Minister Plasterk vindt overheidswebsites voldoende veilig

Minister Plasterk van Binnenlandse Zaken in het niet eens met de recente kritiek van de Open State Foundation (OSF) op de beveiliging van overheidswebsites. In een recent onderzoek oordeelde de OSF dat de helft van de overheidswebsites geen gebruik maakt van HTTPS. Plasterk is echter van mening dat deze websites voldoende zijn beveiligd.

HTTPS is een veiligere variant van het HTTP-protocol. Het dataverkeer dat via HTTPS wordt verstuurd wordt versleuteld, wat betekent dat onbevoegden die de data weten te onderscheppen deze niet zo maar kunnen inzien. Eventuele persoonlijke gegevens die via een HTTPS verbinding worden verstuurd zijn dus afgeschermd voor onbevoegden. Overheidsinstanties zijn zelf verantwoordelijk voor de beveiliging van hun websites. Wel is overheidsbreed afgesproken dat de HTTPS-standaard vanaf eind 2017 op alle websites van de overheid die met persoonsgegevens werken moet zijn toegepast.

‘Het rapport verdient enige nuance’
In een antwoord op kamervragen van PvdA-Kamerleden Astrid Oosenbrug en John Kerstens geeft Plasterk aan dat in het rapport van de OSF nuance ontbreekt. Plasterk: “Het in de media geschetste beeld dat de verbindingen naar veel overheidswebsites niet goed beveiligd zijn, verdient enige nuance. Het belang van het beveiligen van de verbinding naar een overheidswebsite hangt af van of de website (persoons-) gevoelige informatie uitwisselt. Daarom zijn organisaties zelf verantwoordelijk voor het beveiligen van hun websites.”

Wel erkent Plasterk dat niet alle websites die van HTTPS zijn voorzien juist zijn geconfigureerd. In sommige gevallen ontstaan hierdoor nog steeds beveiligingsrisico’s. “De voortgang van de adoptie van beveiligingsstandaarden in websites en e-mail van de overheid wordt halfjaarlijks op verzoek van het Nationaal Beraad door het Forum Standaardisatie bij een set overheidsdomeinnamen gemeten. Zo wordt gekeken of de overheid op koers is ten aanzien van het streefbeeld dat is afgesproken in het Nationaal Beraad. In die meting wordt ook gekeken of de HTTPS-verbinding is geconfigureerd volgens het advies van het NCSC “ICTbeveiligingsrichtijnen voor TLS”). Dat is namelijk inderdaad óók van belang. Zowel op het gebied van de toepassing van HTTPS als de veilige configuratie conform
NCSC-advies, wordt flinke vooruitgang geboekt”, aldus de minister.

Testtool
“De metingen worden uitgevoerd met behulp van de testtool https://internet.nl. Deze testtool staat ook ter beschikking aan alle overheden. De tool is ontwikkeld door het Platform Internetstandaarden, dat een samenwerkingsverband is van de Nederlandse internetcommunity en overheid.”