Tientallen websites van de overheid hebben een inlogpagina voor beheerders die benaderd kan worden door buitenstaanders. Dat maakt ze kwetsbaar voor cybercrime, zo schrijft Trouw op basis van eigen onderzoek. Het gaat om websites van onder andere het Rijk, gemeenten, veiligheidsregio’s en regionale GGD’s.

Het Nationaal Cyber Security Centrum (NCSC) adviseert om het van buitenaf inloggen als beheerder onmogelijk te maken. Trouw ontdekte dat dit bij tientallen gemeenten, vijf veiligheidsregio’s, vier regionale GGD’s, acht omgevingsdiensten en enkele waterschappen niet gebeurt. Door de gebruikersnaam en het wachtwoord te raden kan een cybercrimineel de hele website overnemen. Hackers hebben technische hulpmiddelen waarmee zij een gebruikersnaam kunnen achterhalen, waarna zij geautomatiseerd wachtwoorden kunnen uitproberen. Vorig jaar werd de gemeente Hof van Twente hiervan het slachtoffer. Via het account ’testadmin’ en het eenvoudig te raden wachtwoord Welkom2020 wisten zij op het netwerk binnen te dringen en ransomware te installeren. Het incident kost de gemeente miljoenen euro’s.

WordPress
De kwetsbare websites, die Trouw ontdekte, werken alle op basis van het CMS WordPress. Dit biedt eenvoudige mogelijkheden om de inlogpagina voor de buitenwereld te verbergen en voor de zekerheid tweetrapsauthenticatie te gebruiken, maar dat gebeurt in de praktijk niet altijd. Trouw consulteerde een internetexpert, die uitzocht dat 165 van de 1148 websites van de Rijksoverheid met WordPress is gebouwd. Meestal gaat het dan om websites die de overheid niet zelf heeft laten bouwen, maar die door externe ict-bedrijven of communicatiebureaus zijn gebouwd.