Overheid sites zo lek als een mandje… Of valt het wel mee?
We konden vandaag op de voorpagina van het Algemeen Dagblad lezen dat de overheid sites zo lek als een mandje zijn. Nogal een kwalijke zaak zo op het eerste oog.
Maar is dat nou wel echt zo?
Even ruim genomen stelt namelijk het bedrijf dat na onderzoek deze feiten boven water heeft gebracht dat elk formulier wat je invult beveiligd moet zijn met een zogenaamd SSL certificaat en anders is de site dus per definitie onveilig. Dikke vette punt. En sommige formulieren van overheid sites (en een hoop andere sites) zijn dit niet.
Denk bijvoorbeeld aan het aanvragen van een folder bij een reisorganisatie, je vult daar achteloos je naam en adres gegevens in. Ook deze pagina’s zijn over het algemeen niet via een SSL certificaat beveiligd. Maar maakt dat een hele website onveilig?
Mwah niet per definitie. Er komt namelijk nog wel wat meer bij kijken willen kwaadwillenden je gegevens kunnen inzien. Ze moeten namelijk ook zogezegd de verbinding kunnen afluisteren. En dat is minder simpel dan het lijkt. Je adres gegevens opzoeken in het telefoonboek is vele malen simpeler in ieder geval. En dan heeft men alleen nog maar de beschikking over je adres gegevens.
Andere beveiligings zaken dan een SSL certificaat zijn op zo’n moment belangrijker. En ook met SSL certificaat zijn sommige zaken belangrijker. Een website moet namelijk als eerste veilig geprogrammeerd zijn, en het onderzoekende bedrijf heeft niet aangetoond dat de sites wat dat betreft onveilig zijn.
Daarnaast veel van de informatie lekken gebeuren op een andere manier. Een gat in het virtuele hek waar een vrachtwagen doorheen kan rijden, of lakse systeembeheerders die backup dvdtjes laten rond slingeren of deze bijvoorbeeld in de trein of taxi vergeten mee te nemen. Dat zijn grotere risico’s en bovendien ook veel interessanter voor kwaadwillenden ze ontvangen namelijk dan op een gemakkelijke manier heel veel gegevens in een keer.
Maar stel dat een formulier van een overheids instantie beveiligd zou zijn met een SSL certificaat. Stel dat het een contact formulier is waarin je een vraag stelt. Alles is netjes beveiligd via een SSL certificaat en gaat dus veilig over de lijn. Vervolgens krijg je een antwoord op je vraag per mail waarin al jouw gegevens en je vraag ook staan. Via een onbeveiligde verbinding terug?! Dan is het dus onzin om het formulier in 1e instantie al beveiligd te versturen.
Oftewel het is komkommertijd, want de overheid gebruikt over het algemeen namelijk wel degelijk SSL certificaten daar waar het er echt toe doet. Zodra je echt privacy gevoelige data de lijn over gaat sturen zoals bijvoorbeeld bij het inloggen bij de belastingdienst of DigID.
Of bij andere sites.. Wanneer je bijvoorbeeld een bestelling plaatst en creditcard of ideal gegevens over lijn stuurt. Bij het interbankieren en noem zo maar op.
Het onderzoek heeft bovendien een hoog “Maurice de Hond” gehalte, het bedrijf dat deze “lekken” onderzocht heeft verkoopt namelijk jawel.. SSL certificaten.
Maar het bedrijf haalt wel hun 15 minutes of fame met de kop in het Algemeen Dagblad plus de diverse journaals items.
Maar wees gerust… De stelling dat websites onveilig zijn alleen omdat er geen SSL certificaat op zit is de burger wel heel erg een gevaar aanpraten. Want zo erg is het ook weer niet gesteld.
U kunt reacties op dit bericht volgen via de RSS 2.0 feed. U kunt een bericht achterlaten, of een trackback geven op uw eigen site.
Kijk en dat zijn dus blogposts waar ik dus wat geruste van word..
Want ja ik ben toch ook maar een leek op dat gebied, en net als heel Nederland ben ik vaak geneigd om wat in de media word geroepen in mijn achterhoofd te houden.. Niet zozeer het gelijk te geloven maar onrustig word je er soms wel van.. Dus dank je wel
Niks aan de hand dus, je kan rustig slapen vannacht. Het internet is nog net zo (on)veilig als hiervoor
Tja, hier wil ik dan toch echt wel eens op inhoud reageren. Maar dat had je vast verwacht.
Tuurlijk is het zo dat het bedrijf SSL’s verkoopt en dus een belang heeft. En dat SSL niet de enige maatstaf is. Het complete onderzoek van het bedrijf richt zich trouwens niet enkel op SSL formulieren, maar op een aantal facetten, zie hun website (www.isdezesiteveilig.nl).
Maar dat neemt niet weg dat de overheid met hun vele sites toch vaak de boel niet op orde heeft (wat trouwens best moeilijk is hoor, want vaak mensenwerk). Kijk maar eens hoevaak ze hun CBP melding niet op orde hebben en/of geen FG hebben. Het is gewoon een feit dat als je voorlichting geeft aan burgers, je zelf het goede voorbeeld moet geven.
Dat geldt toch ook in ons dagelijks werk? Als ik de privacy van mensen zou schenden, heb ik een probleem. Als Niek slechte privefoto’s maakt, nemen ze haar als professional niet serieus en aan jouw sites stellen wij hogere eisen dan aan anderen vanwege je beroep. Toch?
