×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Twintig procent Vlaamse gemeentewebsites heeft geen https bij onlineloket'

Door , 45 reacties, submitter: marinostrus

Uit een onderzoek van het programma Terzake in samenwerking met een beveiligingsbedrijf blijkt dat 21 procent van de websites van Vlaamse gemeenten geen beveiligde https-verbinding gebruikt voor hun digitale loket. Volgens de staatssecretaris voor Privacy is dat 'onaanvaardbaar'.

De staatssecretaris, Philippe De Backer, zegt tegen de VRT dat het de taak van gemeenten is om de gegevens van burgers te beschermen en dat het 'onaanvaardbaar is dat ze de privacywet niet volgen'. De gemeenten zouden wel voldoende voorgelicht worden over beveiliging. Bij de hervorming van de Privacycommissie, waarvoor eind maart een akkoord werd getroffen, moet meer aandacht komen voor de veiligheid van gemeentewebsites.

Bij 61 gemeenten was geen https-verbinding aanwezig, terwijl dat bij 225 gemeenten wel het geval was. De VRT schrijft dat er bij die laatste groep ook sites tussen zaten die een elektronische identiteitskaart vragen om van een digitaal loket gebruik te maken, waardoor de gegevens ook zijn beveiligd. Via de loketten vullen burgers vaak gevoelige persoonsgegevens in, die zonder versleutelde tunnel bijvoorbeeld te onderscheppen zijn. Meer dan de helft van de gemeenten gebruikt geen veilige verbinding bij contactformulieren.

Eind vorig jaar bleek uit onderzoek van de Open State Foundation dat de helft van de homepagina's van Nederlandse gemeenten geen https toepast. Eerder werd duidelijk dat tien Nederlandse gemeenten bsn's opvroegen zonder beveiligde verbinding. Volgens de wet moeten organisaties die persoonsgegevens verwerken, deze van degelijke beveiliging voorzien.

Door Sander van Voorst

Nieuwsredacteur

28-09-2017 • 11:06

45 Linkedin Google+

Submitter: marinostrus

Reacties (45)

Wijzig sortering
*kuch* *kuch*
http://www.philippedebacker.be/user/login

Toegegeven, hij heeft (hopelijk) geen gegevens van burgers op zijn eigen website staan :)
Toch mooi dat hij reageerde en dat er iets aan zal gedaan worden. Als minister moet hij inderdaad het goede voorbeeld geven.
Mooi dat hij reageerde, inderdaad.
Ik versta alleen niet dat je tientallen gemeentes publiek te kakken zet maar zelf niet in orde bent.
Euhm, misschien omdat je bij sommige gemeentes online politietoezicht kunt aanvragen tijdens je vakantie en dat hij op zijn eigen site voornamelijk zelf risico loopt op imagoschade als scriptkiddies er onwaarheden op zetten.
Ik sta achter zijn vraag/eis, alleen versta ik niet dat hij dit soort reacties niet zag afkomen.
Sorry, maar inbraakpreventie prediken en zelf een ladder in je voortuin leggen. 8)7
Je vergelijking klopt niet. Het is meer alsof je tegen heroine gebruik bent en zelf een junkie bent. Maar dat maakt het gevaar van heroine gebruik niet minder reŽel. Het spijtige aan deze zaak is dat mensen nu focussen op dit gegeven in plaats van met het echte probleem bezig te zijn.
Zijn site heeft geen gegevens van burgers. Behalve misschien wie er interesse heeft om zijn site te bezoeken. Wat betreft de (Drupal 8 ) login pagina (die ook non-https blijkt te zijn) is het inderdaad vrij onveilig willen hij en zijn technische medewerkers niet dat ze gehacked worden.

Maar vermoedelijk is het wachtwoord van zijn technische medewerkers eenvoudiger te achterhalen dan bv. het netwerk waar die mensen op hun Drupal 8 website inloggen te gaan sniffen. Als ze al geen https configureren is de kans nogal groot dat de technische mensen bij OpenVLD ook gewoon op om het even welke link in om het even welke E-mail gaan clicken.

Dus stuur hen een E-mailtje die er iets of wat officieel uit ziet en maak dat de link er in exact op de login pagina van deze Drupal 8 site lijkt. De kans is ongeveer 98% dat de technische mensen bij OpenVLD gewoonweg vlak af hun username en password ingeven en op submit rammen als gekken.

Niet nodig om hun netwerk te sniffen. Ik geloof dat zo'n E-mail en website maken zelfs niet helemaal illegaal zal zijn, en het netwerk sniffen wel (als ze niet op jouw netwerk bezig zijn, anders is ook dat niet illegaal). Natuurlijk daarna met dat username en password iets gaan doen is weer wel computervredebreuk: een username password weten wil nog niet zeggen dat je het maar overal mag gaan gebruiken.

