PvdA en VVD hebben Kamervragen aan minister Plasterk van Binnenlandse Zaken gesteld naar aanleiding van het drown-lek dat in verschillende gemeentewebsites is aangetroffen. Via drown kan een aanvaller versleutelde verbindingen kraken en zo toegang tot vertrouwelijke gegevens krijgen.
De drown-aanval maakt gebruik van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, maar niet gebruiken voor het opzetten van een versleutelde verbinding. Daarvoor wordt tegenwoordig het tls-protocol gebruikt. Een aanvaller kan tls-verbindingen echter ontsleutelen door probes naar een server te sturen die sslv2 ondersteunt en dezelfde privésleutel gebruikt.
Uit gegevens van Qualys SSL Labs, een website waar de configuratie van webservers die ssl gebruiken kan worden gecontroleerd, blijkt dat er tientallen gemeentewebsites kwetsbaar zijn. RTL testte 175 gemeentewebsites via SSL Labs. Bij 33 websites werd de drown-kwetsbaarheid aangetroffen. Verder bleek dat bij 51 websites de beveiliging niet up-to-date is of dat ze gedeeltelijk voor drown kwetsbaar zijn. Het gaat dan bijvoorbeeld om de webmail van medewerkers of een bepaald onderdeel van de website.
VVD-Kamerleden Veldman en De Caluwé en PvdA-Kamerlid Oosenbrug (PvdA) willen van Plasterk weten welke stappen hij tot nu toe heeft ondernomen om het probleem op te lossen. Ook vragen ze welke maatregelen de minister neemt om de gemeenten ertoe te bewegen maatregelen te treffen om de beveiliging van persoonsgegevens op orde te brengen. Daarnaast moet Plasterk ook laten weten welke rol hij denkt te kunnen spelen om de omgang met privacy door gemeenten te verbeteren.
De Kamerleden vinden dat de Autoriteit Persoonsgegevens de beveiliging van persoonsgegevens bij gemeenten tot hoogste prioriteit moet benoemen en daarnaar moet handelen en willen weten of Plasterk het hiermee eens is. Ook willen de Kamerleden de mening van de minister weten over het niet meer ondersteunen van oudere ssl-technologieën op gemeentewebsites. Verder vragen ze hoe de problemen met de veiligheid van de persoonsgegevens moeten worden gezien in het licht van de afspraak uit het regeerakkoord dat uiterlijk in 2017 bedrijven en burgers zaken met de overheid digitaal kunnen afhandelen. De Kamervragen (pdf) moeten binnen 3 weken zijn beantwoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.