image

Van Huffelen: ongewenst dat gemeentesites niet aan beveiligingseisen voldoen

dinsdag 4 juni 2024, 13:32 door Redactie, 6 reacties

Het is onwenselijk dat veel gemeentewebsites niet aan voor overheden verplichte beveiligingseisen voldoen, zo stelt demissionair staatssecretaris Van Huffelen van Digitalisering. Ze onderzoekt nu mogelijkheden om te kijken of er strenger toezicht kan worden gehouden op het naleven van wettelijk verplichte standaarden. Dat laat de staatssecretaris weten op Kamervragen over de veiligheid van gemeentesites (pdf).

Uit de meest recente 'Meting Informatieveiligheidstandaarden overheid' van Forum Standaardisatie blijkt dat 54 procent van de gemeentelijke websites alle afgesproken websitestandaarden voor veilig en modern webverkeer toepast. Als het alleen gaat om webbeveiligingsstandaarden voldoet 76 procent van de gemeentesites aan de eisen. De onderzoekers merken hierbij op er geen goed beeld is van secundaire internetdomeinen van decentrale overheden. "Hoewel we weten dat gemeenten wel honderden websites in beheer kunnen hebben."

Volgens Van Huffelen hebben overheden richting de burger de verantwoordelijkheid om online overheidsinformatie en diensten transparant, toegankelijk, betrouwbaar en veilig aan te bieden. "Overheden hebben daarbij een voorbeeldfunctie als het gaat om de informatiebeveiliging. Een veilige website is daar onderdeel van", aldus de staatssecretaris.

"Daarbij hoort onder meer dat overheden alle websites beveiligen volgens de wettelijke verplichte standaarden (Wdo), en de informatieveiligheidsstandaarden van de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie toepassen." Van Huffelen voegt toe dat ze aan het verkennen is hoe het toezicht op de wettelijke verplichte standaarden steviger kan worden ingericht. "Door het niet toepassen van verplichte standaarden, lopen overheidsorganisaties een beveiligingsrisico."

Reacties (6)
04-06-2024, 13:52 door Anoniem
Het wordt pas interessant als de minister via een AMvB gebaseerd op de WDO het ondersteunen van DANE voor e-mailbeveiliging wettelijk verplicht gaat stellen. Helemaal in het licht van de grote Microsoft cloud migratie die de overheden doormaken of hebben doorgemaakt. De EY consultants, ingehuurd door SLM Rijk, komen er nu nog mee weg om deze BIO non-conformiteit af te schrijven als 'geen serieus risico', maar als die acceptatie wegvalt door een wettelijke verplichting dan zullen alle ambtenaren toch echter over moeten naar een E5 licentie. Dan gaan we een influx aan nieuwe aanbestedingen zien die vragen om Microsoft licenties, want uiteraard zit niemand te wachten op een Exchange Online-exit.
04-06-2024, 14:46 door TALOS
Of DANE/TLSA zo moeilijk is?, NEE. Microsoft is bezig, maar ja, al zo lang. Maar wat DANE/TLSA e-mail betreft, dat zijn er maar een paar. Je kunt DANE/TLSA naar ziggo.nl sturen en dat werkt, maar omgekeerd van ziggo naar jouw trusted, NEE.

Wij gebruiken linux/sendmail (jan. 2024) en ook 't SIDN geeft ook voor postfix een duidelijke beschrijving.
04-06-2024, 18:07 door Anoniem
Ongewenst? Ontslagen en evt celstraffen zou ik zeggen, als je na al die jaren nog steeds de boel niet op orde hebt dan ben je onngeschikt.

Zorg meteen dat ze al die spyware trackers uit hun sites halen.
05-06-2024, 08:25 door Anoniem
Door Anoniem: Ongewenst? Ontslagen en evt celstraffen zou ik zeggen, als je na al die jaren nog steeds de boel niet op orde hebt dan ben je onngeschikt.

Zorg meteen dat ze al die spyware trackers uit hun sites halen.

"Na al die jaren" hahaha. Heeft u wel eens voor de (regionale)overheid gewerkt? Ik heb stroop sneller een heuvel op zien kruipen. 'Dingen laten zoals ze zijn' en 'rustig aan dan breekt het lijntje niet' zijn nog steeds prima toepasbaar in overheidsland.

Besluitvorming van maanden/jaren is helemaal niet vreemd en het implementeren van nieuwe standaarden of een site die op de schop moet, dat kan echt lang duren.

Dan uw opmerking 'celstraffen' , voor wie dan precies? Zoals ik al zei loopt het heel traag en posities wisselen nog wel eens van persoon in dat tijdsbestek. Dus iemands voorganger was verantwoordelijk voor het in gang zetten, de huidige bekleder van de positie doet zijn best het op de agenda te houden en de volgende zal het dan wellicht ook daadwerkelijk implementeren.

De processen remmen zichzelf meestal, het is in veel gevallen niet eens laksigheid of onwil maar puur het geregel om iets te kunnen/mogen doen.

Ik begrijp uw frustratie heel goed, daar ik zelf bij overheidsinstanties heb gewerkt en weet dat het beter kan. Maar ik zie het niet snel veranderen, deels cultuur en een groot deel hopeloze regeltjes.
05-06-2024, 09:40 door Anoniem
Door Anoniem: Ongewenst? Ontslagen en evt celstraffen zou ik zeggen, als je na al die jaren nog steeds de boel niet op orde hebt dan ben je onngeschikt.

Zorg meteen dat ze al die spyware trackers uit hun sites halen.

Geneuzel.
Er is niets strafbaar gedaan, dus hoezo celstraffen.
Ontslagen? Wie dan? En waarom? Verwijtbare nalatigheid?
06-06-2024, 09:58 door Anoniem
Door Anoniem: Ongewenst? Ontslagen en evt celstraffen zou ik zeggen, als je na al die jaren nog steeds de boel niet op orde hebt dan ben je onngeschikt.

Zorg meteen dat ze al die spyware trackers uit hun sites halen.

Huh? Wanneer de email bijv. bij Microsoft wordt gehost ben je ook afhankelijk van Microsoft in veel gevallen. Wanneer je eenmaal in de bubbel zit, is het lastiger om eisen te stellen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.