HTTPS nog altijd niet wettelijk verplicht voor overheidswebsites
HTTPS is nog altijd niet wettelijk verplicht voor websites van de overheid, ook al had dit eigenlijk al in 2019 geregeld moeten zijn. Dat heeft demissionair staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten. HTTPS zorgt voor een beveiligde verbinding tussen website en bezoeker. Het certificaat dat voor HTTPS wordt gebruikt maakt het daarnaast mogelijk om de website te identificeren.
In 2017 liet Knops aan de Tweede Kamer weten dat om de beveiliging van overheidswebsites verder te bevorderen HTTPS wettelijk verplicht zou worden gesteld. "De Wet Digitale Overheid, die naar verwachting in 2019 van kracht zal worden, biedt de mogelijkheid open standaarden aan te wijzen voor een verplichting bij Algemene Maatregel van Bestuur (AmvB). De AMvB voor HTTPS is naar verwachting per medio 2019 van kracht."
In een vandaag verschenen Kamerbrief over de voortgang van de informatieveiligheid bij de overheid meldt de staatssecretaris dat het wetgevingstraject voor de Wet Digitale Overheid nog niet is afgerond en HTTPS daardoor nog niet wettelijk is verplicht. "Om de beveiliging van overheidswebsites verder te bevorderen, wordt gewerkt aan het verplicht stellen van de open informatieveiligheidsstandaard HTTPS en de complementaire HSTS-standaard voor het beveiligen van de verbinding met overheidswebsites en webapplicaties."
Volgens Knops dragen deze standaarden gezamenlijk bij aan het vertrouwelijk houden van de gegevensuitwisseling met overheidswebsites en -webapplicaties. Om de standaarden te verplichten moet echter wel eerst de Wet Digitale Overheid worden aangenomen. Het wetsvoorstel werd vorig jaar op 18 februari aangenomen door de Tweede Kamer. Nu ligt het voor behandeling bij de Eerste Kamer. Wanneer die over wetsvoorstel zal stemmen is nog onbekend.
Uit cijfers van het Forum Standaardisatie, dat onderzoek doet naar het naleven van informatieveiligheidsstandaarden door de overheid, blijkt dat alle onderzochte overheidsdomeinen inmiddels van HTTPS gebruikmaken en dat het afdwingen van HTTPS steeds beter wordt toegepast door op de juiste manier door te verwijzen en HSTS vaker toe te passen (pdf).
Wat is de volgende stap? Over Bluetooth of RAID5 debatteren met wat de voordelen en risico's zijn?
Wat is de volgende stap? Over Bluetooth of RAID5 debatteren met wat de voordelen en risico's zijn?
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Gewoon kloppende informatie, en een reactie die nergens op slaat. Dit is nieuws van nu, over de beveiliging van overheidswebsites, op basis van een kamerbrief, van vandaag. Tweakers heeft er niets mee van doen, niet overheids websites ook niet (gaat de overheid niet over).
Je reactie komt uit je eigen onderbuik, en is vrij inhoudsloos.
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Dit is een goed punt dat je hier maakt, integriteit en authenticiteit van de data!
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?
Anoniem 16:20
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?
Anoniem 16:20
Een aanvaller kan bijvoorbeeld DNS Poisoning doen, waardoor jouw computer een verkeerd ip bij een domeinnaam verkrijgt, en je daardoor een andere webpagina kan voordienen met andere informatie.
Zo zijn er legio van 'hacks' die jouw internet verkeer kunnen manipuleren, om je te beïnvloeden.
Anderzijds, wanneer je ziel zuiver is, ben je immuun voor desinformatie (hoe sterk deze ook is).
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?
Anoniem 16:20
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?
Anoniem 16:20
Wat dacht je van alle smartphones en tablets, waar totaal geen controle op is en van binnen naar buiten met huis tuin en keuken WiFi verbinding hebben, gammele hotspots onderweg, lekke 4g verbindingen enz...
Een makkie om in no time alles te besmetten en over te nemen.
Iedereen die een beetje kennis van informatiebeveiliging heeft, weet dat je een risicogerichte aanpak hanteert. Hoewel secure verbindingen zoals https in 99,9% van de gevallen van toegevoegde waarde zijn, moet je je tijd, geld en energie steken in zaken die echt een risico opleveren.
Inmiddels is het informatiebeveiligingsbeleid van de overheid geharmoniseerd in de Baseline Informatiebeveiliging Overheid. Het is veel verstandiger om op een deugdelijke implementatie van deze richtlijnen te sturen dan er één specifiek onderdeeltje uit te pakken en alleen naar dat elementje te kijken. Met een integrale aanpak voorkomen we dat we straks een prima beveiligde frontend (website) hebben en de backend (database) vol met kwetsbaarheden eenvoudig via internet te benaderen is.
Als het werkt dan werkt het.
Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?
Anoniem 16:20
Een aanvaller kan bijvoorbeeld DNS Poisoning doen, waardoor jouw computer een verkeerd ip bij een domeinnaam verkrijgt, en je daardoor een andere webpagina kan voordienen met andere informatie.
Zo zijn er legio van 'hacks' die jouw internet verkeer kunnen manipuleren, om je te beïnvloeden.
Anderzijds, wanneer je ziel zuiver is, ben je immuun voor desinformatie (hoe sterk deze ook is).
Is het dan (bij DNS poisoning) niet beter om in te zetten op DNSSEC? In plaats van op HTTPS?
Zelf heb ik met het poortfilter van XS4All de DNS vast gezet op die van de provider. Dat werkte goed tot DoH er kwam, maar dat is een ander probleem.
Anoniem 16:20
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
