Beveiligingstests
Datum: 16-11-2011
Recentelijk is er een beperkt aantal gemeentes geweest dat hun website via een geautomatiseerd script (programmeercode) heeft getest op beveiligingslekken. Hierbij worden alle invoervelden op de website getest op kwetsbaarheden.
Er zijn leveranciers van de CVDR die deze testscripts direct doorzetten naar de zoek-webservice van de CVDR. Uiteraard is de CVDR beveiligd tegen dergelijke scripts, maar dit heeft wel tot gevolg dat de live omgeving CVDR onnodig belast wordt. Wij vragen u daarom om zorg te dragen dat uw leverancier dergelijke testscripts afvangt op het niveau van de invoervelden, zodat deze niet terecht kunnen komen bij de CVDR. Uw website en de CVDR hebben immers een wederzijdse afhankelijkheid, waardoor de verantwoordelijkheid voor het zo goed mogelijk afvangen van onbedoelde opdrachten (testscripts, maar ook scripts met kwade bedoelingen) ook bij beide partijen ligt. Wij beraden ons momenteel op verdere maatregelen om een dergelijke situatie in de toekomst te vermijden. Overigens raden wij leveranciers nog altijd aan om waar mogelijk gebruik te maken van de webservice van overheid.nl, die beter geschikt is om vanuit de CVDR gepubliceerde regelingen uit te lezen.
Indien u vragen heeft over de beveiliging van de CVDR, dan beantwoorden wij die uiteraard graag. Desgewenst kunt u in overleg zelf een test uitvoeren op de testomgeving (en niet op de live omgeving).
Samenvattend vragen wij u dus de volgende acties te ondernemen:
- Vraag uw leverancier om testscripts en andere scripts af te vangen op het niveau van de invoervelden op uw website.
- Vraag uw leverancier wanneer ze over gaan stappen op de webservice van overheid.nl.
