'Twintig procent Vlaamse gemeentewebsites heeft geen https bij onlineloket'

Uit een onderzoek van het programma Terzake in samenwerking met een beveiligingsbedrijf blijkt dat 21 procent van de websites van Vlaamse gemeenten geen beveiligde https-verbinding gebruikt voor hun digitale loket. Volgens de staatssecretaris voor Privacy is dat 'onaanvaardbaar'.

De staatssecretaris, Philippe De Backer, zegt tegen de VRT dat het de taak van gemeenten is om de gegevens van burgers te beschermen en dat het 'onaanvaardbaar is dat ze de privacywet niet volgen'. De gemeenten zouden wel voldoende voorgelicht worden over beveiliging. Bij de hervorming van de Privacycommissie, waarvoor eind maart een akkoord werd getroffen, moet meer aandacht komen voor de veiligheid van gemeentewebsites.

Bij 61 gemeenten was geen https-verbinding aanwezig, terwijl dat bij 225 gemeenten wel het geval was. De VRT schrijft dat er bij die laatste groep ook sites tussen zaten die een elektronische identiteitskaart vragen om van een digitaal loket gebruik te maken, waardoor de gegevens ook zijn beveiligd. Via de loketten vullen burgers vaak gevoelige persoonsgegevens in, die zonder versleutelde tunnel bijvoorbeeld te onderscheppen zijn. Meer dan de helft van de gemeenten gebruikt geen veilige verbinding bij contactformulieren.

Eind vorig jaar bleek uit onderzoek van de Open State Foundation dat de helft van de homepagina's van Nederlandse gemeenten geen https toepast. Eerder werd duidelijk dat tien Nederlandse gemeenten bsn's opvroegen zonder beveiligde verbinding. Volgens de wet moeten organisaties die persoonsgegevens verwerken, deze van degelijke beveiliging voorzien.

IT-banen

Reacties (45)

bbc 28 september 2017 11:20

*kuch* *kuch*
http://www.philippedebacker.be/user/login

Toegegeven, hij heeft (hopelijk) geen gegevens van burgers op zijn eigen website staan

cadsite @bbc • 28 september 2017 11:52

Zijn reactie:
https://i.imgur.com/mzTPWt4.png

Verwijderd @cadsite • 28 september 2017 12:42

Toch mooi dat hij reageerde en dat er iets aan zal gedaan worden. Als minister moet hij inderdaad het goede voorbeeld geven.

cadsite @Verwijderd • 28 september 2017 13:04

Mooi dat hij reageerde, inderdaad.
Ik versta alleen niet dat je tientallen gemeentes publiek te kakken zet maar zelf niet in orde bent.

ejabberd @cadsite • 28 september 2017 13:55

Euhm, misschien omdat je bij sommige gemeentes online politietoezicht kunt aanvragen tijdens je vakantie en dat hij op zijn eigen site voornamelijk zelf risico loopt op imagoschade als scriptkiddies er onwaarheden op zetten.

cadsite @ejabberd • 28 september 2017 14:05

Ik sta achter zijn vraag/eis, alleen versta ik niet dat hij dit soort reacties niet zag afkomen.
Sorry, maar inbraakpreventie prediken en zelf een ladder in je voortuin leggen.

mendax @cadsite • 28 september 2017 14:19

Je vergelijking klopt niet. Het is meer alsof je tegen heroine gebruik bent en zelf een junkie bent. Maar dat maakt het gevaar van heroine gebruik niet minder reëel. Het spijtige aan deze zaak is dat mensen nu focussen op dit gegeven in plaats van met het echte probleem bezig te zijn.

Verwijderd @cadsite • 28 september 2017 14:11

Zijn site heeft geen gegevens van burgers. Behalve misschien wie er interesse heeft om zijn site te bezoeken. Wat betreft de (Drupal 8 ) login pagina (die ook non-https blijkt te zijn) is het inderdaad vrij onveilig willen hij en zijn technische medewerkers niet dat ze gehacked worden.

Maar vermoedelijk is het wachtwoord van zijn technische medewerkers eenvoudiger te achterhalen dan bv. het netwerk waar die mensen op hun Drupal 8 website inloggen te gaan sniffen. Als ze al geen https configureren is de kans nogal groot dat de technische mensen bij OpenVLD ook gewoon op om het even welke link in om het even welke E-mail gaan clicken.

