image

Knops: geen bezwaar tegen gebruik van WordPress voor overheidssites

dinsdag 6 juli 2021, 10:59 door Redactie, 17 reacties

Het Nationaal Cyber Security Centrum (NCSC) raadt het gebruik van WordPress voor overheidssites niet af. Daarnaast is de hoeveelheid bekende kwetsbaarheden geen exacte maatstaf om de veiligheid van een product te beoordelen, zo stelt demissionair staatssecretaris Knops op Kamervragen van DENK.

Aanleiding voor de vragen was berichtgeving van dagblad Trouw dat de overheid door het gebruik van WordPress-sites waarvan de inlogpagina voor iedereen toegankelijk is het "hackers" eenvoudig maakt om in te breken. Knops laat weten dat sinds januari 2019 de Baseline Informatiebeveiliging Overheid (BIO) voor van kracht is. De BIO stelt dat voorafgaand aan het gebruik van een informatiesysteem een risicoafweging moet worden gemaakt die vervolgens richtinggevend is voor het nemen van beveiligingsmaatregelen.

"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris. Daarnaast verplicht de BIO verschillende acties, waaronder het nemen van beveiligingsmaatregelen voor publieke inlogpagina's waar een gebruikersnaam en wachtwoord moeten worden ingevuld.

Dat zijn het verplichte gebruik van tweefactorauthenticatie. Als dat niet aan de orde is, dan worden eisen gesteld aan de complexiteit van de wachtwoorden. De BIO schrijft ook voor dat beveiligingsupdates voor ernstige kwetsbaarheden in hard- en software binnen een week moeten worden geïnstalleerd en dat in de tussentijd op basis van een expliciete risicoafweging mitigerende maatregelen getroffen moeten worden.

Trouw stelde dat het inloggen met alleen een gebruikersnaam en wachtwoord niet voldoet aan de richtlijn van het NCSC. In de beveiligingsrichtlijnen voor webapplicaties adviseert het NCSC om sterke authenticatiemechanismen voor de toegang tot systemen te overwegen. "Publieke webpagina’s waarin het volstaat om met een gebruikersnaam en wachtwoord in te loggen, voldoen niet zonder meer aan de overweging uit de hierboven genoemde richtlijn van het NCSC", laat Knops daarover weten.

De staatssecretaris voegt toe dat beveiliging het resultaat is van een risico-afweging om wat voor informatie het gaat. Daarnaast gaat het bij beveiliging om de samenhang van getroffen maatregelen en niet om het richten op slechts één maatregel, laat hij verder weten. "Dat kan betekenen dat bij een authenticatie met alleen gebruikersnaam en wachtwoord op andere plaatsen in het systeem aanvullende maatregelen zijn getroffen (segmentering, beperking van rechten, etc.). Welke dat zijn, zal per geval verschillen", merkt Knops op.

Volgens de staatssecretaris houdt dit in dat het NCSC het gebruik van Wordpress op zich niet afraadt. "Het is aan overheidsorganisaties om door het treffen van de verplichte maatregelen uit de BIO en aanvullende maatregelen, voortvloeiend uit een risicoafweging, te bepalen hoe Wordpress veilig kan worden ingezet."

DENK-Kamerlid Van Baarle vroeg ook naar de mening van de minister dat de website van de Informatiebeveiligingsdienst (IBD) op WordPress draait. Knops laat daarover weten dat de IBD periodiek penetratietesten uitvoert op de website en aan de hand van de uitkomsten maatregelen neemt. "Ik zie daarom geen bezwaar tegen het gebruik van individuele softwarepakketten, zoals Wordpress, als risicoafwegingen zijn gemaakt en maatregelen zijn getroffen."

Verder wilde het Kamerlid weten wat de staatssecretaris ervan vindt dat het NCSC tientallen keren beveiligingsbulletins heeft uitgebracht met informatie over kwetsbaarheden in WordPress. Volgens Knops zijn dergelijke waarschuwingen aan de orde van de dag en worden die voor heel veel programma's door het NCSC verstuurd. "Ik heb niet het beeld dat de hoeveelheid bekende kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen."

"Erkent u dat de overheid tekort heeft geschoten in het treffen van digitale beveiligingsmaatregelen tegen eventuele hackers?", vroeg Van Baarle verder. "Dat beeld deel ik niet", antwoordt de staatssecretaris daarop.

