Amsterdam. 31 januari 2019: Websites van de overheid onveilig volgens website van de overheid
Regelmatig verschijnen er stukken over de digitale overheid. Maar hoe zou het aflopen als de digitale overheid eens onder de loep zou worden genomen ten aanzien van de digitale veiligheid? En hoe zou dat beter kunnen dan met een tool van de overheid zelf, https://www.internet.nl ?
De website internet.nl is handig voor iedereen: U kunt er een website naam opgeven en ziet daarna binnen een paar tellen of de site modern en veilig is. De website is door de overheid in samenwerking met SIDN (Stichting Internet Registratie Nederland) ontwikkeld en vrij voor iedereen te gebruiken.
Hieronder ziet u het resultaat van de website ‘overheid.nl’. De veiligheid en compleetheid wordt aangeduid op een schaal van 1 tot 100%. 100% is goed, alles onder de 100% is niet goed genoeg. Met name het tweede en derde punt in het testrapport (zie de begeleidende afbeeldingen) gaan alleen over veiligheid, het eerste punt, IPv6, zegt iets meer over hoe modern de site is. Het resultaat is interessant, want de website van overheid.nl is dus: niet veilig genoeg:
Gemeenten zijn ook onderdeel van de overheid, en daarom heb ik ook mij woon- en werkplaats eens even getest:
De websites van beide gemeenten zijn dus volgens de eigen testsoftware van de overheid niet veilig genoeg.
De volgende test betreft een website van het ministerie van justitie, minjus.nl.
Ook in deze website zit een mogelijk veiligheidslek volgens internet.nl.
En hoe zou het met de Tweede- en met de Eerste Kamer zijn? Hebben senioren het minder goed voor elkaar als het om digitale veiligheid gaat, zo zou U de uitkomst van de test met een beetje fantasie kunnen lezen:
Tweede Kamer duidelijk veiliger dan Eerste Kamer.
Interessant is dat de senioren van de Eerste Kamer de DNS (de route naar de website toe) niet goed beveiligd hebben. Dat is de eerste website in deze test die hierop faalt. Het is daarmee de meest onveilige site van de test tot nu toe.
Als laatste paar tests van dit artikel achtereenvolgens de raad voor de rechtspraak, de drie grootste beveiligingsbedrijven van Nederland en de website van Defensie. De raad voor de rechtspraak heeft alleen geen modern IP adres, maar de drie beveiligingsbedrijven die vast ook weer de overheid als klant zullen hebben, staan er volgens internet.nl slecht bij. Om positief af te sluiten en ook om aan te tonen dat het halen van 100% wel degelijk mogelijk is de test van de site van defensie.nl.
Top drie websites grootste beveiligingsbedrijven ook niet veilig volgens internet.nl
Alle in het artikel genoemde organisaties en bedrijven zijn uitgenodigd om met de auteur van dit artikel in gesprek te gaan en uitleg te krijgen wat ze moeten doen om in deze test wel 100% te gaan scoren. Laten we Nederland weer een stukje veiliger maken!
Voorlopig blijft de vraag of, als deze vanuit het vakgebied van informatiebeveiliging basale punten niet geregeld zijn, de algehele staat van de informatiebeveiliging bij deze organisaties hiermee in lijn ligt?
Over de auteur: Arnoud Bruinsma is CISSP / PO en oprichter van BSM BV, www.bsm.nl. Deze organisatie houd zich bezig met cybercrime onderzoek en preventie.
Internet-veiligheidstest zelf doen?
Ga naar https://www.internet.nl en vul uw eigen website in of een website uit dit artikel. De website is ook gewoon in het Nederlands beschikbaar en op de pagina https://nl.internet.nl/faqs/report/ is een duidelijke toelichting te lezen over hoe de resultaten tot stand komen en welke weging wordt gebruikt. Een rood bolletje komt in het rapport als minimaal 1 verplicht onderdeel (must-have) niet voldaan in deze groep.
Andere voor dit artikel relevante sites:
Faalkaart.nl, nu https://basisbeveiliging.nl/ Een overzicht van de digitale veiligheid van alle gemeenten van Nederland. Zoek uw eigen gemeente maar eens op en als u niet op Texel woont is uw dossier bij de gemeente waarschijnlijk onvoldoende veilig…
Owasp.org, https://www.owasp.org : Hier vindt iedereen die het weten wil heel veel informatie over hoe U een website veilig maakt.