Hoe veilig zijn overheidswebsites?

Het jaar 2011 zal wat beteft beveiliging van overheidswebsites als zwart jaar te boek gaan. En laten we hopen dat het daarbij blijft. Het EPD is een stille dood gestorven, het diginotar debacle heeft de wereld doen opschudden en dan ook nog het nieuws dat DigID eigenlijk helemaal niet veilig is. Het is notabene kwetsbaar voor de meest voorkomende hackmethode; cross site scripting. En dan blijkt ook nog dat 6 gemeente websites te hacken waren. Leuk detail dat Ernst en Young net met een rapport komt waarin geadviseerd wordt om vooral DigiD te gaan gebruiken. Conclusie is dat delen van de overheid nog slechtere beveiliginstechnieken gebruiken dan DigiD. Waar zal dit dan ophouden? Mijn stelling is dat het voorlopig niet zal ophouden. De komende tijd zullen we helaas nieuwsberichten over slechte beveiliging van overheidssites blijven lezen.

Je gaat je afvragen: als de overheid het niet goed op orde heeft, hoe moet je dat als burger dan goed doen?

Stap 1: doe alleen zaken met organisaties waarvan je weet dat ze legitiem zijn

Nou dat is een hele klus. Sterker nog dat kun je als burger niet meer controleren. Denk aan foute ssl certificaten die door diginotar zijn verstrekt. Alles gaat over https, je ziet het slotje en als je het certificaat bekijkt, dan staan alle gegevens goed. Kortom drie keer kloppen gaat nu niet meer op.

Hoe zorg je ervoor dat je toch weet dat je met de juiste partij te maken hebt? Na de val van diginotar is het fundament eigenlijk onderuit gehaald. We leunen al jaren op de integriteit van bedrijven zoals diginotar. We vertrouwen op hun beveiliging en daarmee hebben we ons eigenlijk aan de wolven overgelaten. Niemand zal toegeven dat ze gehackt zijn, tenzij ze met de feiten geconfronteerd worden. En het vervelende is dat als een bedrijf gehackt is, dat men eigenlijk niet weet wat er precies gebeurd is. Daarmee kweek je geen vertrouwen en daarom houdt men een computerinbraak stil.

Omdat nu veel zaken via internet worden geregeld, ja zelfs al zit jezelf niet achter de computer, is de maatschappij erg kwetsbaar aan het worden. Daar komt voor een groot deel onkunde en ontwetenheid bij kijken. Als een ICT bedrijf dat namens de overheid opereert het blijkbaar niet kan, dan zijn we als burger toch nergens meer. Dit is een hele kwalijke zaak. Sterker nog dit zou weleens een vervelend staartje kunnen krijgen. Want kijken we naar DigiD, dat is onze persoonlijk digitale handtekening. Als deze eenvoudig te stelen is, dan zouden we het niet meer moeten gebruiken. Waarschijnlijk moeten we "stukken" die door DigiD ondertekend zijn, nog een keer goed beoordelen of zelfs nietig laten verklaren. Dit zal ten gevolg hebben dat veel systemen en organisaties niet meer kunnen opereren zoals ze dat nu doen. Denk aan gemeentes, DUO (voorheen IB-Groep) en belastingdienst.

Sinds 2005 probeer ik de gewone man/vrouw wegwijs te maken om zich veilig op het internet te begeven. Daarbij heb ik een onterechte aanname gedaan; de overheid zal de beveiliging van hun eigen systemen goed op orde hebben.

Hoe nu verder?

De overheid zal haar wonden snel moeten likken, maar daar moeten we niet op wachten. Er is nu actie nodig. Een actie die bedoeld is om het vertrouwen terecht weer te winnen. We hebben gezien hoelang het duurde voordat de diginotar ssl certificaten vervangen waren. Dit is eigenlijk een hele simpele handeling en zou geen dagen mogen duren. Een website herbouwen om deze o.a. cross site scripting proof te maken, is veel en secuur werk. Dit gaat veel langer duren. In de tussentijd zouden we deze dienst niet moeten gebruiken.

De overheid heeft net als ik teveel nadruk gelegd op het opvoeden van de burgers. Nu blijkt dat de burgers niet het grootste beveiliginsprobleem zijn, maar de overheid zelf. Dit geeft te denken, want als de overheid het niet op orde heeft, wie heeft het dan wel goed geregeld. Waarschijnlijk komen er de komende tijd wel meer lekken naar boven. De website Webwereld heeft al aangekondigt dat ze elke maandag een beveiligingslek zullen publiceren. Hou deze site dus in de gaten en wees ondertussen erg bedacht op vreemde zaken.

Hier een lijst met dingen die je niet en wel moet doen!

Reageer niet op vage e-mails die afkomstig lijken te zijn van banken of overheidsinstanties.
Ga niet in op telefoontjes die naar persoonlijke informatie vragen.
Doe niet mee aan enquetes waar persoonlijke informatie wordt gevraagd.
Hou je bankrekening saldo goed in de gaten.
Eis van overheidsorganisaties dat ze je een overzicht van mutaties die op jou betrekking hebben sturen.
Stel overheidinstanties de vraag hoe zij jou kunnen garanderen dat er veilig met je gegevens omgegaan wordt. Denk daarbij aan het versturen van persoonlijke gegevens over onbeveiligde kanalen zoals e-mail.
Wanneer je een probleem constateert, meldt dit meteen aan de desbetreffende organisatie. Hoe eerder ze het weten, hoe sneller men kan reageren en de schade beperken.
Verder; gebruik je gezonde verstand en bewaak je digitale identiteit net zo goed als je fysieke.

Hoe veilig zijn overheidswebsites?

Stap 1: doe alleen zaken met organisaties waarvan je weet dat ze legitiem zijn

Hoe nu verder?

Hier een lijst met dingen die je niet en wel moet doen!

Copyright J.P. Kloosterman 2005 var today = new Date(); document.write ("- "+today.getFullYear()); Privacy Beleid

Copyright J.P. Kloosterman 2005 Privacy Beleid