, in dit artikel WP. Dat is een keuze en heeft niks met het DMS te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
