De overheid moet vaart zetten achter het plan om al haar websites te voorzien van een beveiligde verbinding via https. Staatssecretaris Raymond Knops (Binnenlandse Zaken) wil dit medio 2019 verplicht stellen voor alle overheidsorganisaties. Dat schrijft hij in een brief aan de Tweede Kamer. Het plan voor https-verplichting stamt uit begin 2017. Toenmalig minister Ronald Plasterk bepaalde dat alle overheidssites eind 2017 https moesten gebruiken.
Voor de https-verplichting voor overheden is een Algemene Maatregel van Bestuur (AmvB) nodig. Ondanks de wens van de oud-minister, is deze maatregel nog steeds niet van kracht. Dit gebeurt naar verwachting pas per medio 2019, schrijft Knops deze week. Tegen die tijd is ook de Wet Digitale Overheid van kracht. Deze wet biedt de mogelijkheid om open standaarden aan te wijzen voor een verplichting bij een AmvB.
Https is het standaardprotocol voor versleutelde gegevensuitwisseling tussen een website en online bezoekers. Het voorkomt onder meer dat kwaadwillenden de gegevens kunnen onderscheppen of het verkeer kunnen omleiden naar frauduleuze webpagina’s. Er zijn momenteel nog altijd websites van de Rijksoverheid, provincies, gemeenten en waterschappen die geen https gebruiken.
Informatiebeveiligingsplannen overheid
Staatssecretaris Knops stuurde deze week een uitgebreide Kamerbrief met daarin nadere uitwerkingen van maatregelen om de informatiebeveiliging bij de overheid te verbeteren.
Behalve de https-verplichting, variëren de plannen van een overheidsbrede minimale informatiebeveiliging, eenduidige auditmethodiek en bewustwording onder ambtenaren, tot landelijke samenwerkingsverbanden voor cybersecurity, een wettelijke meldplicht voor belangrijke aanbieders van digitale overheidsdiensten en implementatie van informatiebeveiligingsstandaarden.
Bovendien stelt Knops voor om onderzoek toe doen naar het idee om voor alle e-mailadressen en websites van de Nederlandse overheid één domeinnaam te gebruiken. Dit zou de herkenbaarheid vergroten en de kans op verwarring met nepsites en -adressen verkleinen.
Voor de https-verplichting voor overheden is een Algemene Maatregel van Bestuur (AmvB) nodig.
En dat duurt blijkbaar van begin 2017 tot medio 2019.
Straks reclame met een gek stemmetje ‘Https, ik blijf het toch zegge hoor’ en dan kunnen met zijn allen weer op de diginotale snelweg door kennisland.
Het kan gewoon als uitbreiding van de webrichtlijnen, zie https://www.forumstandaardisatie.nl/standaard/webrichtlijnen.
Dan valt het onder dezelfde soort regels als het gebruik van Open Standaarden, die ook al verplicht zijn.
Ach, voor privacy en beveiliging zijn meest elementaire zaken vaak niet op orde. Dat is al zo’n 30 jaar zo. Wettelijke verplichtingen of niet. Dat is geen IT-probleem maar een management-probleem.
De kamerbrief komt maar weer eens met een ‘i-Bewustzijn Overheid’. Maar “bestuurders, managers en medewerkers blijvend [-] doen beseffen hoe belangrijk informatieveiligheid is” is al jaren volstrekt onhaalbaar gebleken. Accountability ontbreekt nog steeds.
Dus zelfs nu heeft 1 op de 8 overheidssites en 1 op de 4 van de zorg- en onderwijswebsites HTTPS nog steeds niet geïmplementeerd. Dat is beter dan het was, maar nog steeds een aanfluiting. ‘Minder slecht dan voorheen’ is een betere omschrijving.
“Verder neemt het belang van informatieveiligheid aanzienlijk toe in de digitale communicatie van overheden met burgers en ondernemers.”, zoals de kamerbrief stelt, toont aan dat men kennelijk geen benul heeft.
De doorlooptijd voor een AMVB is al snel een jaar. Sinds de aankondiging door Plasterk in 2017 is inmiddels zo’n 2 jaar verstreken. Die AMVB mag er medio 2019 dus gewoon zíjn!
Men warmt ook het oude initiatief maar weer eens op van één domeinnaam-extensie voor alle e-mailadressen en websites van de Nederlandse overheid.
Dat initiatief is reeds lang geleden op ernstig protest van zo’n beetje alle ministeries en decentrale overheden gestuit. Men wilde niet een sub-domein van de rijksoverheid zijn.
M.b.t. een eigen domeinnaam-extensie (.overheidnl) is in 2013 al onderzoek gedaan (Novay-rapport TLD-verkenning). De voordelen van een eigen tld zouden niet opwegen tegen de nadelen (zie ook https://tweakers.net/nieuws/88010/overheid-trekt-reservering-in-voor-gtld-overheidnl.html)
Nu opnieuw onderzoek gaan doen heeft gezien de huidige problemen rond de overheids-ICT niet alleen geen prioriteit, maar is ook nutteloos en tijd- en geldverspilling. Eigenlijk net zoveel tijd- en geldverspilling als de bewustwording en verplichtingen rond privacy en beveiliging.
_______________________
Is het je opgevallen dat bij het inloggen op Computable.nl nu plotseling een vinkje staat bij ‘Onthoud mijn inloggegevens’? Dat – ‘opt-out’ – mag dus niet.