Veel overheid websites onnodig onveilig

Open State Foundation lanceert online dashboard Pulse

01 DECEMBER 2016, AMSTERDAM
Samenvatting
Een groot aantal Nederlandse overheid websites gebruiken nog steeds geen veilige HTTPS-verbinding. Van de 1.816 onderzochte domeinen ondersteunt minder dan de helft een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Dat blijkt uit het vandaag door Open State Foundation gelanceerde online dashboard Pulse (pulse.openstate.eu). Van alle overheidswebsites van de Rijksoverheid, websites van gemeenten, provincies en gemeenschappelijke regelingen, heeft slechts 44% een HTTPS-verbinding, waarvan een kwart niet correct zijn geconfigureerd. Bezoekers lopen onnodig risico’s bij 62% van alle geregistreerde overheid websites.

Een groot aantal Nederlandse overheid websites gebruiken nog steeds geen veilige HTTPS-verbinding. Van de 1.816 onderzochte domeinen ondersteunt minder dan de helft een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Dat blijkt uit het vandaag door Open State Foundation gelanceerde online dashboard Pulse (pulse.openstate.eu).

Van alle overheidswebsites van de Rijksoverheid, websites van gemeenten, provincies en gemeenschappelijke regelingen, heeft slechts 44% een HTTPS-verbinding. Van de 797 overheid websites met een HTTPS-verbinding zijn 108 niet correct geconfigureerd waardoor bezoekers alsnog onnodig risico’s lopen bij 62% van alle overheid websites.

Via het vandaag gelanceerde Pulse dashboard kunnen gebruikers zien of een overheid website een veilige HTTPS-verbinding ondersteunt en hoe sterk de implementatie daarvan is. Van de in totaal 1.032 websites van ministeries hebben slechts 470 websites een HTTPS-verbinding maar daarvan zijn 66 websites niet goed geconfigureerd waardoor de verbinding alsnog onveilig is.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden, waaronder Afghanistan, China, Egypte en Saoedi Arabie die niet beveiligd zijn met een goed functionerende https-verbinding.

Van alle gemeente websites heeft 55% een correct geconfigureerde HTTPS-verbinding en van de twaalf provincies hebben 5 provincies een correct ingevoerde HTTPS-verbinding. De websites van de provincies Friesland, Limburg, Drenthe, Groningen en Zuid-Holland hebben helemaal geen HTTPS-verbinding. Van de 348 websites van gemeenschappelijke regelingen hebben slechts 75 domeinen een HTTPS-verbinding maar daarvan is een derde niet veilig geinstalleerd.

“Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden”, zegt Arjan El Fassed, directeur van Open State Foundation die digitale transparantie nastreeft. “Met Pulse hebben we een eenvoudige dashboard gebouwd die laat zien welke overheden internetveiligheid echt serieus nemen”.

“De overheid onderstreept regelmatig het belang van een veilige en betrouwbare digitale infrastructuur. Het is dan ook onbegrijpelijk dat onze overheid dit niet beter doet,” zegt Rejo Zenger, beleidsadviseur bij burgerrechtenbeweging Bits of Freedom. “Het is een hele simpele ingreep waarmee de overheid het goede voorbeeld kan geven en de ontwikkeling en toepassing van versleuteling kan ondersteunen.”

Bij gebruik van HTTPS worden gegevens versleuteld, waardoor communicatie met een webserver niet is in te zien of te manipuleren. Op websites zonder HTTPS-verbinding lopen bezoekers onnodige risico’s waardoor het voor een buitenstaander mogelijk kan zijn te weten welke gegevens worden verstuurd. Het configureren van HTTPS luistert nauw. Tot nu toe wordt voor overheidswebsites HTTPS aanbevolen en is het onderliggende protocol TLS verplicht.


Voorbeelden van overheidsites zonder https

Voorbeelden van overheidsites met incorrecte https

  • ibewustzijnoverheid.nl : Deze website van het Ministerie van Binnenlandse Zaken ondersteunt HTTPS maar dwingt dit niet af en de verbinding scoort slecht op het gebied van veiligheid. Dit is opvallend omdat deze website met slogans als ‘werk veilig en vaardig’ en ‘werk ibewust’ zich richt op bestuurders en medewerkers binnen overheidsorganisaties om ze te wijzen op het belang van informatieveiligheid.
  • kiesbeter.nl : De HTTPS-verbinding van deze website van het Ministerie van Volksgezondheid, waarop je naar medische informatie en aandoeningen kunt zoeken is niet goed ingesteld.
  • lerenenwerken.nl: Deze voor ‘Website van het Jaar 2016‘-genomineerde website van het Ministerie van Sociale Zaken en Werkgelegenheid heeft weliswaar een HTTPS-verbinding maar ook deze verbinding is niet correct geconfigureerd. Bij deze website is bijvoorbeeld HSTS uitgeschakeld.
  • huurcommissie.nl : Op deze website staan formulieren waarin persoonsgegevens en bsn nummers moeten worden ingevuld, maar deze HTTPS-verbinding is niet veilig.
  • heusden.nl : Dat geldt ook voor deze gemeente website, waarop gebruikers weliswaar met DigiD veilig kunnen inloggen op ‘mijn loket’ maar vervolgens weer teruggaan naar het onveilige heusden.nl waarop deze informatie is in te zien.
  • clientexport.nl : De HTTPS-verbinding van deze applicatie waarmee Nederlandse exporteurs aanvragen kunnen doen voor elektronische exportcertificaten, blijkt ook niet goed geïnstalleerd. Dit is bijzonder vreemd, niet alleen omdat dit een onderdeel is ‘van een netwerk van nationale eCert-systemen waarmee overheden electronisch communiceren over eisen, zekerheden en garanties’ maar ook omdat op deze website wordt gemeld dat dit ‘via beveiligde internet-verbindingen’ gebeurt, ‘zodat de ontvangende overheid zeker weet dat de informatie afkomstig is van de exporterende overheid’.
  • venjdialoog.nl, risicotoolbox.nl en I-interimrijk.nl : Deze overheid websites waar bezoekers zich moeten registreren blijken niet veilig. Zo zijn de verbindingen van venjdialoog.nl, risicotoolboxbodem.nl en zelfs i-interimrijk.nl (‘Met I-Interim Rijk investeren we in het ontwikkelen en vasthouden van strategische ICT-knowhow’) niet veilig.
Citaten
"Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden. Met Pulse hebben we een eenvoudige dashboard gebouwd die laat zien welke overheden internetveiligheid echt serieus nemen." Arjan El Fassed, directeur van Open State Foundation
"De overheid onderstreept regelmatig het belang van een veilige en betrouwbare digitale infrastructuur. Het is dan ook onbegrijpelijk dat onze overheid dit niet beter doet. Het is een hele simpele ingreep waarmee de overheid het goede voorbeeld kan geven en de ontwikkeling en toepassing van versleuteling kan ondersteunen." Rejo Zenger, beleidsadviseur Bits of Freedom.
Afbeeldingen
Download PDF
Download PDF
Over Open State Foundation

Open State Foundation bevordert digitale transparantie door het ontsluiten van open data en de ontwikkeling van innovatieve en creatieve toepassingen te stimuleren.

Open State Foundation promotes digital transparency by unlocking open data and stimulates the development of innovative and creative applications.

berichten