Ruim zestig procent van de publieke webcertificaten in gebruik bij Nederlandse gemeenten, voldoet niet aan de Bio 2.0-beveiligingsrichtlijnen voor overheidsinstanties. Veel gemeenten gebruiken goedkope of gratis certificaten die gevoelige gegevens onvoldoende beschermen. Dit blijkt uit onderzoek door e-certificeringsspecialist PKIpartners onder 106 lokale overheden.
De onderzoekers controleerden de certificaten die de authenticiteit van de verschillende gemeentelijke websites moeten garanderen. Ze keken naar het type en het niveau van de certificaten en bepaalden of de sites voldoen aan de normen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen.
Afgelopen maart bestond zestig procent van de gebruikte certificaten uit zogeheten domain validated (DV)-certificaten, zoals die van Let’s Encrypt. DV-certificaten hebben volgens de onderzoekers een laag echtheidsniveau, doordat de organisatie in kwestie tijdens de aanvraag niet wordt gevalideerd. Hierdoor zou criminelen webpagina’s gemakkelijk kunnen kopiëren en inzetten voor fraude. De onderzoekers noemen de nauwelijks herleidbare certificaten “onnadenkbare beveiliging en waarmerking”. De veelgebruikte DV-certificaten voldoen niet aan de norm van de zogeheten Baseline Informatiebeveiliging Overheid (Bio) 2.0, die binnenkort verplicht wordt voor overheden.
De Bio 2.0-norm vereist dat overheden minimaal zogeheten organization validated (OV)-certificaten gebruiken voor publiek onlineverkeer. OV-certificaten bevatten gevalideerde informatie over de organisatie, wat bijdraagt aan een hogere mate van vertrouwen en beveiliging. Ook extended validated (EV)-certificaten en qualified web authentication (QWAC)-certificaten voldoen aan de Bio 2.0-norm.
NIS2-wetgeving
In oktober 2024 worden overheden verplicht om zich te houden aan de Bio 2.0. Dan wordt namelijk de nieuwe Europese cybersecurityrichtlijn NIS2-wetgeving van kracht. De onderzoekers roepen gemeenten op om beleid te ontwikkelen en te implementeren en daarmee de digitale weerbaarheid te verhogen en de bescherming van gevoelige gegevens te waarborgen.
Het onderzoek verwijst naar het dreigingsbeeld dat de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten voor 2023 en 2024 opstelde. Daaruit zou blijken dat gemeenten met steeds meer cyberaanvallen te maken krijgen, terwijl gemeentebesturen onvoldoende doordrongen zijn van nut en noodzaak van goed beheer. Door uitbesteding van applicaties zou er bovendien minder zicht zijn op potentiële risico’s in ketens.
Om te beginnen met het laatste, uitbesteding (beheer of ontwikkeling?) van applicaties is niet het grootste probleem van potentiële risico’s in ketens. Te goed van vertrouwen in alle vinkjes van een normering zit het probleem in de controle want de som der delen in een keten kent afhankelijkheden. Goedkoopste schakel verzwakt de gehele keten want vervang ondeugdelijke postzegel van PKI door dubieuze libraries om een idee te krijgen van de problemen stroomafwaarts bij een verkeerde keus in broncode. De ondenkbare beveiliging en waarmerking in het dossiergericht werken gaat niet om het groene vinkje van een postzegel maar om een datumstempel van ontvangst want veel gemeentebesturen worden zich bewust van het informatiebeheer als je deze gaat bevragen vanuit Wet Openbaarheid Overheid. Of anders worden zich hier wel van bewust als een burgemeester het bewijs zoek heeft gemaakt waardoor deze wegkomt met een eigen versie van de waarheid.