De verkiezingen voor de Tweede Kamer komen eraan. Laten we wel wezen, niemand zit te wachten op discussies over beïnvloeding van de verkiezingen door vermeende hackers uit binnen- of buitenland.

Toch is gebleken dat politici zich niet allemaal even bewust zijn van de risico’s.

Zo was afgelopen maand in het nieuws dat journalisten van RTL Nieuws eenvoudig konden inbreken op de socialmedia-accounts van de Kamerleden Van der Staaij en Omtzigt. Ze moesten prompt op een spoedcursus cybersecurity van Kamervoorzitter Arib.

En met het oog op de naderende verkiezingen schijnt het NCSC Nederlandse politici in het geheim te hebben bijgepraat en gewaarschuwd voor de dreiging van hackers.

Zouden ze er wat van hebben opgestoken?

Proef op de som

We zijn inmiddels een paar weken verder en dus namen we de proef op de som: hoe veilig zijn de websites van de politieke partijen eigenlijk?

INISI heeft in samenwerking met Guardian360 een veiligheidsonderzoek uitgevoerd op de websites van de bekendste politieke partijen die meedoen met de aanstaande Tweede-Kamerverkiezingen.

In het onderzoek is met een aantal geautomatiseerde scanners een veiligheidsscore bepaald. Die score is hoger naarmate er elementaire beveiligingsmaatregelen worden toegepast op de onderzochte website. Denk daarbij aan het gebruik van security headers, SSL-certificaten, de behandeling van cookies en een aantal veel voorkomende misconfiguraties.

Om te huilen

We zien een wisselend beeld: de meeste websites zijn qua beveiliging onder de maat. Daarin verschillen ze misschien niet van de overgrote meerderheid van de websites op internet: gemiddeld scoren die ruim onder de 50%. Maar we hebben het hier over de officiële websites van onze politieke partijen. Daar zou je inmiddels een hoger beveiligingsniveau verwachten.

Zeker nu.

Bij de gevestigde partijen scoort het CDA het hoogst met 75%, gevolgd door de PvdA met 60% en de SP met 50%. De VVD, GroenLinks, 50Plus en ChristenUnie zullen met een score van respectievelijk 40% en 30% snel iets aan het beveiligingsniveau van hun website moeten doen om te voorkomen dat ze mogelijk slachtoffer worden van hackers.

D66, die bij monde van Kamerlid Kees Verhoeven, als een van de weinige partijen regelmatig cybersecurity op de agenda zet, moet zich toch achter de oren krabben met een magere 45%.

Helemaal onderaan de lijst bungelen SGP en PVV met een beschamende score van 20% of minder.

Update 2-2-2017:

Er zijn veel reacties binnengekomen op dit bericht. Ook van de politieke partijen zelf. Sommige hebben er ook meteen werk van gemaakt en wijzigingen aangebracht aan hun websites, met als gevolg dat er wat verschuivingen hebben plaatsgevonden in de ranglijst. Met name de SGP en D66 hebben hun sites verbeterd en staan hoog in de lijst. Ook het CDA heeft aan de site gesleuteld, daalde aanvankelijk in score, maar staan nu weer op een mooie tweede plek.

Het moge duidelijk zijn: een veiligheidsscore is een momentopname, reden waarom websites en webapplicaties continu gemonitord moeten worden op kwetsbaarheden.

Belanghebbenden kunnen bij INISI het testrapport met een toelichting opvragen. Stuurt u daarvoor een e-mail aan securityscan@inisi.com of neem telefonisch contact op met Bart Bossers, tel. 010-4368822.

Wilt u weten hoe de score van uw website uitpakt? Doe dan hier de online quickscan!

Nieuwe partijen

De nieuwe partijen beschikken misschien niet over een goedgevulde partijkas om zich afdoende te laten adviseren omtrent een veilige website. Toch doen sommige partijen het lang niet slecht. Uitschieter is Forum voor Democratie met 60%. En van de piratenpartij zou je toch verwachten dat ze zich door een paar ethical hackers uit hun midden hadden kunnen laten adviseren…?

Belanghebbenden kunnen bij INISI het testrapport met een toelichting opvragen. Stuurt u daarvoor een e-mail aan securityscan@inisi.com of neem telefonisch contact op met Bart Bossers, tel. 010-4368822.

Wilt u weten hoe de score van uw website uitpakt? Doe dan hier de online quickscan!