Kritiek op niet naleven securityregels overheidswebsites: geen rocketscience
De helft van de domeinnamen van overheden voldoet nog steeds niet aan verplichte securitystandaarden, zo werd half november 2022 duidelijk uit een meting van Forum Standaardisatie. IT politici van D66 en VVD, Dave Maasland van ESET Nederland en digitale burgerrechtenorganisatie Bits of Freedom zijn kritisch. Dit is echt het minimale wat je moet doen, zegt techonderzoeker Joran van Apeldoorn van Bits of Freedom bijvoorbeeld.
Forum Standaardisatie onderzocht voor ruim 2.500 domeinnamen in hoeverre zij voldoen aan de door de overheid verplicht gestelde informatiebeveiligingsstandaarden en of ze bereikbaar zijn via IPv6. Slechts 53 procent voldoet aan alle verplichte websitestandaarden en 44 procent voldoet aan de verplichte e-mailstandaarden. Dat terwijl de deadlines van de adoptieafspraken voor de beide sets standaarden al in 2019 en 2021 zijn verlopen.
Toch gaat het niet om hele ingewikkelde standaarden. Volgens de adoptieafspraken moeten bij alle overheidswebsites waar bij burgers of bedrijven gegevens in moeten voeren, TLS in de vorm van HTTPS toegepast zijn. Ook moet DNSSEC gebruikt worden voor elke domeinnaam waarmee een overheidsorganisatie met burgers of bedrijven communiceert en moet e-mailspoofing bestreden worden door SPF, DKIM en DMARC toe te passen op alle domeinnamen, ook als deze geen gebruikmaken van e-mail. En sinds eind 2021 moeten alle websites en e-maildomeinen ook bereikbaar zijn via IPv6.
De eerste van deze afspraken werd zeven jaar geleden al gemaakt, maar geen van de streefbeelden voor de overheid is als geheel gehaald, stelt Forum Standaardisatie. En de risico s daarvan kunnen groot zijn, vertelt Dave Maasland, directeur van ESET Nederland. Het probleem in dit geval is ook dat alle ministeries uiteindelijk onderdeel uitmaken van een orgaan: De overheid. Dus als 1 onderdeel slechts beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd. Ministeries hebben onderling veel contact en dit maakt het voor aanvallers gemakkelijker om binnen te komen en over te springen op andere ministeries. Tot slot is de voorbeeldrol van de overheid belangrijk en wat dit zegt over de overige IT-beveiligingsmaatregelen. Het vertrouwen in overheden en instanties is belangrijk, zeker met de huidige geopolitieke spanningen. De dreiging op gerichte aanvallen, die vaak via phishing beginnen, zijn nog nooit zo groot geweest.
Verder lezen bij de bron- Nederland test bewegingssensor voor ambtenaren: werknemers maken zich zorgen over hun privacy - 13 december 2024
- Gegevens 100.000 inwoners Amersfoort gelekt na hack bij softwareleverancier - 12 december 2024
- Logius: Begin op tijd met nieuwe certificaten - 12 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Nederland test bewegingssensor voor ambtenaren: werknemers maken zich zorgen over hun privacy | Verder lezen | |
Gegevens 100.000 inwoners Amersfoort gelekt na hack bij softwareleverancier | Verder lezen | |
Logius: Begin op tijd met nieuwe certificaten | Verder lezen | |
Engelse ziekenhuizen vallen wegens cyberincident terug op pen en papier | Verder lezen | |
AP hekelt plan kabinet voor centrale database met locatiegegevens taxiritten | Verder lezen | |
Proefschrift: Gegevensbescherming en mededinging verweven | Verder lezen | |
Hoe AI anomaliedetectie verbetert en waarschuwingsmoeheid aanpakt in cyberbeveiliging | Verder lezen | |
Europese wetgeving rond digitale weerbaarheid: wat is op wie van toepassing? | Verder lezen | |
Europol: logs, namen en ip adressen belangrijkste data voor politieonderzoek | Verder lezen | |
Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand | Verder lezen |