072 - 201 61 16 31722016116

Professionele bouwers van jouw nieuwe game pc op maat

Zelf PC samenstellen

Staatssecretaris ziet geen bezwaar tegen het gebruik van WordPress voor overheidssites

datum: 06-07-2021Categorie: InternetBron: Tweakers

De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties geeft aan geen bezwaar te zien tegen het gebruik van WordPress voor overheidswebsites, zoals die van de Informatiebeveiligingsdienst.

Dat zegt vertrekkend staatssecretaris Raymond Knops naar aanleiding van Kamervragen van DENK-Kamerlid Van Baarle. Deze Kamervragen volgen op een onderzoek van Trouw , dat beweerde dat tientallen overheidswebsites op WordPress draaien en een publiek toegankelijke inlogpagina hebben voor beheerders. Daardoor zouden ze eerder doelwit worden van kwaadwillenden, stelt Trouw in het artikel.

Volgens Trouw voldoen de websites dan ook niet aan de richtlijnen die het Nationaal Cyber Security Centrum voor websites van de overheid stelt. Het NCSC adviseert onder meer om openbare pagina's en beheerderspagina's te scheiden. Dat gebeurt te weinig, zei Trouw in juni.

Knops citeerde hierover dinsdag de Rijksinformatiebeveiligingsbasis. Deze BIO is sinds 2019 van kracht en bevat een basisnormenkader voor de beveiliging van overheidsinstellingen. In dit kader staat onder meer dat er voorafgaand aan het gebruik van een informatiesysteem een risico-inschatting moet worden gemaakt, die vervolgens handvatten geeft voor het nemen van beveiligingsmaatregelen, schrijft staatssecretaris Knops.

"Proportionaliteit is het uitgangspunt. Met andere woorden, als het zeer vertrouwelijke informatie betreft, dan worden andere afwegingen gemaakt dan wanneer het gaat om openbare informatie waarvan de beschikbaarheid belangrijk is."

Box 9.4.2.1 van de BIO vereist ook dat ten minste tweefactorauthenticatie verplicht is als 'toegang wordt verleend vanuit een niet-vertrouwde zone tot een vertrouwde zone'. Indien dit niet mogelijk is, worden eisen gesteld aan de complexiteit van het wachtwoord. Ook moet de toegang tot een account na tien foutieve inlogpogingen tijdelijk worden geblokkeerd en moeten wachtwoorden minimaal elke zes maanden worden gewijzigd.

Volgens Knops wordt het gebruik van WordPress en openbare inlogpagina's niet direct afgeraden, afhankelijk van de situatie en mits overheidsinstellingen de verplichte en noodzakelijke beveiligingsmaatregelen nemen. De autoriteiten zijn hiervoor zelf verantwoordelijk. "Het is aan overheidsorganisaties om door het nemen van de verplichte maatregelen uit de BIO en aanvullende maatregelen, voortvloeiend uit een risicobeoordeling, te bepalen hoe WordPress veilig kan worden gebruikt."

Kamerlid Stephan van Baarle vraagt naar de veiligheidsrisico's van WordPress. Van Baarle stelt dat het Nationaal Cyber Security Centrum sinds 2014 heeft gewaarschuwd voor 36 beveiligingslekken in de software. Volgens Knops worden deze waarschuwingen "nauwlettend gevolgd door afzonderlijke overheidsorganisaties". "De BIO stelt eisen aan het toepassen van beveiligingspatches voor ernstige kwetsbaarheden in hardware en software."

Dergelijke meldingen van kwetsbaarheden zijn volgens Knops aan de orde van de dag en worden voor veel verschillende systemen verstuurd. "Ik heb niet het gevoel dat het aantal bekende kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen. Er spelen ook andere factoren mee, zoals de aard, omvang en frequentie van onderzoeken naar een product."

Van Baarle vraagt ook naar de mening van Knops over het feit dat de website van de Informatiebeveiligingsdienst op WordPress draait. Knops geeft aan dat deze website voldoet aan de eisen van de BIO. Ook zou de beheeromgeving van de IBD-website niet openbaar zijn. Verder voert de IBD volgens Knops periodieke pentesten uit om de beveiliging van haar systemen, waaronder de IBD-website, te testen. "Ik zie dan ook geen bezwaar tegen het gebruik van losse softwarepakketten, zoals WordPress, als er eenmaal risico-inschattingen zijn gemaakt en maatregelen zijn genomen."

Nieuws overzicht
Professionele installatie en reparatie van jouw pc of laptop voor de regio Alkmaar, Heerhugowaard, Schagen
Computer hulp zowel bij ons op kantoor als bij jou thuis, bedrijf of op afstand.
KvK nummer:  68747640
BTW nummer:  NL857574176B01