Minister Ronald Plasterk (Binnenlandse Zaken) wil overheidssites toch wettelijk verplichten om een beveiligde internetverbinding, via de https-standaard, te gebruiken. Dat zei hij woensdag 18 januari 2017 in de Tweede Kamer. Uit onderzoek bleek eerder dat veel websites de zogenoemde https-standaard, die het verkeer tussen de gebruiker en de website versleutelt, nog niet gebruiken.
Afgesproken is dat eind 2017 altijd een beveiligde verbinding aanwezig moet zijn als een website bijvoorbeeld persoonsgegevens of andere gevoelige data verwerkt. Bij veel overheidswebsites is dat echter niet het geval en kan alleen informatie worden opgezocht.
Wet generieke digitale infrastructuur
Plasterk wil https voor alle overheidssites verplichten na invoering van de Wet generieke digitale infrastructuur, die nog tot eind maart in consultatie is. Als de wet is aangenomen, kan het ministerie met een algemene maatregel van bestuur verplichte beveiligingsstandaarden aanwijzen. Dan wil Plasterk dus de beveiligde standaard verplichten voor alle overheidswebsites. Naar verwachting wordt de in de tweede helft van 2017 naar de Tweede Kamer gestuurd. Het is onduidelijk wanneer de beveiligingsmaatregel vervolgens kan worden ingevoerd.
Nieuwe koers
In antwoord op Kamervragen zei Plasterk eerder in een kamerbrief dat hij het beveiligingsniveau van overheidswebsites voldoende vond. In de brief wees hij erop dat de noodzaak om informatie te versleutelen afhangt van de vraag of via een website privacygevoelige informatie wordt uitgewisseld.
Eerder berekenden privacy-organisatie Open State Foundation (OSF) dat 62 procent van de overheidswebsites geen of gebrekkige versleuteling van informatie gebruikt. Beveiligingsexperts zeggen echter dat het altijd beter is om https te gebruiken, ook als er geen persoonsgegevens worden verstuurd. Dat maakt het voor cybercriminelen namelijk onmogelijk om de verbinding te saboteren of af te luisteren.
Zullen we er dan meteen aan vast knopen dat de certificaten die hiervoor gebruikt worden, verplicht uitgeleverd moeten worden door PKI-Overheid, en dat goedkope, ‘Domain Validated’ SSL certificaten van bijv. Comodo of GoDaddy niet meer toegestaan zijn ? En dat alle certificaten door de overheid gebruikt van het ‘Extended Validation’ type zijn ? Want HTTPS heeft erg weinig zin als de betrouwbaarheid van zo’n certificaat marginaal is.
Op zich een goed voornemen van Plasterk als minister van BZK. Door als overheidsorganisatie je websiteverkeer beveiligen met HTTPS bied je de burger en bedrijven privacy en veiligheid als deze online contact met je zoekt. Ook weet deze zeker, dat hij/zij bij de goede website zit (zeker met een PKI-O certificaat). Kortom je bent als overheid ook online een betrouwbare partner voor de burger en het bedrijfsleven. Ik vraag me alleen af, waarom een wet nodig is om dit af te dwingen? Daar kunnen we toch niet op wachten! Waarom regelen de overheden (en andere publieke organisaties) dit niet nu al op eigen initiatief? Pak je verantwoordelijkheid en neem beveiliging echt serieus. Veel werk is het niet en de kosten van een (PKI-O)certificaat zijn op het totaal aan kosten echt te verwaarlozen. Of moeten wij als ICT-ers (en burgers) initiatief nemen en onze gemeenten en andere instanties waarmee we contact hebben vragen om z.s.m. HTTPS te gaan toepassen?
@Carl, de overheid heeft al geruime tijd de zogenaamde PTOLU lijst (Pas Toe Of Leg Uit), die vind je hier: https://www.forumstandaardisatie.nl/lijst-open-standaarden/in_lijst/verplicht-pas-toe-leg-uit. Helaas staat HTTPS niet op deze lijst. Het staat wel hier beschreven: https://www.forumstandaardisatie.nl/standaard/https-en-hsts. Echter, dit is uitsluitend een advies en geen voorschrift. Aldus is het aan overheden zelf om te bepalen of, en wanneer ze zulk advies opvolgen.
Ben het wel met je eens dat er geen wet voor nodig is. Simpelweg het advies aanpassen, en op de PTOLU lijst laten plaatsen is al voldoende. Echter, als je kijkt naar een aantal zaken op de PTOLU lijst biedt deze ook weer voldoende mogelijkheden tot non-compliance. Veelvuldig wordt er aangegeven dan een standaard volgen pas nodig is bij vervanging van een systeem of dergelijke. Dan is het dus eerst maar de vraag wat er verstaan wordt onder vervanging. Voor DNSSEC bijvoorbeeld wordt er gesteld :
Waarvoor geldt de verplichting
Bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.
dus pas als een gemeente een nieuwe website laat bouwen dient men DNSSEC te gebruiken. Nagenoeg alle gemeenten hebben al een website, en die wordt uitsluitend onderhouden. Dus is er geen reden voor gemeenten om hun externe DNS onder te brengen bij een partij die DNSSEC ondersteund.
Daarnaast, wie verzorgt de audits van gemeenten op de PTOLU lijst? Forum Standaardisatie stelt dat zij jaarlijks een ‘monitor’ publiceert die ‘het uitvragen van open standaarden bij de overheid meet en evalueert’, met andere woorden, er wordt slechts gekeken of een aanbesteding of project expliciet refereert aan een open standaard als onderdeel van het project. Er wordt niet gecontroleerd of dit ook daadwerkelijk ingevoerd wordt.