Onderzoek: 81% overheidssites gebruikt geen HTTPS
Maar liefst 81% van de overheidssites gebruikt geen HTTPS voor de verbinding tussen bezoekers en websites, zo hebben onderzoekers van de Open State Foundation vastgesteld. De stichting analyseerde iets meer dan tweeduizend overheidssites en ontdekte dat het HTTPS-protocol op slechts 19% van de websites werd gebruikt. Met behulp van een SSL-certificaat en het HTTPS-protocol zijn browsers en servers in staat informatie die verstuurd moet worden te versleutelen en bij aankomst weer te ontsleutelen.
Naast het versleutelen van het verkeer, wat afluisteren en manipulatie tegen moet gaan, helpt het gebruik van een SSL-certificaat ook bij het identificeren van websites. Van de 2.093 onderzochte websites bleek dat 413 websites een versleutelde HTTPS-verbinding ondersteunen en bij slechts 120 (5%) overheidssites wordt HTTPS geforceerd en het webverkeer van en naar de website altijd versleuteld. Slechts 119 overheidssites gebruiken HSTS, een techniek die browsers opdraagt een website voortaan alleen via HTTPS te bezoeken.
De onderzoekers stellen dat er geen logische reden te ontdekken was waarom het ene domein wel en het andere domein niet via HTTPS verloopt. Zo maken de websites van de Algemene Inlichtingen en Veiligheidsdienst, de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum wel altijd gebruik van het HTTPS-protocol, maar doen de websites van de Belastingdienst, de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten en het Agentschap Telecom dat niet voor al het webverkeer naar deze websites.
"Op websites van de overheid vindt veel uitwisseling van gegevens plaats maar HTTPS beschermt niet alleen informatie die naar de overheid wordt gezonden maar beschermt ook de vertrouwelijkheid wat mensen lezen. Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd", zo stelt de Open State Foundation. Volgens de stichting is het lage aantal overheidssites dat het HTTPS-protocol gebruikt opmerkelijk, omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.
Waarom de pagina openingstijden van de balie burgerzaken nu precies over SSL zou moeten gaan ontgaat me toch.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.
Tja, bij de loodgieter thuis lekken ook alle kranen...
Een projectsite is vaak niet meer dan een reclamefolder. En als je HTTPS gaat toepassen, dan dek je de client-server-side wel af, maar alles wat achter de server gaat gebeuren is daarmee nog niet veilig. Hoeveel sites zullen bijvoorbeeld die resultaten van formulieren vanaf de webserver onbeveiligd mailen naar een of ander mailadres? Je blind staren op HTTP(S) is niet verstandig en kortzichtig. Kijk liever naar de keten.
Het idee achter webservercertificaten is dat de gebruiker, onafhankelijk van (eenvoudig te manipuleren) DNS, zeker weet dat zij met een webserver van de bedoelde organisatie communiceert (*). En dus ook dat de informatie die zij leest, daadwerkelijk afkomstig is van de betreffende organisatie, zonder dat derden die hebben kunnen manipuleren.
In dit specieke geval zou een aanvaller de pagina kunnen wijzigen met bijv. "als u uw identiteitsbewijs inscant en uploadt kunnen wij u sneller van dienst zijn."
Een site waar je ergens gegevens uitwisselt waar een aanvaller baat kan hebben bij manipulatie en/of inzage (o.a. inloggen, zeker ook met DigiD), hoort 100% TLS + HSTS te zijn. Dan kunnen we gebruikers opvoeden bij binnenkomst de authenticiteit van de site te checken, zodat zij dat niet meer hoeven te doen op het moment dat zij zich op inhoudelijke zaken concentreren.
(*) Toegegeven, er kan op dit moment veel te veel mis gaan met certificaten. Sinds kort lijkt PKI Overheid ook EV certificaten te ondersteunen. Ik hoop dat binnenkort alle overheidssites deze gebruiken, dan kunnen we gebruikers eenduidig uitleggen waar ze op moeten letten.
Aanvulling 07:05: ik zag de bijdrage van pe0mot pas nadat ik mijn tekst had gesubmit.
Sites bij praktijken psychotherapie: graag alle persoonsgegevens en ook een uitgebreid verhaal over de achtergrond van de persoon en de klachten, evenals eerdere diagnoses en behandelingen. Voor een voorbeeldje: adviesbureau comenius (www.comen.nl) en dan naar het aanmeldformulier. Geen https te bekennen. Ook geen idee wat er achter de site met de gegevens gedaan wordt trouwens.
Maar ja, wat doen scholen, BSO's, crèches, psychopraktijken etc eigenljk met alle formulieren op papier, waar je de meest wilde gegevens op moet invullen? Ik neem aan dat die gewoon bij het oud papier gezet worden als het schooljaar om is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.