Eerder onderzoek uitgevoerd in 2017 gaf aan dat de veiligheid van de websites van Nederlandse gemeenten nog wel wat te wensen over liet. In maart vorig jaar concludeerde Open State Foundation al dat het al een stuk beter ging met het gebruik van versleutelde communicatie.
Een recent door INISI uitgevoerde scan* van gemeentewebsites geeft een vergelijkbaar beeld. Het ziet ernaar uit dat de meeste websites heel behoorlijk beveiligd zijn. Dit kan te maken hebben met het feit dat veel gemeentelijke herindelingen ervoor gezorgd hebben dat gemeenten hun site hebben vernieuwd en daarbij aandacht hebben besteed aan beveiliging.
Een goede ontwikkeling.
Beoordeling
Elke website is beoordeeld op een aantal criteria, zoals het gebruik van https-verbinding, maar ook is gekeken naar een aantal kwetsbaarheden zoals bescherming tegen bepaalde hackmethoden, het gebruik van oude versies van software en het toepassen van een verouderde of te zwakke encryptie. Elke website kreeg een score tussen de 0 en de 100.
De zwakkere websites met een score van 55 of lager, troffen we aan op Bonaire (score 5!) en de gemeenten Almere, Beemster, Bergen op Zoom, Dantumadiel, Lelystad, Overbetuwe, Rozendaal, Sluis, Stichtse Vecht, Súdwest-Fryslân, Valkenburg, Weert, Wijdemeren en Zaanstad.
34 Gemeenten scoorden in de middenmoot met een score tussen de 60 en 75. Maar verreweg de meeste gemeenten scoorden evenwel goed tot zeer goed met een score boven de 80. Bij 30% van de gemeenten troffen we in de scan geen enkel issue. Zij scoorden 100 punten.
Al met al een positief resultaat dus. Al zijn er nog steeds enkele zwakke sites die duidelijk achter blijven.
Van 8 gemeenten konden we door een technisch probleem de veiligheidsscore niet vaststellen.
De issues die spelen bij de minder goed scorende websites, hebben over het algemeen te maken met het niet versleutelen van het verkeer of het niet automatisch aanbieden van versleutelde communicatie via https. Ook komt het nog wel voor dat de site informatie prijsgeeft over versienummers van de gebruikte software: daarmee geef je hackers te veel informatie waarmee ze hun aanvalsstrategie kunnen bepalen.
Verder troffen we nog bekende kwetsbaarheden aan, zoals de vatbaarheid voor cross-sitescripting aan, of het toestaan van het gebruik van zg. frames toe, waarmee de site misbruikt kan worden via clickjacking. Ook zijn wordt er nog te vaak gebruik gemaakt van te zwakke of verouderde SSL/TLS encryptiesleutels.
Geruststellend
Het resultaat van de scan stelt ons echter gerust: het lijkt erop dat de nieuwe wetgeving en de daaruit voorkomende aandacht voor informatiebeveiliging zijn vruchten begint af te werpen.
Uiteraard is dit zeker geen reden om achterover te leunen: een beveiligingsissue kan zomaar de kop opsteken. En de meeste organisaties hebben nog geen goed systeem om kwetsbaarheden gestructureerd te monitoren en te classificeren. Laat staan dat ze er adequaat op kunnen reageren.
* De scan werd door INISI uitgevoerd met samenwerkingspartner Guardian360.
Bron: https://www.linkedin.com/pulse/websites-nederlandse-gemeenten-scoren-goed-op-bart-bossers