Dus stuur hen een E-mailtje die er iets of wat officieel uit ziet en maak dat de link er in exact op de login pagina van deze Drupal 8 site lijkt. De kans is ongeveer 98% dat de technische mensen bij OpenVLD gewoonweg vlak af hun username en password ingeven en op submit rammen als gekken.

Niet nodig om hun netwerk te sniffen. Ik geloof dat zo'n E-mail en website maken zelfs niet helemaal illegaal zal zijn, en het netwerk sniffen wel (als ze niet op jouw netwerk bezig zijn, anders is ook dat niet illegaal). Natuurlijk daarna met dat username en password iets gaan doen is weer wel computervredebreuk: een username password weten wil nog niet zeggen dat je het maar overal mag gaan gebruiken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:16]

aval0ne @Verwijderd • 28 september 2017 13:13

Een staatssecretaris is geen minister.

bbc @Verwijderd • 28 september 2017 13:54

Toch mooi dat hij reageerde en dat er iets aan zal gedaan worden. Als minister moet hij inderdaad het goede voorbeeld geven.

Hij heeft al Drupal 8. Hij hoeft zijn site niet echt te vernieuwen, gewoon configureren en ik vermoed wel dat die hosting firma https toelaat

cadsite @bbc • 28 september 2017 14:07

Ik ben er zelfs zeker van:
https://www.eurodns.com/ssl-certificate

Verwijderd @bbc • 28 september 2017 15:25

Het is geen Drupal 8, maar Drupal 7, en een versie van meer dan 2 jaar oud: http://www.philippedebacker.be/CHANGELOG.txt .

M.a.w. een heel aantal security vulnerabilities geleden.

bbc @cadsite • 28 september 2017 11:56

Ik wist niet dat Drupal de https ging afhandelen

cadsite @bbc • 28 september 2017 12:05

goh:
https://www.antagonist.nl/help/nl/ssl/drupal

blinchik @cadsite • 28 september 2017 14:57

Dat gaat niet over Drupal, maar over Direct Admin dat https voor Drupal automatisch configureert

Chuk @bbc • 28 september 2017 11:24

De staatssecretaris, Philippe De Backer, zegt tegen de VRT dat het de taak van gemeenten is om de gegevens van burgers te beschermen en dat het 'onaanvaardbaar is dat ze de privacywet niet volgen'.

Hij zou inderdaad zijn eigen raad mogen opvolgen. * zucht * politiekers

ennekke @bbc • 28 september 2017 11:45

Hahaha, ironie ten top.

junkchaser @bbc • 28 september 2017 12:43

the humanity

Collen 28 september 2017 11:28

Waar kan je dit soort lekken of misstanden melden ?!
als we dat nu eens massaal gaan doen....

Anonymoussaurus

Security

@Collen • 28 september 2017 11:37

Voor de Nederlanders kunnen we dat bij het AP (Autoriteit Persoonsgegevens) melden:

Voor de Belgen kan ik het eigenlijk niet vinden, want volgens mij is daar (nog) geen meldplicht voor. Wel moeten telecomoperatoren dat doen (bron: http://www.smartbiz.be/ni...jven-over-melden-datalek/). Sowieso kan het geen kwaad om een mail te sturen naar je gemeente.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 06:16]

Verwijderd @Collen • 28 september 2017 12:05

Je kan dit melden aan de privacycommissie.

Maffie500 28 september 2017 11:29

Je kunt via https://hoeveiligismijngemeente.be nakijken hoe veilige de website van je gemeente is.

runelaenen @Maffie500 • 28 september 2017 11:46

Handige site, maar klopt niet helemaal.
Bij mijn gemeente kan er voor de meeste e-loket opties gekozen worden tussen 'met e-id kaartlezer' en 'zonder e-id kaartlezer". Alle formulieren zonder zijn ook zonder https, terwijl degene mét e-id kaartlezer met https zijn. Hierdoor classifieert hoeveiligismijngemeente.be de website & formulieren als 'veilig', terwijl ik het zo helemaal niet beschouw.

crazyx @runelaenen • 28 september 2017 12:49

Ik zou dit sowieso wel melden aan hoeveiligismijngemeente.be. Het kan maar beter duidelijk zijn dat er iets aan moeten gebeuren en de verantwoordelijke van de betrokken gemeente kijkt mss ook gewoon naar deze site en niet verder.

marinostrus @runelaenen • 28 september 2017 13:46

Over welke gemeente heb je het juist (ik ben één van de mensen die dit uitgezocht heeft)?

edit (@runelaenen):
Even nagekeken voor de gemeente Lille (via je profiel hier gezien). De pagina's lopen inderdaad over http, maar de formulieren zijn ingesloten met een iframe die over https gaat.

