Het Forum Standaardisatie luidt de noodklok. Uit een meting van de IT-veiligheid van overheidsdomeinen valt tot wel een derde door de mand. Sommige securitystandaarden om phishing te bestrijden ontbreken, vijf jaar nadat ze al verplicht waren.
HTTPS (Hypertext Transfer Protocol Secure) is al sinds 2000 formeel vastgelegd, maar ruim twintig jaar na dato maakt lang niet elke website er gebruik van. De overheid zou het goede voorbeeld moeten geven, maar doet dat niet. “Net als in de vorige meting is de conclusie dat geen van de streefbeeldafspraken voor de overheid als geheel gehaald is.” stelt het Forum Standaardisatie. “Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen alle individuele overheidsorganisaties.”
Dit terwijl de Wet digitale overheid sinds 1 juni 2023 het gebruik van HTTPS verplicht. Via HTTPS Strict Transport Security (HSTS) zijn gebruikers ervan verzekerd dat ze veilig met een website zijn verbonden. Zonder die bescherming is het mogelijk alle communicatiedata te onderscheppen. Kwaadwillenden kunnen daardoor e-mailberichten aftappen en geloofwaardige phishing-mails versturen. Het Forum Standaardisatie haalt een voorbeeld aan vanuit Tsjechië, waarbij de overheid aldaar in 2020 werd afgeluisterd.
Zeer wisselvallige scores
Uit de test, uitgevoerd op bijna 11.000 overheidsdomeinen, laat zien dat 77 procent onder de gemeenten alle websecuritystandaarden hanteert. Slechts 58 procent van de domeinen van de centrale overheid voldoet aan deze eis.
Onder de ministeries zijn de domeinen van Algemene Zaken het veiligst, waar 91 procent van de gebruikte webdomeinen volledig veilig is. Opzienbarend is dat de ministeries van Defensie (39 procent), en Justitie & Veiligheid (39 procent) zo slecht scoren, vlak voor Landbouw, Visserij, Voedselzekerheid en Natuur (36 procent), dat de hekkensluiter is. Anti-phishing-maatregelen geven een vergelijkbaar beeld, met Justitie & Veiligheid als slechtst scorende met 39 procent adoptie.
Met de e-mailstandaarden is het slechter gesteld. Alleen de centrale overheid (56 procent) scoort hier opvallend genoeg beter, hoewel volledige adoptie voor de overheid in algemene zin nog zeer ver weg is. De gemeenten (11 procent), provincies (10 procent) en waterschappen (4 procent) doen zo goed als niet aan de volledige adoptie van e-mailstandaarden.
Geen verbetering in zicht
Wellicht het zorgwekkendste wapenfeit is dat de webstandaarden nauwelijks breder zijn geadopteerd sinds het vorige meetpunt in juli 2023. Het advies vanuit het Forum Standaardisatie is om regie en overzicht te krijgen. Eén maatregel is bijvoorbeeld om een maximum aan nieuwe domeinnamen per jaar vast te stellen. De overheid probeert duidelijk veel te snel nieuwe sites de lucht in te krijgen zonder genoeg rekening te houden met de beveiliging ervan.
Lees ook: Regering, dicht kloof digitale dienstverlening overheid en bedrijven