Websites overheid lek?

3 augustus 2009, 04:10

Websites van overheden zijn niet goed beveiligd, schrijft AD (via: SpitsNieuws). Op bijna 85 procent van de sites kunnen criminelen makkelijk bij persoonsgegevens en sofinummers. Privacygevoelige websites van de Belastingdienst, de Nationale ombudsman en de Sociale Verzekeringsbank blijken zo lek als een mandje. Dit blijkt uit onderzoek van internetbeveiliger Networking4all onder 684 sites van de overheid.

Jammer dat zowel AD als Networking4all niet meer informatie geeft over het onderzoek. Wat is er precies onderzocht? Wat zijn de gekozen criteria om een website wel of niet veilig te noemen? Het is duidelijk dat dit onderzoek inhaakt op de recentelijk gelanceerde overheidscampagne Veilig internetten. Hierin worden vijf belangrijke tips gegeven hoe men zich tegen cybercrime kan beschermen. Ook wordt er gesteld dat internetgebruikers hun veiligheid zelf in eigen hand hebben. Want veel gegevens zetten we zelf ‘onveilig’ op internet.

Marco Derksen
Partner bij Upstream

Oprichter/partner Upstream, Marketingfacts, Arnhem Direct, SportNext, TravelNext, RvT VPRO, Bestuur Luxor Live, social business, onderwijs, fotografie en vader!

Categorie
Tags

8 Reacties

    ssmeding

    Ik ben heel benieuwd naar de onderbouwing van deze harde stelling. Om wat voor soort beveiligingsrisico’s zou het dan precies gaan? Ik hoop dat het onderzoek verder gaat dan een checklist die naast elke pagina is gelegd met bijvoorbeeld of formulieren wel worden verstuurd via SSL/HTTPS en meer van dat soort criteria waarbij het nut per situatie kan verschillen…


    3 augustus 2009 om 04:53
    media

    @Sint: dat was dus ook precies mijn vraag. Beetje makkelijk scoren om in te haken op de overheidscampagne, even snel wat overheidssites door een https-check te halen en dan te concluderen dat de overheidsites lek zijn. Ze hebben er in ieder geval wel het AD en de Spits mee gehaald.


    3 augustus 2009 om 04:58
    Tim Thurlings

    Ik verwacht dat ze een eenvoudige grey penetration test gedaan hebben. De software hiervoor is beschikbaar op het web en leveren betrouwbare informatie op. Acunetix.com of OnlineHackscan.com zijn hiervoor betrouwbare bronnen. Er worden door deze software een grote hoeveelheid tests uitgevoerd op gebied van XSS Cross Site Scripting, SQL Injection etc.

    Deze resultaten zijn erg goed te publiceren zonder details prijs te geven. Ik heb dus ook zo mijn twijfels over de betrouwbaarheid en diepgang van de verrichte onderzoeken. Als ze echt grondige tests gedaan hebben valt er heel wat meer te informeren zonder de veiligheid in gevaar te brengen. Een argument als ‘identiteits diefstal’ (NOS nieuws) is wel heel vaag natuurlijk…


    3 augustus 2009 om 07:27
    Boris

    networking4all verkoopt SSL certificaten, komt dat even goed uit!

    Ik vind een ontbrekend SSL certificaat nou niet echt een super beveiligingslek, een ‘verzamelaar’ moet dan wel heel veel moeite doen voor een paar namen/sofi-nummers. Het is niet dat hij in 1x een database kan uitlezen ofzo.


    3 augustus 2009 om 09:25
    André Scholten

    “zo lek als een mandje”

    Dus wanneer formulieren niet via HTTPS verstuurd worden is je site zo lek als een mandje? Aandacht trekken doe je met het schrijven van goede stukken, niet met dit soort titels. Beetje jammer van spitsnieuws.


    3 augustus 2009 om 10:31
    Erwin Sigterman

    Inderdaad komkommertijd!


    3 augustus 2009 om 17:13
    ssmeding

    Waar staat in de Wet Bescherming Persoonsgegevens dat informatie over het web niet onversleuteld mag worden verstuurd? En om welke informatie zou het dan precies gaan?

    Informatie die onversleuteld over het net gaat is inderdaad in theorie af te vangen, maar dit risico is niet veel groter dan het versturen van privacygevoelige informatie via de post.

    Het bedrijf wil makkelijk scoren om de eigen dienstverlening in een goed daglicht te stellen.


    4 augustus 2009 om 05:09
    Bart Willems

    artikel is inderdaad een beetje kort door de bocht. Veel websites zijn getest op alleen het hoofddomein. De serieuze formulieren staan meestal op loket.gemeentenaam.nl of secure.gemeentenaam.nl. Daar zijn weldegelijk SSL certificaten actief.

    check mijn weblog voor verdere uitleg http://www.zekerdigitaal.nl


    5 augustus 2009 om 11:22

Marketingfacts. Elke dag vers. Mis niks!