Drie op vijf gemeenten gebruikt mogelijk onveilige webcertificaten

Het internetverkeer van zo’n 60% van de gemeenten is beveiligd met onveilige webcertificaten die niet voldoen aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO) 2.0 die eind 2024 wordt verwacht. Dat blijkt uit onderzoek van PKIpartners.

De organisatie bekeek de veiligheid van webcertificaten van 106 gemeenten. Daaruit werd duidelijk dat het merendeel niet voldoet aan de nieuwste cybersecurityeisen. De Public Key Infrastructuur (PKI) certificaten kunnen gezien worden als een digitale sleutel van een website, app of document. Wanneer iemand dit wil bekijken controleert een browser of e-mailprogramma het certificaat op echtheid en geldigheid. Daarmee wordt de kans dat oplichters zich op internet voordoen als iemand anders verkleind.

Ton Oosterwijk ziet namens PKIpartners veel goedkope certificaten of de gratis Let’s Encrypt certificaten bij gemeentelijke websites voorkomen. 'Je weet niet wie die gemaakt heeft of met welk doel, er is geen overeenkomst, en geen helpdesk. Het is als een goedkoop hangslot en dat stuurt ook nog eens signaal naar de mogelijke inbrekers dat niemand controleert of de digitale ramen van en deuren van het gemeentehuis wel in kaart gebracht- en dicht zijn.'

Nieuwe wetgeving

Centrale regie bij de landelijke overheid is er tot op heden niet, stelt Oosterwijk. 'De verantwoordelijkheid voor deze beveiliging komt eind dit jaar door vernieuwde wetgeving ook wettelijk bij lokale overheden te liggen. Veel gemeenten zijn zich daar niet van bewust en lopen dus onbewust risico’s.'

In de whitepaper van het onderzoek bevestigt Albert de Ruiter van het ministerie van BZK dat het belangrijk is dat er continue gekeken wordt of er voldaan wordt aan nieuwe eisen, om daarmee het aantoonbaar vertrouwen te winnen. Dit kan bereikt worden met de ‘pas toe of leg uit’-regel.