Deze overheidswebsites zijn nog onnodig onveilig

Een groot aantal Nederlandse overheidswebsites gebruikt nog steeds geen veilige HTTPS-verbinding. Van de 1.816 onderzochte domeinen ondersteunt minder dan de helft een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Dat blijkt uit het door Open State Foundation gelanceerde online dashboard Pulse.

Van alle overheidswebsites van de Rijksoverheid, websites van gemeenten, provincies en gemeenschappelijke regelingen, heeft slechts 44 procent een beveiligde verbinding. Van de 797 overheidswebsites met een HTTPS-verbinding zijn 108 niet correct geconfigureerd, waardoor bezoekers alsnog onnodig risico’s lopen.

Via het net gelanceerde Pulse dashboard kunnen gebruikers zien of een overheidswebsite een veilige HTTPS-verbinding ondersteunt en hoe sterk de implementatie daarvan is. Van de in totaal 1.032 websites van ministeries hebben slechts 470 websites een HTTPS-verbinding maar daarvan zijn 66 websites niet goed geconfigureerd waardoor de verbinding alsnog onveilig is.

Van alle gemeentewebsites heeft 55 procent een correct geconfigureerde HTTPS-verbinding en van de twaalf provincies hebben er vijf een correct ingevoerde HTTPS-verbinding. De websites van de provincies Friesland, Limburg, Drenthe, Groningen en Zuid-Holland hebben helemaal geen HTTPS-verbinding. Van de 348 websites van gemeenschappelijke regelingen hebben slechts 75 domeinen een HTTPS-verbinding maar daarvan is een derde niet veilig geinstalleerd.

Bij gebruik van HTTPS worden gegevens versleuteld, waardoor communicatie met een webserver niet is in te zien of te manipuleren. Op websites zonder HTTPS-verbinding lopen bezoekers onnodige risico’s waardoor het voor een buitenstaander mogelijk kan zijn te weten welke gegevens worden verstuurd. Het configureren van HTTPS luistert nauw. Tot nu toe wordt voor overheidswebsites HTTPS aanbevolen en is het onderliggende protocol TLS verplicht.

Voorbeelden van overheidsites zonder https:

• cosmeticaklachten.nl: meldpunt voor cosmeticaklachten opgezet door RIVM in opdracht van NVWA in samenwerking met aangesloten dermatologen en de Nederlandse Cosmetica Vereniging.
• crisis.nl: een website waarop de overheid informatie verstrekt over een ramp of ernstige calamiteit van de Nationaal Coordinator Terrorismebestrijding en Veiligheid, deze site heeft een onbeveiligde login www.crisisacceptatie.nl.
• Een aantal websites van Nederlandse ambassades in landen als Afghanistan, China, DRC, Cuba, Egypte, Irak, Iran, Israel, Kazakhstan, Libanon, Nigeria, Oekraine, Pakistan, Ramallah, Rusland, Rwanda, Saudi Arabie, Soedan en Turkije.
• dgvcentraal.humancontenthosting.nl: het extranet van de Dienst Geestelijke Verzorging binnen de Dienst Justitiele Inrichtingen van het Ministerie van Justitie.
• rvr.org : de website van de Raad voor Rechtsbijstand en subsites van de Raad voor Rechtsbijstand zoals echtscheidingsplan.nl, rechtwijzer.nl, ouders-uit-elkaar.nl.
• hetcak.nl: de website van het Centraal Administratie Kantoor, berekent en incasseert de eigen bijdragen voor de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Wet Maatschappelijke Ondersteuning (WMO).
• igz.nl: de website van de Inspectie voor de Gezondheidszorg.
• isdbrabantsewal.antwoordopbijstand.nl: de Intergemeentelijke Sociale Dienst Brabantse Wal.
• nidos.nl: jeugdbescherming voor vluchtelingen, (gezins-)voogdij instelling die de voogdijtaak uitvoert voor Alleenstaande Minderjarige Vreemdelingen.
• rijksrecherche.nl: waarop onbeveiligd formulier staat om misstanden te melden.
• vooreenveiligthuis.nl: campagne website van rijksoverheid over geweld in huiselijke kring.
• uwv.nl: zorgt voor landelijke uitvoering van de werknemersverzekeringen en voor arbeidsmarkt- en gegevensdienstverlening.

Voorbeelden van overheidsites met incorrecte https:

• ibewustzijnoverheid.nl: Deze website van het Ministerie van Binnenlandse Zaken ondersteunt HTTPS maar dwingt dit niet af en de verbinding scoort slecht op het gebied van veiligheid. Dit is opvallend omdat deze website met slogans als ‘werk veilig en vaardig’ en ‘werk ibewust’ zich richt op bestuurders en medewerkers binnen overheidsorganisaties om ze te wijzen op het belang van informatieveiligheid.
• kiesbeter.nl: De HTTPS-verbinding van deze website van het Ministerie van Volksgezondheid, waarop je naar medische informatie en aandoeningen kunt zoeken is niet goed ingesteld.
• lerenenwerken.nl: Deze voor ‘Website van het Jaar 2016‘-genomineerde website van het Ministerie van Sociale Zaken en Werkgelegenheid heeft weliswaar een HTTPS-verbinding maar ook deze verbinding is niet correct geconfigureerd. Bij deze website is bijvoorbeeld HSTS uitgeschakeld.
• huurcommissie.nl: Op deze website staan formulieren waarin persoonsgegevens en bsn nummers moeten worden ingevuld, maar deze HTTPS-verbinding is niet veilig.
• heusden.nl: Dat geldt ook voor deze gemeente website, waarop gebruikers weliswaar met DigiD veilig kunnen inloggen op ‘mijn loket’ maar vervolgens weer teruggaan naar het onveilige heusden.nl waarop deze informatie is in te zien.
• clientexport.nl: De HTTPS-verbinding van deze applicatie waarmee Nederlandse exporteurs aanvragen kunnen doen voor elektronische exportcertificaten, blijkt ook niet goed geïnstalleerd. Dit is bijzonder vreemd, niet alleen omdat dit een onderdeel is ‘van een netwerk van nationale eCert-systemen waarmee overheden electronisch communiceren over eisen, zekerheden en garanties’ maar ook omdat op deze website wordt gemeld dat dit ‘via beveiligde internet-verbindingen’ gebeurt, ‘zodat de ontvangende overheid zeker weet dat de informatie afkomstig is van de exporterende overheid’.
• venjdialoog.nl, risicotoolbox.nl en I-interimrijk.nl: Deze overheid websites waar bezoekers zich moeten registreren blijken niet veilig. Zo zijn de verbindingen van venjdialoog.nl, risicotoolboxbodem.nl en zelfs i-interimrijk.nl (‘Met I-Interim Rijk investeren we in het ontwikkelen en vasthouden van strategische ICT-knowhow’) niet veilig.