Beheer

Security
Ronald Plasterk

Plasterk: ‘Websites overheid voldoende beveiligd’

Minister stelt dat nuance ontbreekt in onderzoek OSF.

Ronald Plasterk © Rijksoverheid/Arenda Oomen
10 januari 2017

Minister stelt dat nuance ontbreekt in onderzoek OSF.

Onlangs berichtte Binnenlands Bestuur dat veel overheidssites nog niet gebruikmaken van beveiligde HTTPS-verbindingen. Toch lijken minister Plasterk (Binnenlandse Zaken) en minister Lodewijk Asscher (Sociale Zaken en Werkgelegenheid) zich geen zorgen te maken.

Uit antwoorden op Kamervragen blijkt dat de 2 bewindslieden websites van de overheid voldoende beveiligd vinden.

Dit is opmerkelijk, aangezien minder dan de helft van de websites van de Nederlandse overheid een beveiligde https-verbinding gebruikt, zo bleek onlangs uit onderzoek van de Open State Foundation, waarover Binnenlands Bestuur berichtte.

Er werden 1816 domeinen van de overheid onderzocht. In totaal heeft slechts 44 procent van de websites, onder andere van de Rijksoverheid, gemeenten en provincies, een https-verbinding. Bovendien zijn van de websites die wél een https-verbinding gebruiken er 108 niet goed ingesteld, zodat er nog altijd een beveiligingsrisico is bij 62 procent van de overheidswebsites. Een van de voorbeelden van websites zonder https-verbinding is de website van het UWV. Bits of Freedom liet weten dit ‘onbegrijpelijk’ te vinden. Ook diverse Kamerleden maken zich zorgen en voelden Plasterk en Asscher hierover aan de tand.

'Gebrek aan nuance'

Minister Plasterk schrijft in antwoord op Kamervragen van PvdA-Kamerleden Astrid Oosenbrug en John Kerstens dat in het onderzoek ‘enige nuance’ ontbreekt en dat overheidssites met privégegevens beter zijn beveiligd. Plasterk schrijft verder dat overheidsinstanties zelf de beveiliging van hun websites moeten regelen, al is wel afgesproken dat de https-standaard eind 2017 moet worden toegepast op alle websites die persoonlijke informatie verwerken. Als websites worden versleuteld via https, kan internetverkeer niet meer worden afgeluisterd. Volgens beveiligingsexperts is dat belangrijk als persoonlijke informatie wordt verzonden, maar zouden ook andere sites gebruik moeten maken van https. Een 'normale' http-verbinding kan namelijk worden gekaapt, waarna gebruikers alsnog kunnen worden verleid om persoonlijke gegevens in te vullen.

Nog meer Kamervragen

Ook de Amerikaanse overheid raadt aan om altijd https te gebruiken. Plasterk lijkt het daar niet mee eens te zijn. "Op basis van het aangehaalde onderzoek kan ik niet concluderen dat de overheidswebsites in het algemeen niet voldoen", schrijft hij in een apart antwoord op Kamervragen van CDA-Kamerlid Mustafa Amhaouch.

'UWV goed beveiligd'

Plasterk schrijft verder dat websites van UWV (uwv.nl en bkwi.nl) inderdaad worden genoemd op de lijst van Open Staten Foundation (OSF), omdat zij geen gebruik maken van een https-verbinding. “Het gedeelte van uwv.nl waarop algemene informatie wordt getoond gebruikt een http-verbinding. Voor deze pagina staat een softwarematige omzetting naar https in het tweede kwartaal van 2017 op de planning. Pagina’s van uwv.nl waar sprake is van gegevensuitwisseling, zoals het tonen van persoonsgegevens door UWV en het insturen van gegevens door klanten, bevinden zich in de MijnUWV-omgeving. Deze pagina’s zijn wel voorzien van een https-verbinding.” Plasterk benadrukt verder dat om in die omgeving te kunnen komen moet worden ingelogd met behulp van DigiD.

Zie ook Beheer op AG Connect Intelligence

Reactie toevoegen