Paul van Brouwershaven, technisch directeur van Networking4all, noemt het "schrijnend" dat de overheid in de campagne Veilig Internetten burgers wijst op verstandig omgaan met persoonsgegevens, terwijl het merendeel van de overheidssites zo lek als een mandje is. Het gaat om 570 van de 684 websites.

Volgens Networking4all gaat informatie van en naar overheidssites vrijwel altijd via een onbeveiligde verbinding (dus geen https). Burgers die persoonlijke gegevens versturen kunnen afgeluisterd worden. Met die informatie kunnen internetcriminelen identiteiten stelen, wat kan leiden tot creditcardfraude.

Burgerservicenummer

Van Brouwershaven noemt een aantal voorbeelden van overheidssites waar de burger gevaar kan lopen. "De site van de Vereniging van Nederlandse Gemeenten (VNG) en Werkenbijhetrijk.nl beveiligen gebruikersnamen en wachtwoorden niet, waardoor kwaadwillende persoonsgegevens kunnen stelen. De Sociale Verzekeringbank (SVB) beschermt het burgerservicenummer niet. Te veel op om te noemen. De vraag is eigenlijk: welke overheidssite is wél veilig." In een bericht geeft Networking4all een selectie overheidssites die onveilig is.

Networking4all zegt de overheid twee weken voor de aftrap van de campagne Veilig Internetten te hebben ingelicht over de beveiligingsproblemen. Van Brouwershaven: "Ze bevestigden de problemen en beloofden dat ze er voor het begin van de campagne minimaal voor zouden zorgen dat Postbus51 beveiligd is. Maar de campagne is een week oud, en er is tot op heden nog niks veranderd. Blijkbaar vindt de overheid het niet belangrijk."

'App-kwetsbaarheden veel gevaarlijker'

Joost Pol, directeur van Certified Secure, laat in een reactie weten dat het gevaar van het ontbreken van een ssl-certificaat wordt overschat. Volgens hem zijn programmeerfouten in webapplicaties vele malen gevaarlijker. "Het afluisteren van een verbinding is relatief moeilijk en levert weinig op. SQL-injectie en cross-site scripting gebeurt veel vaker. Dat is voor kwaadwillenden ook veel interessanter. In plaats van een verbinding afluisteren en de gegevens van 1 persoon onderscheppen, kan je in één klap een hele database leegtrekken."

Volgens Pol is een ssl-certificaat belangrijk als sofi-nummers en bankgegevens worden verstrekt, maar moet het aantal gevallen waarin het nodig is niet worden overdreven. "Ssl-verbindingen kunnen zeer nuttig zijn, maar het moet ook niet overdreven worden, zeker als het sites betreft waar het niet nodig is. Door nu overal ssl-certificaten in te voeren, creëer je een gevoel van schijnveiligheid. Als je veilige omgeving wilt, dan moet je beginnen met het aanpassen van kwetsbaarheden in een applicatie."

Govcert, de organisatie die overheidsorganisaties in ict- en informatiebeveiliging adviseert, was maandag niet bereikbaar voor commentaar.

Wet Bescherming Persoonsgegevens

De Wet Bescherming Persoonsgegevens (zie artikel 13) schrijft voor dat websites bij verzending van gegevens (zoals bij het invullen van formulieren) beveiligde internetverbindingen moeten gebruiken. De campagne Veilig Internetten stipte dit punt ironisch genoeg ook aan: "Sta ook even stil bij wat je wel en niet over jezelf vertelt als je een online formulier invult. Check in ieder geval altijd of het webadres klopt en of er officiële keurmerken en certificaten zijn", schrijft de overheid op de campagnewebsite.

Update: Reactie toegevoegd van Joost Pol, directeur van Certified Secure.