[Reactie gewijzigd door marinostrus op 23 juli 2024 06:16]

Verwijderd 28 september 2017 12:56

Gisteren op de Belgische VRT op Terzake kwam Miguel De Bruycker ons vertellen dat het, ik citeer, "onmogelijk" is om gegevens te onderscheppen wanneer burgers dit op hun privé netwerk (via hun privé WIFI access point) doen (maar, en dat zei hij wel, dat het onverstandig is om zonder https te werken op publieke Wifi access points).

Dat is eigenlijk onverstandig om onze burgers zo uit te leggen: het is vrij eenvoudig om op heel erg vele (dan niet de meeste) toestellen binnen een gezinsnetwerk in te breken. Eens men zo één toestel heeft is het maar de zaak om de netwerkkaart -of interface van dat toestel in promiscuous mode te zetten en met tcpdump een pcap file te maken en dit in de Wireshark UI (die ze in de reportage heel mooi toonde als "gespecialiseerde hacker tool") te laden. De rest is inderdaad kinderspel, zoals men liet zien in de reportage.

Zeker met de IoT trend, waarbij alles maar online moet gesmeten worden, is het vrij simpel aan het worden een toestel met een fout te vinden. Zo zijn er lampen die zich automatisch op de wifi registreren waarop je vanop afstand in een handomdraai kan inbreken. Er worden in een typisch gezin nu al zoveel zaken online gezwierd waar totaal en volledig geen security-updates op gebeuren en waar zo extreem veel onnozele security-bugs in zitten, dat het idee dat een gezin's wifi access point dé bescherming vormt helemaal niet meer waar is.

Dus Miguel doet er beter aan om gewoon altijd https aan te raden. Zonder uitzonderingen. Want wanneer een gezin's Wifi access point en/of het gezin's netwerk gecompromitteerd is, dan zal https nog steeds veilig(er) zijn.

edit: Ik had Wireshare en niet Wireshark staan ;-)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:16]

p0linskie 28 september 2017 11:11

In combinatie met dit nieuwsbericht toch een zorgelijke (absentie van) ontwikkeling
nieuws: 'Aantal datalekken bij overheden in eerste half jaar al hoger dan in ...

tom.cx @p0linskie • 28 september 2017 11:17

Het bericht waar je naar verwijst @p0linskie is voor Nederland en niet voor België. Het is verplicht in België om een datalek melding te doen. Echter een bericht van vorig jaar geeft aan dat bijna niemand de verplichte melding doet.

"Het melden van ingrijpende datalekken door bedrijven is ons land (België) aangewezen, soms zelfs verplicht. Alleen doet bijna niemand het. Voor dit jaar gaat het slechts om een tiental meldingen die bij de Privacycommissie zijn binnengekomen. Ter vergelijking: in Nederland waren er dit jaar al bijna tweeduizend van dergelijke meldingen."

Bron: https://www.computable.be...dt-datalek-in-belgie.html

Update: Iets duidelijker met tekst.

[Reactie gewijzigd door tom.cx op 23 juli 2024 06:16]

Chuk 28 september 2017 11:12

De meeste website van kleine gemeentes zitten over het algemeen vaak amateuristisch in elkaar. Verouderde CSS, geen ondersteuning voor mobile platformen, geen AJAX, etc. Lijkt erop dat ze door jaap de buurman als hobby project gemaakt zijn in de jaren 90. Dus het verbaast me niets dat er ook nooit de moeite is genomen om er deftig https op in te stellen...

Zoop @Chuk • 28 september 2017 13:23

Even als opmerking tussendoor, AJAX is absoluut geen vereiste. Sterker nog, AJAX is ontzettend makkelijk toe te passen en veel van dat soort sites doen dat dan dus ook (waar het totaal niet nodig is, meestal te pas en te onpas gebruikt door allerlei plugins). Oude css is niks mis mee (zeker niet met websites met een hele brede doelgroep waarvan er ook veel nog oude browsers zullen gebruiken).

