• Usability & design
    wordt gesponsord door

Websites overheid lek?

Websites overheid lek?

Websites van overheden zijn niet goed beveiligd, schrijft AD (via: SpitsNieuws). Op bijna 85 procent van de sites kunnen criminelen makkelijk bij persoonsgegevens en sofinummers. Privacygevoelige websites van de Belastingdienst, de Nationale ombudsman en de Sociale Verzekeringsbank blijken zo lek als een mandje. Dit blijkt uit onderzoek van internetbeveiliger Networking4all onder 684 sites van de overheid.

Jammer dat zowel AD als Networking4all niet meer informatie geeft over het onderzoek. Wat is er precies onderzocht? Wat zijn de gekozen criteria om een website wel of niet veilig te noemen? Het is duidelijk dat dit onderzoek inhaakt op de recentelijk gelanceerde overheidscampagne Veilig internetten. Hierin worden vijf belangrijke tips gegeven hoe men zich tegen cybercrime kan beschermen. Ook wordt er gesteld dat internetgebruikers hun veiligheid zelf in eigen hand hebben. Want veel gegevens zetten we zelf ‘onveilig’ op internet.


Delen

0
0


Er zijn 10 reacties op dit artikel

  • Ik ben heel benieuwd naar de onderbouwing van deze harde stelling. Om wat voor soort beveiligingsrisico's zou het dan precies gaan? Ik hoop dat het onderzoek verder gaat dan een checklist die naast elke pagina is gelegd met bijvoorbeeld of formulieren wel worden verstuurd via SSL/HTTPS en meer van dat soort criteria waarbij het nut per situatie kan verschillen...

    geplaatst op
  • @Sint: dat was dus ook precies mijn vraag. Beetje makkelijk scoren om in te haken op de overheidscampagne, even snel wat overheidssites door een https-check te halen en dan te concluderen dat de overheidsites lek zijn. Ze hebben er in ieder geval wel het AD en de Spits mee gehaald.

    geplaatst op
  • Networking4all heeft een 'Site check' op haar website staan, die het volgende doet:

    "Check uw SSL certificaat met onze Site Check om te zien of de verbinding naar uw site werkelijk veilig is en wat de kwaliteit van de beveiliging is."

    Het is voornamelijk een check naar het juiste SSL certificaat. Op Fok! staat een overzicht van websites die niet goed beveiligd zouden zijn (lees: niet over het juiste SSL certificaat beschikken). Op zich niet wereldschokkend, maar wel slordig voor een instantie die ons veilig wil leren internetten.

    geplaatst op
  • Ik verwacht dat ze een eenvoudige grey penetration test gedaan hebben. De software hiervoor is beschikbaar op het web en leveren betrouwbare informatie op. Acunetix.com of OnlineHackscan.com zijn hiervoor betrouwbare bronnen. Er worden door deze software een grote hoeveelheid tests uitgevoerd op gebied van XSS Cross Site Scripting, SQL Injection etc.

    Deze resultaten zijn erg goed te publiceren zonder details prijs te geven. Ik heb dus ook zo mijn twijfels over de betrouwbaarheid en diepgang van de verrichte onderzoeken. Als ze echt grondige tests gedaan hebben valt er heel wat meer te informeren zonder de veiligheid in gevaar te brengen. Een argument als 'identiteits diefstal' (NOS nieuws) is wel heel vaag natuurlijk...

    geplaatst op
  • networking4all verkoopt SSL certificaten, komt dat even goed uit!

    Ik vind een ontbrekend SSL certificaat nou niet echt een super beveiligingslek, een 'verzamelaar' moet dan wel heel veel moeite doen voor een paar namen/sofi-nummers. Het is niet dat hij in 1x een database kan uitlezen ofzo.

    geplaatst op
  • Op Tweakers.net gaat men nader in op het probleem.

    Beveiligingsbedrijf Networking4all stelt dat de contactformulieren op diverse overheidswebsites onveilig zijn. De ingevoerde informatie wordt onversleuteld verstuurd, en dit is strijdig met de Wet bescherming persoonsgegevens.

    Probleem met SSL dus. Zoals Boris al zegt, enerzijds nogal een goedkoop verkooppraatje. Alhoewel dergelijke data onversleuteld versturen natuurlijk best slordig is.

    geplaatst op
  • "zo lek als een mandje"

    Dus wanneer formulieren niet via HTTPS verstuurd worden is je site zo lek als een mandje? Aandacht trekken doe je met het schrijven van goede stukken, niet met dit soort titels. Beetje jammer van spitsnieuws.

    geplaatst op
  • Inderdaad komkommertijd!

    geplaatst op
  • Waar staat in de Wet Bescherming Persoonsgegevens dat informatie over het web niet onversleuteld mag worden verstuurd? En om welke informatie zou het dan precies gaan?

    Informatie die onversleuteld over het net gaat is inderdaad in theorie af te vangen, maar dit risico is niet veel groter dan het versturen van privacygevoelige informatie via de post.

    Het bedrijf wil makkelijk scoren om de eigen dienstverlening in een goed daglicht te stellen.

    geplaatst op
  • artikel is inderdaad een beetje kort door de bocht. Veel websites zijn getest op alleen het hoofddomein. De serieuze formulieren staan meestal op loket.gemeentenaam.nl of secure.gemeentenaam.nl. Daar zijn weldegelijk SSL certificaten actief.

    check mijn weblog voor verdere uitleg http://www.zekerdigitaal.nl

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.