Meer dan duizend overheidswebsites nog altijd slecht beveiligd

Forum Standaardisatie voerde in mei 2022 nog een meting uit onder 550 domeinnamen voor e-mail en websites. In november 2022 werden er meer dan 2500 domeinnamen gecontroleerd op het naleven van verplichte informatieveiligheidstandaarden en IPv6. Voor het eerst werd er bij een meting van Forum Standaardisatie met zo’n grote set domeinnamen gewerkt.

Uit de nieuwste meting wordt duidelijk dat de nieuw toegevoegde domeinnamen minder goed scoren dan domeinnamen die al onderdeel uitmaakten van eerdere metingen. Daarnaast is opvallend dat ministeries met een beperkt domeinnaamportfolio of actieve sturing op toepassing van standaarden over het algemeen een hogere adoptiegraad bereiken.

E-mail scoort nog slechter

Slechts 53% van de overheidswebsites voldoet aan alle verplichte standaarden voor informatieveiligheid. Voor e-mail is dat percentage nog lager: slechts 44 procent voldoet aan de afspraken. De deadlines voor het nakomen van de afspraken hierover zijn inmiddels al lang verstreken. Deze dateren respectievelijk uit 2019 en 2021.

Wat verder ook opvalt is dat de regie op domeinnamen bij decentrale overheden vaak flink achterloopt, waardoor er in de metingen bij gemeenten, provincies en waterschappen alleen primaire domeinennamen zijn meegenomen, terwijl het aannemelijk is dat decentrale overheden ook veel andere domeinnamen hebben. Bij centrale overheden zijn meer domeinnamen meegenomen. Het valt Forum Standaardisatie op dat gemeenschappelijke regelingen duidelijk achterblijven qua adoptie van de verplichte standaarden.

Samenwerkingen falen

“Hieruit blijkt dat de verantwoordelijkheid voor adoptie van verplichte standaarden bij veel van deze samenwerkingen niet goed is belegd. Het Forum adviseert gemeenschappelijke regelingen op dit punt duidelijk afspraken te maken.”

In de nieuwe meting is ook een overzicht van scores per ministeries te vinden. Daaruit wordt duidelijk dat het ministerie van Justitie en Veiligheid het meest achterloopt van alle ministeries op gebied van adroptie van anti-phising standaarden. Het ministerie van Algemene Zaken scoort het beste op dit gebied.