De Code voor Informatiebeveiliging (CVIB) wordt bij overheden en bedrijfsleven gebruikt als de geldende norm om te controleren of beveiliging van voldoende niveau is. In Nederland is het document uitsluitend te koop bij NEN.

Geen versleuteling

Gebruikers van de website kunnen bij het bestellen van het document als gast gegevens invoeren of als vaste klant met gebruikersnaam en wachtwoord inloggen. Beide manieren van bestellen zijn niet versleuteld via een digitaal certificaat, iets wat - ironisch genoeg - de Code wel suggereert te doen en geldt als een goed gebruik voor webwinkels.

"Het klopt dat we op dit moment niet versleutelen, maar we vragen ook niet om zaken als bankgegevens", vertelt Peter den Hartog, beheerder bij het NEN. Hij benadrukt dat de echte risico's meer aan zijn kant liggen wanneer klanten bijvoorbeeld de factuur niet betalen.

Het betekent niet den Hartog ongevoelig is voor de kritiek. Hij zegt dat er momenteel hard wordt gewerkt aan een nieuwe webwinkel, die begin 2008 wordt verwacht. "Op dat moment gaan we zeker met versleuteling werken en wordt ook de hele aanpak anders. U moet beseffen dat deze webshop zeven of acht jaar oud is,"

Ironie

Den Hartog begrijpt de ironie van de omissie, maar wijst erop dat zijn organisatie alleen het proces rond standaardisatie faciliteert. Ook het vertalen van de ISO-norm in het Nederlands wordt niet door de club zelf gedaan, maar is de verantwoordelijkheid van een commissie.

Navraag bij Security.nl leert dat het achterwege laten van de versleuteling geen grote ramp hoeft te zijn, maar wel opmerkelijk is. "De laatste tijd is er een ware heksenjacht op webshops zonder SSL geopend", vertelt Joran Polak, redacteur. "We moeten het wel in perspectief zien, want hoe ga je dit verkeer afluisteren? Mensen die hun draadloze netwerk niet beveiligd hebben zijn vroeger of later toch de klos, en daar gaat een gouden slotje niet tegen helpen." Wel meent hij dat de NEN een versleutelingscertificaat zou moeten hebben: "In het geval van het NEN is het echter wel heel ironisch. Ze proberen via de CVIB bedrijven informatiebewust te maken, die hiervoor ook een leuk bedrag betalen, maar een paar euro voor een SSL certificaat kan er klaarblijkelijk niet af."