Kritiek op niet naleven securityregels overheidswebsites: geen rocketscience

30 januari 2023 | IB&P | nieuwsberichten, informatie, informatiebeveiliging (nieuws)

De helft van de domeinnamen van overheden voldoet nog steeds niet aan verplichte securitystandaarden, zo werd half november 2022 duidelijk uit een meting van Forum Standaardisatie. IT politici van D66 en VVD, Dave Maasland van ESET Nederland en digitale burgerrechtenorganisatie Bits of Freedom zijn kritisch. Dit is echt het minimale wat je moet doen, zegt techonderzoeker Joran van Apeldoorn van Bits of Freedom bijvoorbeeld.

Forum Standaardisatie onderzocht voor ruim 2.500 domeinnamen in hoeverre zij voldoen aan de door de overheid verplicht gestelde informatiebeveiligingsstandaarden en of ze bereikbaar zijn via IPv6. Slechts 53 procent voldoet aan alle verplichte websitestandaarden en 44 procent voldoet aan de verplichte e-mailstandaarden. Dat terwijl de deadlines van de adoptieafspraken voor de beide sets standaarden al in 2019 en 2021 zijn verlopen.

Toch gaat het niet om hele ingewikkelde standaarden. Volgens de adoptieafspraken moeten bij alle overheidswebsites waar bij burgers of bedrijven gegevens in moeten voeren, TLS in de vorm van HTTPS toegepast zijn. Ook moet DNSSEC gebruikt worden voor elke domeinnaam waarmee een overheidsorganisatie met burgers of bedrijven communiceert en moet e-mailspoofing bestreden worden door SPF, DKIM en DMARC toe te passen op alle domeinnamen, ook als deze geen gebruikmaken van e-mail. En sinds eind 2021 moeten alle websites en e-maildomeinen ook bereikbaar zijn via IPv6.

De eerste van deze afspraken werd zeven jaar geleden al gemaakt, maar geen van de streefbeelden voor de overheid is als geheel gehaald, stelt Forum Standaardisatie. En de risico s daarvan kunnen groot zijn, vertelt Dave Maasland, directeur van ESET Nederland. Het probleem in dit geval is ook dat alle ministeries uiteindelijk onderdeel uitmaken van een orgaan: De overheid. Dus als 1 onderdeel slechts beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd. Ministeries hebben onderling veel contact en dit maakt het voor aanvallers gemakkelijker om binnen te komen en over te springen op andere ministeries. Tot slot is de voorbeeldrol van de overheid belangrijk en wat dit zegt over de overige IT-beveiligingsmaatregelen. Het vertrouwen in overheden en instanties is belangrijk, zeker met de huidige geopolitieke spanningen. De dreiging op gerichte aanvallen, die vaak via phishing beginnen, zijn nog nooit zo groot geweest.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Huisartsenorganisatie Medrie lekt gegevens van ruim tweeduizend patiënten - 30 januari 2026
De nieuwe interne dreiging: het beveiligen van de AI agent - 30 januari 2026
Het nieuwe ransomwarehandboek: ai-gestuurde afpersing en data-first-aanvallen - 29 januari 2026

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Ransomware bij een leverancier – waarom wachten geen strategie is

Een ransomware-incident bij een leverancier kan de gemeentelijke dienstverlening direct raken, juist omdat overzicht, contractmanagement en voorbereiding vaak onvoldoende zijn ingericht. Door inzicht te hebben in leveranciers, duidelijke afspraken te maken en ook organisatorisch na te denken over handelingsperspectief, voorkom je dat de gemeente bij een incident in een afwachtende slachtofferrol belandt.

Verder lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.

Verder lezen

Het belang van de Management Review binnen het ISMS

Een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit inhoudt, waarom het zo belangrijk is en hoe je het als gemeente maximaal benut.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Huisartsenorganisatie Medrie lekt gegevens van ruim tweeduizend patiënten	30 januari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
De nieuwe interne dreiging: het beveiligen van de AI agent	30 januari 2026 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen
Het nieuwe ransomwarehandboek: ai-gestuurde afpersing en data-first-aanvallen	29 januari 2026 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen
Privacy First hekelt voorstel om UBO-register openbaar te maken	29 januari 2026 \| IB&P \| privacy (nieuws), nieuwsberichten, informatie	Verder lezen
Is de AWS European Sovereign Cloud soeverein genoeg?	28 januari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Grote Limburgse ziekenhuizen realistisch over dreiging van cybercriminaliteit: Je kan het risico nooit helemaal wegwerken	28 januari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
‘SVB niet afhankelijk van cloud voor primair proces’	27 januari 2026 \| IB&P \| informatie, privacy (nieuws), nieuwsberichten	Verder lezen
Nederlandse cyberweerbaarheid aan vele kanten onder druk	27 januari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Toyota aangeklaagd door bestuurder na explosieve stijging verzekeringspremie door gedeelde rijdata	26 januari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Slachtoffer bankhelpdeskfraude krijgt 84.000 euro schade niet vergoed	26 januari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen