'Veel overheidssites hebben geen beveiligde verbinding'
De verbindingen naar veel overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die 'transparantie in de politiek wil vergroten'. Een beveiligde verbinding is te herkennen aan een slotje in de browser.
De organisatie nam 1816 overheidswebsites onder de loep; slechts 44 procent daarvan ondersteunt beveiligde verbindingen. Nog eens 6 procent heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.
Rijksrecherche
Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers.
Wie een misstand meldt op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant: de verbinding was dan eenvoudig te onderscheppen.
Na melding van de NOS is dat formulier verwijderd van de site. "Het is tijdelijk niet meer mogelijk om misstanden te melden", laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of 'vervolgmaatregelen' nodig zijn.
Onbeveiligde voorpagina
Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.
De verbinding naar de website van de Huurcommissie is wel beveiligd, maar kwetsbaar voor meerdere hack-aanvallen waarbij de beveiligde verbinding ongedaan kan worden gemaakt. Dat terwijl via die website persoonlijke gegevens, zoals BSN-nummers, worden verzonden. Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een 'internetbewuste overheid' te promoten niet goed beveiligd.
Je denkt dat een website veilig is als er een slotje bij staat, maar daar valt wat op af te dingen
"Je denkt dat een website veilig is als er een slotje bij staat", zegt Arjan El Fassed van de Open State Foundation. "Maar daar valt het een en ander op af te dingen." Zo kunnen hackers in sommige gevallen alsnog een onveilige verbinding afdwingen, of de beveiligde verbinding kraken.
Het onderzoek betrof de voorpagina's van de overheidssites; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien.
Gemeentes
Gemeentewebsites kwamen eerder dit jaar in het nieuws als onveilig, maar doen het binnen de overheid relatief goed. Van de gemeenten heeft 59 procent een beveiligde verbinding, tegen 44 procent van alle overheidssites. De kwaliteit van de beveiligde verbinding verschilt wel per gemeente.
Volgens Remco Groet van de Informatiebeveiligingsdienst is het een afweging van de gemeenten zelf om te bepalen of ze hun website beveiligen. "Het verschilt per gemeentesite of er bijvoorbeeld formulieren opstaan die burgers kunnen invullen", zegt Groet. Het risico op misbruik is dan groter.
'Vreemd'
"Het is vreemd dat de overheid dit niet beter doet", zegt Rejo Zenger van burgerrechtenorganisatie Bits of Freedom, die het onderzoek heeft ingezien. "Informatiebeveiliging staat hoog op de agenda, maar de overheid geeft niet het goede voorbeeld."
De Open State Foundation is van plan het onderzoek eens in de zoveel maanden te herhalen. "Dat is een goede stok achter de deur om de overheid actie te laten ondernemen", aldus El Fassed.