Reacties (17)
06-07-2021, 11:30 door Anoniem
"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris.
Nee, dit is m.i. verkeerd. Je moet in alle gevallen gaan voor de hoogste beveiliging. Elke beveiliging die lager dan normaal wordt ingesteld (om welke reden dan ook) is vragen aan de hackerswereld de zaak te compromitteren. Dan is het niet meer de vraag OF je systeem wordt overgenomen, maar wanneer.
06-07-2021, 11:36 door Anoniem
DENK gebruikt zelf ook Wordpress.
06-07-2021, 11:42 door Anoniem
Hoera, een stas die het begrijpt!
06-07-2021, 12:01 door Anoniem
Door Anoniem:
"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris.
Nee, dit is m.i. verkeerd. Je moet in alle gevallen gaan voor de hoogste beveiliging. Elke beveiliging die lager dan normaal wordt ingesteld (om welke reden dan ook) is vragen aan de hackerswereld de zaak te compromitteren. Dan is het niet meer de vraag OF je systeem wordt overgenomen, maar wanneer.

Let erop dat er ook zoiets bestaat als overbeveiliging. Overal MFA, op alle systemen alle mogelijke SIEM events monitoren, alle systemen verplichte source code analyses laten ondergaan, overal zus en zo ... dat gaat je tientallen miljoenen extra per jaar kosten. Wie gaat dat betralen? Geld groeit helaas niet aan een boom, dus er moeten keuzes worden gemaakt.
Dat dus niet alles "Fort Know style" wordt beveiligd is niet meer dan normaal. Daar hebben we ook BIA classificaties voor. Public info wordt niet op dezelfde manier beschermd als confidential info. Als je dat wel wilt, dan zul je management moeten overtuigen dat die miljoenen prima besteed zijn. Ga er maar aan staan.
06-07-2021, 12:47 door Anoniem
Door Anoniem: Hoera, een stas die het begrijpt!
Je bedoelt?
06-07-2021, 12:48 door Overcome
Door Anoniem: Hoera, een stas die het begrijpt!

In theorie klinkt het allemaal erg aannemelijk. Iedereen die echter wat jaartjes meedraait in de security weet ook: de theorie komt zelden overeen met het beleid.

Om een voorbeeld te noemen: de risicoafweging die wordt genoemd. Dat zijn vaak lachwekkende exercities. De software is al aangeschaft, inclusief alle problemen die later pas naar voren komen, zoals niet te upgraden naar de nieuwste Java versie, bepaalde configs die niet kunnen worden afgedwongen, events die niet kunnen worden gelogd, gebrekkige integratie met bestaande producten, geen support voor de meest veilige protocolvarianten zoals TLSv1.3 en ga zo maar verder. En wat krijg je dan: mensen kletsen naar een oplossing toe om het risico toch maar te accepteren. Want ja, de rekening is al betaald.

We hebben een firewall (waar de regels inmiddels een grote puinhoop zijn). En netwerkscheiding (waarbij de users in D, T, A en P met hetzelfde account aanloggen). En antivirus (die uit te schakelen is zonder dat dit wordt gemonitored). En user awareness (waarbij mensen een verplichte cursus hebben gevolgd die niets voorstelt). En monitoring (waarbij een compliance-lijstje wordt afgewerkt dat zelfs bekende aanvallen nauwelijks detecteert). En ....

Daarnaast is het in de praktijk een zwaktebod om te wijzen naar wat zou moeten gebeuren volgens het beleid. Als we puur de compliance-blik hanteren, en we gaan kijken hoeveel systemen tot welk niveau voldoen aan de verplichte eisen, dan word je niet vrolijk. Zoek via je favoriete zoekmachine op "rekenkamer beveiliging" en je vraagt je toch af waar al die rapporten vandaan komen als het beleid zo goed wordt gevolgd?! Om dan te schermen met diezelfde richtlijnen is een zwaktebod en theoretisch sterk, maar praktisch zeer zwak.

Ook de verwijzing naar periodieke pentesten doet het theoretisch goed, maar is vaak een druppel op de gloeiende plaat. Ten eerste is een pentest een momentopname. Morgen hebben we weer 15 changes op het programma staan en niemand weet door de enorme complexiteit hoe dit de rest van het applicatielandschap op welke vlakken precies zal beïnvloeden. Waar komen immers al die incidenten en prio meldingen na changes vandaan? Ten tweede richten pentesten zich veelal slechts op een zeer klein deel van de cpplicatie, doordat je anders permanent aan het pentesten bent. Ten derde worden pentesten niet heel frequent uitgevoerd (hoewel dit voor internet-facing applicaties wellicht anders is bij de overheid). Bij sommige systemen is dat zelfs alleen "by livegang", als dat dan al gebeurt, waarna er geen pentesten meer worden uitgevoerd. Misschien nog wel een periodieke vulnerability management scan of Desired State Configuration check via Nessus of zelfgemaakte Powershell scripts (waarbij de opvolging vaak een uitdaging is, zeker bij grote netwerken zoals bij de overheid), maar ook dat is geen zekerheid. Dus theoretisch leuk, maar de praktijkcontext is vele malen belangrijker.

En wat betreft die exacte maatstaf voor bepaling van de veiligheid: die is inderdaad lastig te geven. Maar als er tientallen bugs met een hoge CVSS score zijn uitgekomen voor een applicatie (denk aan Flash), al dan niet afgezet tegen b.v. "lines of code" (LOC), dan is dat een aardige indicator hoe veilig dat product is. Zeker niet zaligmakend, maar dit soort informatie geeft wel een beeld. Ik ben oprecht benieuwd wat de lezers van dit forum denken dat een goede maatstaf is.
06-07-2021, 14:31 door Anoniem
Wordpress CVE's: https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
En nu een met de plugins (want wie gebruikt puur Wordpress?): https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress

Maar, voor de rest prima bruikbaar hoor! Gewoon ermee doorgaan...
06-07-2021, 15:26 door _R0N_
Door Anoniem: Wordpress CVE's: https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
En nu een met de plugins (want wie gebruikt puur Wordpress?): https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress

Maar, voor de rest prima bruikbaar hoor! Gewoon ermee doorgaan...

Beetje kansloze opmerking..

Laten we vooral het gebruik van software laten leiden door het aantal cve's

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+kernel

om er maar 2 te noemen.
06-07-2021, 16:38 door Anoniem
Door _R0N_:
Beetje kansloze opmerking..

Laten we vooral het gebruik van software laten leiden door het aantal cve's

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+kernel

om er maar 2 te noemen.
Misschien moet je je eigen links even wat beter bekijken. De apache gaat bijvoorbeeld in veel gevallen niet over de Apache webserver zelf.
06-07-2021, 16:57 door Ron625
Websites van overheden moeten aan een aantal voorwaarden voldoen, zoals toegankelijkheid en het juiste gebruik van de W3C standaarden.
Dat is nu net waar 99% van de Wordpress websites de mist in gaan, ze voldoen (bijna nooit) aan de W3C standaarden.
06-07-2021, 17:39 door Anoniem
Liever een wordpress site op https://dienst.overheid.nl/
dan een super-de-duper cms op https://overheiddienst.nl/ (waar je dus als eindgebruiker geen idee hebt of dat wel van de overheid is).

-10penny
07-07-2021, 00:51 door botbot
Door Anoniem:
"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris.
Nee, dit is m.i. verkeerd. Je moet in alle gevallen gaan voor de hoogste beveiliging. Elke beveiliging die lager dan normaal wordt ingesteld (om welke reden dan ook) is vragen aan de hackerswereld de zaak te compromitteren. Dan is het niet meer de vraag OF je systeem wordt overgenomen, maar wanneer.

Ik ben het met je eens, maar om nog een andere reden. Software, applicaties en websites hebben nogal de neiging om te groeien en te evolueren. Gaat het in eerste instantie om statische informatie heb je veel kans dat het een jaar later ineens over dynamische informatie gaat, willeswaar openbaar, maar wel dynamisch waarschijnlijk uit een database. Wellicht dat er in eerste instantie geen vertrouwelijke informatie in die database staat, maar alleen openbare publiek toegankelijke informatie (heel onwaarschijnlijk), dan zegt dat nog niets over wat er in de jaren daarna allemaal voor informatie wordt opgelsagen in die database. MIsschien nog wat later, maakt men een klantenportaal in die website (hoeveel websites hebben nu niet een: "mijn.xyz.nl" - portal. Dan praat je dus al over persoonsgegevens. Etcetera.

