Nieuws

Website beveiliging bij de overheid

Onze overheid heeft halverwege dit jaar de campagne “Veilig internetten heb je zelf in de hand” gestart. Deze campagne is in het leven geroepen om gebruikers te wijzen op de gevaren van het internet.

In de zelfde periode is door de Nederlandse Vereniging van Banken de campagne “3x kloppen” gestart en begin December 2009 heeft de overheid een platform Internetveiligheid gestart.

Kern van de campagnes was dat gebruikers zelf goed op moeten letten welke informatie ze op internet delen en dat gebruikers goed controleren of de identiteit van een webpagina klopt. Zoals de meeste mensen wel zullen weten is de kern van het beveiligen van webpagina’s het gebruik van een SSL Certificaat. Met dit SSL Certificaat wordt de informatie die uitgewisseld wordt tussen de internet browser en de server(s) achter de website versleuteld. Certificaten kunnen zelf gegenereerd worden of door een “vertrouwde” certificerings organisatie. Deze organisaties zijn vertrouwd doordat hun certificaat meegeleverd wordt met de internet browser. De leverancier van de browser heeft de identiteit van de organisatie vastgesteld. Een organisatie of consument kan zijn of haar certificaat laten tekenen door deze organisatie waardoor automatisch de identiteit is gecontroleerd en de webpagina door de webbrowser als veilig wordt aangemerkt. Dit systeem is volledig gebaseerd op vertrouwen.

Helaas zijn theorie en praktijk niet altijd gelijk. Bij het aanvragen van een bedrijfsnummer voor aaZoo B.V. kwam ik terecht bij het loket elektronische formulieren van de OPTA. Dit loket wordt aangeboden door de overheid en is ingericht om veilig formulieren uit te kunnen wisselen of online in te kunnen vullen. Zodra ik terecht kwam op de pagina begonnen de alarmbellen van mijn browser te rinkelen.

Blijkbaar is het certificaat verlopen op 23 November 2009 en dus niet meer geldig op mijn bezoek van 28 December.

Overigens heeft de OPTA nog een functie in de webpagina ingebouwd die de beveiliging van de elektronische formulieren moet verbeteren. Terwijl ik bezig was met het schrijven van deze blogpost kreeg ik een popup met de volgende tekst: “U bent meer dan 55 minuten bezig met het invullen van dit scherm. Klik op een knop onderin het invulscherm. U heeft hiervoor nog 5 minuten (tot 11:19). Anders moet u alle gegevens opnieuw invullen.”
Ik weet niet zeker hoe dit de veiligheid van de pagina vergroot, maar gebruiksvriendelijk is het zeker niet.

Voor onze overheid heb ik nog een spreekwoord: “Goed voorbeeld doet goed volgen” of het bekende “Practice what you preach“. Het verbeteren van de veiligheid op het internet is uiteraard een goed streven, echter onze overheid dient hier een voortrekkersrol in te spelen. Het verlengen van een SSL Certificaat is een kleine actie die keurig een maand voor het verlopen kan en behoord te gebeuren. Uiteraard wordt de informatie nog wel versleuteld verstuurd, maar een niet-vertrouwde organisatie zou het originele certificaat gestolen kunnen hebben en zou kunnen proberen onze gegevens te onderscheppen. Het aanbrengen van beveiliging alleen is niet voldoende, ook onderhoud en controle is uitermate belangrijk zoals dit geval al aangeeft. Laat certificaten niet verlopen, zorg dat er regelmatig gecontroleerd wordt of breng een notificatie systeem in de lucht dat de data van certificaten automatisch controleert, zoals bijvoorbeeld Nagios.

Wilt u meer informatie? Neem dan contact met ons op!