Neemt niet weg dat lekken van persoonsgegeven vaak niet in eerste instantie gaat via hackers. En dus ICT maar één onderdeel is van de bescherming van persoonsgegevens, in tegenstelling van wat vele IT’ers denken en willen trouwens. Vaak gaat het juist mis via menselijke missers van de betrokkenen zelf en van de mensen die werken bij bedrijven (de door jou genoemde voorbeelden kennen we allemaal uit de krant). En soms ook via heel goed bedoelde omwegen omdat het qua techniek niet werkt zoals gewenst door medewerkers.
Helaas is het echter niet zo dat je bij de overheid altijd via DigID gaat. Wel bij de belastingdienst en bij de SVB. Maar 9 van de 10 gemeenten gaat het gewoon via een niet beveiligde inlog en verbinding en krijg je ook gewoon antwoord terug. En vaak een antwoord waarvan ik denk: “wow, ik zal maar kwaad heben gewild”.
Waar ik bij mijn werk als privacymanager op dit moment de meeste nadruk op leg is de bewustwording van de individuele medewerker. Want die moet goed opletten bij klanten aan de telefoon (is hij wel wie hij zegt dat hij is), nadenken welke informatie ze vragen en vrijgeven (logisch, nodig). En receptie en secretariaat verwittigen niet zomaar gegevens vrij te geven (veel gebruikte start van hackers). Daar kun je het beste de lekkende kraan dicht zetten!
Maar dit alles neemt niet weg dat we veel te veel vertellen over onszelf en over mensen uit onze omgeving op internet.
Wat kun je zelf doen? Begin in deze tijd maar eens om in je afwezigheidsassistent niet te zeggen dat je op vakantie bent, maar aan te geven dat je even niet kan beantwoorden en wijs een contactpersoon aan. En doe echt wat aan je wachtwoorden, mailadressen en de foto’s die je (van mensen) op internet zet. Want er gaat echt een boel mis.
Oh ja, en wist je dat wat de minst beveiligde omgeving is bij menig bedrijf? Wil ik je buiten dit blog nog wel eens wat over vertellen.
Je hebt natuurlijk gelijk dat ook de overheid niet per definitie z’n zaken altijd goed in orde heeft. En dus niet alleen de overheid maar ook private partijen.
Dat het bedrijf daar ook WBP bijhalen vind ik iets minder relevant voor mijn betoog. In 99 van de 100 onderzochte gevallen kun je namelijk twijfelen of de WBP daar nou echt mee wordt geschaad (of later mee wordt geschaad zoals in het email voorbeeld). Maar dat is niet mijn expertise gebied dus daar leer ik graag meer over. Is een contact formulier nou werkelijk zulke gevoelige informatie..
Maar het gaat hier toch echt voornamelijk over SSL. En dat is mijn bezwaar. Een grote groep mensen wordt nu onveiligheid aangepraat terwijl de sensatie koppen onterecht zijn want in dit geval valt het best wel mee. En is het dus een schaamteloze plug voor het eigen bedrijf (mag, slim gevonden etc).
Dat er daarnaast een hoop mis gaat lijkt me een feit, en waar mensen werken zullen die fouten gemaakt blijven worden. Maar daar biedt SSL dus geen oplossing. Wederom ze halen mijn inziens voornamelijk de WBP erbij om het legitiemer te maken. Naast natuurlijk de relevantie voor verkoop van de certificaten.
Jij kijkt er vanuit je professie naar, en ik vanuit de mijne
En daarbij zeg ik dus dat het bij wijze van spreken gebakken lucht is wat ze hier verkopen omdat de risico’s te verwaarlozen zijn ten opzichte van reeelere risico’s.
Maar dat laat onverlet dat er een hoop mis is bij alle partijen. Maar er schuilt mijn inziens dus veel meer gevaar in social engineering, slordigheid van beheerders, etc etc.
Wat je nu ziet is dat er door leken die het sensationele artikel lezen een staaltje overheid bashing gebeurd die naar mijn mening dus onterecht is.
En wat mij betreft hoef je ook niet het braafste jongetje in de klas te zijn om mensen op gevaar te wijzen (ik moet wel eerlijk bekennen dat ik niet precies de inhoud ken van de veilig internet campagne). Hij die zonder zonde is werpe de 1e steen etc…
Als een echt onafhankelijke partij het onderzoekt en zegt dat het mis is vind ik het anders dan dat WC Eend de openbare toiletten onderzoekt en adviseert om toch eens wat meer WC Eend te gebruiken.
Wat dat betreft vind ik de xs4all reclames over privacy goed gevonden. Mensen laten teveel sporen achter op het internet waar ze in 1st life niet eens over na zouden denken.
En dus mijn voornaamste boodschap van de blog posting is dat de koppen TE sensationeel zijn.
Eens, de koppen zijn veel te sensationeel. En SSL is geen wonderolie, alleen echt nodig voor meer dan NAW gegevens. Maar er is wel boel te verbeteren zowel bij onszelf als burgers en consumenten, als bij bedrijven en overheid. Maar daar moeten we ook weer niet teveel in doorschieten, want dan wordt het werk soms onwerkbaar. En daar is de WBP nooit voor bedoeld geweest.
Als ze het onderzoek wat degelijker hadden gedaan en daadwerkelijk hadden gekeken over bijvoorbeeld XSS, XSRF of SQL Injections etc mogelijk zouden zijn had het ook een wat minder schaamteloze plug geweest voor het eigen product.
Maar ja SSL helpt ook niet veel bij dat soort lekken die evengoed nog vaak voorkomen.