Veel kerkelijke websites digitaal kwetsbaar

Veel kerkgemeenten in Fryslân hebben hun websites niet goed beveiligd tegen digitale aanvallen. Daardoor kunnen kwaadwillenden websites aanpassen of dreigt in het ergste geval gegevensdiefstal. Dat blijkt uit een steekproef van het Hacklab onderdeel van de MKB Cyber Campus uitgevoerd in opdracht van het Friesch Dagblad.

Foto: Friesch Dagblad

Het Hacklab in Leeuwarden leidt jongeren op tot ethische hackers. Dat zijn computerspecialisten die inbreken in systemen om te controleren of die wel goed beveiligd zijn. Met die bevindingen worden eigenaren geholpen hun beveiliging op orde te brengen. De hackers bekeken in deze steekproef de afgelopen weken 29 websites van Friese kerkgemeenten, verspreid over de provincie, en van verschillende gezindte en grootte. Ze voerden een voorzichtige penetratietest (pentest) uit, waarbij de hackers niet in de systemen zelf kwamen. ,, We keken of de deur van het slot gehaald kan worden, maar gaan niet naar binnen.”, zegt hacker Wino Bouwens.

Bij drie websites werden ernstige tekortkomingen gevonden. ,,Eentje konden we met een paar drukken op de knop platleggen”, vertelt Bouwens. Bij een andere gemeente hadden de hackers kunnen binnendringen en zaken kunnen veranderen. ,,Bijvoorbeeld een virus installeren.”

Bij zeven websites werden kwetsbaarheden gevonden in de zogeheten protocol XML-RPC, een systeem van het veelgebruikte websiteprogramma WordPress. Hier hadden de hackers wachtwoorden kunnen achterhalen, of de website kunnen inzetten bij een ddos-aanval. Bij zo’n ddos-aanval wordt een website platgelegd door vanuit andere systemen (zoals een kerkwebsite) grote hoeveelheden data te sturen. De afgelopen weken werden bijvoorbeeld bij csg Comenius Mariënburg in Leeuwarden en internetprovider KabelNoord uit Dokkum slachtoffer van zo’n aanval.

Bij tien websites van Friese kerkgemeenten wisten de hackers gebruikersnamen te achterhalen. Met die informatie proberen datadieven vaak wachtwoorden te ontfutselen. Bij elf websites stonden tien of meer digitale poorten open. Dit is niet per se onveilig, maar wel een onnodig risico.

Op veel websites vonden de hackers bovendien verouderde software. ,,Bij hoeveel? Je kan beter vragen bij hoeveel niet”, aldus Bouwens. Hoewel er bij veel van die verouderde software geen grote kwetsbaarheden werden gevonden, vormt dit wel een risico. ,,Als de software niet up-to-date gehouden wordt, kunnen er in de toekomst wel kwetsbaarheden ontstaan”, zegt hacker Melle Popma. Het viel verder op dat de websites met de minste digitale functies, zoals antwoordformulieren, ook de minste kwetsbaarheden vertoonden.

Erik Rutkens, voorzitter van de Stichting Cyber Security Centrum Noord-Nederland, vermoedt dat ook bij andere maatschappelijke organisaties de digitale veiligheid te wensen overlaat. Rutkens denkt vooral aan sportverenigingen. Veel van die organisaties hebben op hun website vele persoonsgegevens staan. ,,En die kunnen veel geld waard zijn voor cybercriminelen.”

Met die gegevens, bijvoorbeeld e-mailadressen en wachtwoorden, kunnen criminelen inbreken in systemen. ,,Als je bent ingelogd met je hotmailaccount, is de kans groot dat je die gegevens ook gebruikt voor Facebook. En criminelen kunnen met persoonsgegevens identiteitsfraude plegen.”

Kerken lopen mogelijk nog meer risico. ,,Ik kom zelf ook weleens in de kerk, en daar zie ik veel oudere mensen. Die zijn vaak minder digitaal vaardig.” Ook speelt het religieuze aspect mee. ,,Er is sprake van polarisatie in de samenleving, ook wat betreft antireligieuze gevoelens. En als een voorganger in IJlst iets zegt waar een moslim of atheïst in Zeeland niet blij mee is, moest die laatste vroeger vier uur rijden om de ramen van de kerk in te gooien. Nu kan hij in een paar secondes de website hacken.”

De kerkgemeenten zijn door deze krant op de hoogte gesteld van de kwetsbaarheden. De hackpogingen werden in overleg met de politie gedaan.

Link naar artikel van het Friesch Dagblad

Contact:

Neem contact op met Erik Miedema of Nienke Hoeksma om te horen wat de mogelijkheden zijn voor uw kerk?