Maar goed, het gaat vaak een stuk verder dan dit en je kunt het wel vaak al goed in schatten door te kijken naar de gebruikte technieken. Maar het is niet zo dat je per se AJAX en CSS3 moet gebruiken om een moderne site te hebben.

[Reactie gewijzigd door Zoop op 23 juli 2024 06:16]

The Zep Man

Privacy
Netwerk en systeembeheer
België
Security

28 september 2017 11:13

Bepaalde zaken (ID/rijbewijs aanvragen, etc.) moeten gedaan kunnen worden bij elke gemeente. Is het misschien een idee om dit soort zaken te normaliseren? Dan heb je in ieder geval 80% afgedekt.

Geldt overigens niet alleen voor Vlaanderen.

Verwijderd @The Zep Man • 28 september 2017 11:33

Veel gemeentes maken voor hun e-loket gebruik van software van intercommunales. Het is dus niet zo dat ze dit allemaal zelf ontwikkelen, een aantal uitzonderingen daar gelaten.

Ik heb ooit (weliswaar een tijd geleden) bij zo een intercommunale gewerkt, waar ik de naam maar niet van zal noemen. Het verbaast me jammer genoeg niet dat zelfs iets triviaals als SSL niet geïmplementeerd is. Hopelijk is het beter nu, maar destijds was vooral op bestuursvlak vooral je partijkaart van belang...

Stoelpoot @The Zep Man • 28 september 2017 11:27

Dat is een heel goed idee. Helaas bewijst bovenstaande stuk, een vele voorgangers, wat gemeentes doen met goede ideeën.

Simon Weel 28 september 2017 12:11

HTTPS = veilig? Dat is de indruk die wordt gewekt. Ook door bijvoorbeeld Google Chrome. Geeft een prettig gevoel, zo'n groen slotje met de tekst 'veilig'. Helaas, de verbinding mag dan versleuteld zijn, maar dat wil niet zeggen dat de betreffende site veilig is. Het enige wat je met een certificaat kunt, want dat is de basis voor HTTPS, is controleren of je verbinding hebt met de site die in het certificaat staat. En zelfs dat hoeft niet te kloppen. En zodra men in staat is om op ongemerkte manier een root certificaat op de client te installeren, dan is het hele systeem naar de knoppen.
Een HTTPS verbinding kan je pas als veilig beschouwen als je als gebruiker bijv. de vingerafdruk van een certificaat kunt verifiëren. Banken zouden bijvoorbeeld hun klanten een brief moeten sturen met die gegevens, zodat je fatsoenlijk kan controleren of dat 'veilig' ook echt veilig is.

bwerg @Simon Weel • 28 september 2017 12:32

Ik zie nergens "HTTPS = veilig" gesuggereerd worden, alleen "geen HTTPS = onveilig". Dat HTTPS nog steeds geen garantie op veiligheid is is natuurlijk waar, maar dat haalt het punt van dit artikel zeker niet onderuit.

Zoop @Simon Weel • 28 september 2017 13:27

Niet alleenstaand, nee. Er komt absoluut wel meer bij kijken, maar HTTPS is toch wel een minimale vereiste om het goed op orde te hebben

VinceD 28 september 2017 11:17

Volgend jaar gaat de General Data Protection Regulation in werking. Om boetes te voorkomen kunnen ze beter voortmaken met het op orde hebben van de security.
http://www.eugdpr.org/eugdpr.org.html

[Reactie gewijzigd door VinceD op 23 juli 2024 06:16]

redfox314 28 september 2017 11:38

Toen ik in mijn gemeente kwam wonen een email naar de verantwoordelijke schepen gestuurd, nu 2 jaar later niks veranderd.

Horla @redfox314 • 28 september 2017 12:07

Klacht indienen (kan dikwijls via de website

).

Nee serieus, ik werk in een OCMW en gemeentes en OCMW's draaien op procedure's. Als gemeente ben je verplicht een klachtenprocedure te hebben waarin er een maximum reactietermijn, opvolging, etc staat beschreven. Krijg je geen reactie op je klacht, dan volstaat een eenvoudig mailtje naar een gemeenteraadslid uit de oppositie...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: