De Informatiebeveiligingsdienst voor gemeenten IBD wil systemen van gemeenten dit jaar actief gaan scannen op kwetsbaarheden en risicovolle configuraties en heeft door de Log4j-kwetsbaarheid de eerste scans inmiddels al uitgevoerd. De IBD is in 2013 door alle Nederlandse gemeenten opgericht en ondergebracht bij de Vereniging van Nederlandse Gemeenten (VNG).

De IBD is van plan om dit jaar een pilot uit te voeren waarbij het de systemen van gemeenten actief scant op de aanwezigheid van kwetsbaarheden en risicovolle configuraties. "In december 2021 was deze pilot in voorbereiding en deed zich de kans voor om te scannen op de Log4j-kwetsbaarheid", zo meldt de IBD in een document over de lessen die door de Log4j-kwetsbaarheid zijn geleerd.

Voor het uitvoeren van deze scan vroeg de IBD toestemming aan gemeenten, die op hun beurt weer toestemming moesten verlenen namens hun leveranciers. De scan van de IBD leek op de scans die ook criminelen, onderzoekers en statelijke actoren uitvoeren, waarbij de IBD de resultaten met gemeenten deelde. Volgens de dienst waren de reacties overwegend positief of neutraal.

"In enkele gevallen gaven gemeenten aan dat de vraag om toestemming niet wenselijk was", laat de IBD weten. De dienst kijkt samen met gemeenten of en hoe het mandaat om te scannen kan worden ingericht. Daarnaast stelt de IBD dat het gemeenten nauwkeuriger kan waarschuwen als die gegevens over hun systemen, domeinen en ip-adressen aanleveren.

Bij de Log4j-kwetsbaarheid had de IBD via partners veel informatie over ip-adressen van kwetsbare systemen, die vervolgens werden gefilterd op gemeentelijke adressen. "Hoe nauwkeuriger en actueler de gemeente de gegevens aanlevert, hoe beter de IBD haar rol kan invullen", aldus de dienst.