Een derde overheidssites voldoet niet aan standaardvereisten

Vanaf 1 juli is het gebruik van de standaarden HTTPS en HSTS (het ‘slotje’ op een website) verplicht voor publiek toegankelijke overheidswebsites. Het besluit om dit te verplichten vloeit voort uit de Wet digitale overheid. Deze standaarden spelen een belangrijke rol in het beveiligen van websites, onder meer doordat de communicatie met de gebruiker wordt versleuteld.

Versleutelde communicatie

De HTTPS-standaard zorgt ervoor dat kwaadwillenden niet kunnen meekijken als je bijvoorbeeld een webformulier verstuurt. HTTPS zorgt er ook voor dat de gegevens tussen de bezoeker en de website onderweg niet kunnen worden aangepast of dat malware aan wordt toegevoegd. Hoe weet je of een website gebruikmaakt van HTTPS? Door het slotje in de adresbalk van de browser. Staat er geen slotje, dan kan dat een teken zijn dat de overheidswebsite die je bezoekt niet legitiem is.

Op 56 overheidssites ontbreekt versleuteling

Nu zijn deze standaarden inmiddels behoorlijk ingeburgerd. Basisbeveiliging.nl deed onderzoek naar het gebruik ervan, en kwam slechts 56 overheidssites tegen waarop versleuteling helemaal ontbreekt. Voor het overgrote deel gaat het om testpagina’s of vergeten projecten, bijvoorbeeld wion.weert.nl en diensten.westmaasenwaal.nl.

Een derde voldoet niet aan de eisen voor HTTPS

Zorgelijker is dat een derde van de overheidssites niet aan de eisen voldoet die het NCSC stelt aan de toepassing van HTTPS. Bij gemeenten is dit 29 procent, bij provincies 39 procent en landelijk ligt het percentage op 38 procent. Ter relativering: onder de ziekenhuizen en GGD’s, waar de standaard niet verplicht is, wijkt bijna 84 procent van de sites af van de eisen.

Adoptie open standaarden bevorderen 

Overheidsorganisaties moeten zich al langer houden aan het ‘pas toe of leg uit’-beleid voor open standaarden. Dat betekent dat ze bij het aanschaffen van ICT-systemen en -diensten de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie moeten raadplegen en de standaarden die van toepassing zijn in gebruik moeten nemen, tenzij er zwaarwegende redenen zijn om dit niet te doen. In feite zijn veel standaarden daarmee al verplicht. Maar de adoptie van open standaarden gaat langzamer dan gewenst, blijkt uit metingen van Forum Standaardisatie. Dat is de aanleiding om in het geval van HTTPS en HSTS een stapje verder te gaan en de verplichting in de wet op te nemen.

Niet waterdicht

Deze verplichting is nog niet waterdicht, merkt Elger Jonker op. Hij is oprichter van de Internet Cleanup Foundation, dat Basisbeveiliging.nl in beheer heeft. Het is nog steeds mogelijk om het onversleutelde HTTP te gebruiken, zolang de bezoeker daarna direct wordt doorgestuurd naar de versleutelde HTTPS-website. De meest gebruikte browsers doen dit vanzelf. Het doorsturen van gebruikers zal naar verwachting steeds minder vaak voorkomen, doordat er minder gebruikers zullen zijn die nog een oude browser of computer gebruiken. Maar organisaties kunnen in theorie wel doorgaan met onder de radar HTTP gebruiken.

‘Er is geen reden om geen versleuteling te gebruiken op het web, op een enkele bijzonderheid na,’ zegt Jonker. ‘Organisaties hebben er geen voordeel bij om het niet te doen. Tegelijkertijd is het onmeetbaar of een organisatie HTTP blijft gebruiken en de verplichte doorverwijzing naar HTTPS negeert. Alleen als HTTP wordt uitgezet is er een garantie, maar daarvoor is het te vroeg.’ Het is nog niet duidelijk op welke manier de verplichting zal worden gehandhaafd.