Mijn punt is: als je de beveiliging niet van te voren goed uitdenkt en niet zo inricht dat het mee kan groeien met de applicatie, dan ben je x jaar later de lul. Dan heb je of een onveilige applicatie, of eentje die zoveel werk kost om veilig te maken, dat het beter herbouwt kan worden. Hoeveel overheidsprojecten zijn niet kostentechnisch zo gi-gan-tisch uit de klauwen gelopen dat het niet grappig meer is.

En reken maar dat beveliging ook nog eens kostentechnisch gezien, voor managers, het meest oninterresantste stukje is om geld in te steken.

Beveiliging moet *van te voren* goed uitgedacht worden. Het moet al zo in elkaar zitten dat het kan meegroeien met de applicatie. Dat je ofwel al een hoge beveiligingsgraad hebt, default secure, of dat het makkelijk is om andere authenticatie/encryptie/whatever technieken erin te zetten. Vanaf de grond af moet het ontwikkeld zijn met een visie dat alleen maar het minimale aan gegevens toegankelijk is etc.
07-07-2021, 09:59 door Ron625 - Bijgewerkt: 07-07-2021, 10:00
Door botbot:MIsschien nog wat later, maakt men een klantenportaal in die website (hoeveel websites hebben nu niet een: "mijn.xyz.nl" - portal. Dan praat je dus al over persoonsgegevens. Etcetera.
Die "mijn.xyz.nl" portals hebben in (bijna?) alle gevallen een ander IP adres, vaak een andere provider en dus een andere server.
Je vergelijking gaat hier m.i. mank.
07-07-2021, 15:01 door Anoniem
Door Anoniem:
"Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is", aldus de staatssecretaris.
Nee, dit is m.i. verkeerd. Je moet in alle gevallen gaan voor de hoogste beveiliging. Elke beveiliging die lager dan normaal wordt ingesteld (om welke reden dan ook) is vragen aan de hackerswereld de zaak te compromitteren. Dan is het niet meer de vraag OF je systeem wordt overgenomen, maar wanneer.

als iedereen zo zou redeneren dan gaan we kosten maken die niet nodig zijn, wil jij dan ook meer belasting betalen?
07-07-2021, 15:07 door Anoniem
Door Ron625: Websites van overheden moeten aan een aantal voorwaarden voldoen, zoals toegankelijkheid en het juiste gebruik van de W3C standaarden.
Dat is nu net waar 99% van de Wordpress websites de mist in gaan, ze voldoen (bijna nooit) aan de W3C standaarden.

Wat probeer je hjer te zeggen?

Of je voldoet aan W3C standaarden bepaal je door de standaarden toe te passen in het gebruikt DMS, in dit artikel WP. Dat is een keuze en heeft niks met het DMS te maken.
07-07-2021, 18:52 door Anoniem
Maar dan moet je bij het gebruik van deze CMS ook niet steeds controleren of de versie recent is en juist geconfigureerd,
dus niet met user enumeration op enabled laten staan alsmede directory listing.

Dat er geen kwetsbare plug-ins gebruikt worden. Dat script bibliotheken met veilige versies draaien.
Dat de connectie van de website op de achterliggende server voldoende beveiligd is.

Dit is wat je allemaal van een veilige Word Press overheidssite mag eisen, toch?
Hoe veel sites voldoen hier niet aan?

Beveiliging is vaan een "last resort issue" oftewel een sluitpost op de begroting.
Die de beveiligingsbeslissingen nemen en moeten uitvoeren zijn vaak niet dezelfden.

Die er verstand van moeten hebben, hebben het veelal niet.
Die er wel verstand van blijken te hebben, doen er veelal niet toe.

Hoeveel schade zullen we nog moeten verstouwen, aleer dit bovenstaande patroon zich gaat wijzigen.

Steeds blijft men echter weer z'n huisje op het ijs bouwen,
Krak zei het ijs, weg was Gijs.

luntrus
07-07-2021, 21:24 door Ron625
Door Anoniem:
Of je voldoet aan W3C standaarden bepaal je door de standaarden toe te passen in het gebruikt DMS, in dit artikel WP. Dat is een keuze en heeft niks met het DMS te maken.
Geef een link van een website die met WP gemaakt is en volledig voldoet aan de W3C standaard, ik kan het niet vinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.