Nederlandse overheidswebsites zijn voldoende beveiligd, schreef minister Plasterk van Binnenlandse Zaken deze week in een brief naar aanleiding van schriftelijke vragen van Tweede Kamerleden Amhaouch (CDA), Oosenbrug en Kerstens (beiden PvdA). Echter, de antwoorden die de minister gaf scheppen verwarring. De parlementariërs stelden deze vragen naar aanleiding van de lancering van Pulse en de eerste resultaten van deze tool waaruit bleek dat meer dan de helft van de overheidswebsites geen gebruik maakt van een beveiligde HTTPS-verbinding.
Gevoelige informatie
Volgens de minister hangt het belang van het beveiligen van de verbinding van een overheidswebsite af van of de website (persoons-)gevoelige informatie uitwisselt en moeten overheidswebsites alleen voldoen aan de TLS-standaard op plekken waar ‘gevoelige gegevens worden ingevoerd’. Hij noemt daarbij een contactformulier of wanneer gegevens vooringevuld zijn als voorbeelden. Ook zegt hij dat het ‘onwenselijk’ is wanneer websiteonderdelen waar gevoelige gegevens zoals financiële en/of persoonsgegevens, worden verwerkt, onversleuteld zijn’.
Tegelijkertijd bevestigt de minister dat wanneer websites geen gebruik maken van versleuteling bij de communicatie, het mogelijk is dat derden de informatie kunnen zien die opgevraagd wordt, deze eventueel kunnen veranderen of voorzien van bijvoorbeeld malware. Ook schrijft hij dat het toepassen van HTTPS en van een bijbehorend certificaat helpt om de authenticiteit van een overheidswebsite te kunnen controleren en om phishing te voorkomen.
In de VS zijn alle federale overheidswebsites verplicht om HTTPS-verbindingen toe te passen op alle websites en webdiensten. Op de website van de CIO staat zelfs: ‘Er bestaat tegenwoordig niet zoiets als niet-gevoelig webverkeer. Publieke diensten mogen niet afhankelijk zijn van de welwillendheid van netbeheerders. Wanneer correct geconfigureerd, kan HTTPS een snelle, veilige verbinding leveren die het niveau van privacy en betrouwbaarheid geeft die gebruikers van webdiensten van de overheid moeten verwachten’.
Verwarring
Enerzijds zegt de minister dat HTTPS van belang is op plekken met ‘gevoelige’ informatie anderzijds onderschrijft hij het belang van versleuteling voor alle overheidswebsites om vervolgens de verantwoordelijkheid te laten bij de organisaties zelf. Dat schept verwarring. Wat ook verwarring schept is dat Forum Standaardisatie TLS heeft opgenomen op de ‘pas toe of leg uit’-lijst als verplicht en HTTPS slechts wordt aanbevolen.
Overheidsdomeinen
In de antwoorden wordt gewezen naar een halfjaarlijkse meting om voortgang van de implementatie over TLS te monitoren. Het Platform Internetstandaarden bekijkt met de testtool https://internet.nl daarbij slechts 152 domeinnamen. Open State Foundation maakt voor Pulse gebruik van lijsten met domeinnamen van de overheid zelf. Zo komen alle domeinnamen van de rijksoverheid uit haar eigen Website Register, de websites van gemeenschappelijke regelingen komen uit een open databestand van het Ministerie van Binnenlandse Zaken en de domeinnamen van gemeenten komt uit een bestand van VNG.
Afspraken
Op 2 februari 2016 zijn afspraken gemaakt door het Nationaal Beraad Digitale Overheid. Hoewel het kabinet het belang van versleuteling onderschrijft, is in het Nationaal Beraad Digitale Overheid alleen afgesproken om de implementatie van versleutelde verbindingen te versnellen op overheidswebsites ‘waar persoonsgegevens of andere gevoelige persoons- of financiele gegevens aan de orde zijn’. Voor geheel informatieve websites geldt deze afspraak niet.
Configuratie
In antwoorden op de vragen van Oosenbrug en Kerstens bevestigt de minister dat het inderdaad zo is dat ‘nog niet alle overheidswebsites zo zijn ingesteld dat er geen beveiligingsrisico bestaat’. Met Pulse kun je zien dat van 797 overheidswebsites die wel een HTTPS-verbinding hebben er 108 websites niet correct geconfigureerd zijn waardoor bezoekers alsnog onnodig risico’s lopen.
HTTPS-alleen
Juist omdat de minister zelf zegt dat elke overheidsorganisatie uiteindelijk zelf verantwoordelijk is voor het beveiligen van de eigen overheidswebsites is het vreemd dat voor het toepassen van versleuteling de minister zegt dat voor iedere website een aparte risicoafweging gemaakt moet worden door de verantwoordelijke overheidsorganisaties. Beter is ervoor te zorgen dat willekeur en subjectiviteit wordt voorkomen door alle overheidswebsites te laten voldoen aan de HTTPS/TLS standaarden. Een HTTPS-alleen standaard voorkomt inconsistenties over beoordelingen welke informatie nu wel of niet gevoelig is.
Open State Foundation zal dit jaar de vinger aan de pols houden en periodiek met Pulse testen hoe het staat met het ‘streefbeeld’ en of de afspraken die blijkbaar begin 2016 zijn gemaakt worden nagekomen.
Update: op 18 januari 2017 gaf minister Ronald Plasterk aan toch overheidssites wettelijk te willen verplichten om een beveiligde internetverbinding te gebruiken.