[Reactie gewijzigd door freaxje op 28 september 2017 14:24]

Een staatssecretaris is geen minister.
Toch mooi dat hij reageerde en dat er iets aan zal gedaan worden. Als minister moet hij inderdaad het goede voorbeeld geven.
Hij heeft al Drupal 8. Hij hoeft zijn site niet echt te vernieuwen, gewoon configureren en ik vermoed wel dat die hosting firma https toelaat :)
Het is geen Drupal 8, maar Drupal 7, en een versie van meer dan 2 jaar oud: http://www.philippedebacker.be/CHANGELOG.txt .

M.a.w. een heel aantal security vulnerabilities geleden.
Ik wist niet dat Drupal de https ging afhandelen :)
Dat gaat niet over Drupal, maar over Direct Admin dat https voor Drupal automatisch configureert
De staatssecretaris, Philippe De Backer, zegt tegen de VRT dat het de taak van gemeenten is om de gegevens van burgers te beschermen en dat het 'onaanvaardbaar is dat ze de privacywet niet volgen'.
Hij zou inderdaad zijn eigen raad mogen opvolgen. * zucht * politiekers
Hahaha, ironie ten top.
Waar kan je dit soort lekken of misstanden melden ?!
als we dat nu eens massaal gaan doen....
Voor de Nederlanders kunnen we dat bij het AP (Autoriteit Persoonsgegevens) melden:Voor de Belgen kan ik het eigenlijk niet vinden, want volgens mij is daar (nog) geen meldplicht voor. Wel moeten telecomoperatoren dat doen (bron: http://www.smartbiz.be/ni...jven-over-melden-datalek/). Sowieso kan het geen kwaad om een mail te sturen naar je gemeente.

[Reactie gewijzigd door AnonymousWP op 28 september 2017 11:39]

Je kan dit melden aan de privacycommissie.
Je kunt via https://hoeveiligismijngemeente.be nakijken hoe veilige de website van je gemeente is.
Handige site, maar klopt niet helemaal.
Bij mijn gemeente kan er voor de meeste e-loket opties gekozen worden tussen 'met e-id kaartlezer' en 'zonder e-id kaartlezer". Alle formulieren zonder zijn ook zonder https, terwijl degene mťt e-id kaartlezer met https zijn. Hierdoor classifieert hoeveiligismijngemeente.be de website & formulieren als 'veilig', terwijl ik het zo helemaal niet beschouw.
Ik zou dit sowieso wel melden aan hoeveiligismijngemeente.be. Het kan maar beter duidelijk zijn dat er iets aan moeten gebeuren en de verantwoordelijke van de betrokken gemeente kijkt mss ook gewoon naar deze site en niet verder.
Over welke gemeente heb je het juist (ik ben ťťn van de mensen die dit uitgezocht heeft)?

edit (@runelaenen):
Even nagekeken voor de gemeente Lille (via je profiel hier gezien). De pagina's lopen inderdaad over http, maar de formulieren zijn ingesloten met een iframe die over https gaat.

[Reactie gewijzigd door marinostrus op 28 september 2017 14:04]

Gisteren op de Belgische VRT op Terzake kwam Miguel De Bruycker ons vertellen dat het, ik citeer, "onmogelijk" is om gegevens te onderscheppen wanneer burgers dit op hun privť netwerk (via hun privť WIFI access point) doen (maar, en dat zei hij wel, dat het onverstandig is om zonder https te werken op publieke Wifi access points).

Dat is eigenlijk onverstandig om onze burgers zo uit te leggen: het is vrij eenvoudig om op heel erg vele (dan niet de meeste) toestellen binnen een gezinsnetwerk in te breken. Eens men zo ťťn toestel heeft is het maar de zaak om de netwerkkaart -of interface van dat toestel in promiscuous mode te zetten en met tcpdump een pcap file te maken en dit in de Wireshark UI (die ze in de reportage heel mooi toonde als "gespecialiseerde hacker tool") te laden. De rest is inderdaad kinderspel, zoals men liet zien in de reportage.

Zeker met de IoT trend, waarbij alles maar online moet gesmeten worden, is het vrij simpel aan het worden een toestel met een fout te vinden. Zo zijn er lampen die zich automatisch op de wifi registreren waarop je vanop afstand in een handomdraai kan inbreken. Er worden in een typisch gezin nu al zoveel zaken online gezwierd waar totaal en volledig geen security-updates op gebeuren en waar zo extreem veel onnozele security-bugs in zitten, dat het idee dat een gezin's wifi access point dť bescherming vormt helemaal niet meer waar is.

Dus Miguel doet er beter aan om gewoon altijd https aan te raden. Zonder uitzonderingen. Want wanneer een gezin's Wifi access point en/of het gezin's netwerk gecompromitteerd is, dan zal https nog steeds veilig(er) zijn.

edit: Ik had Wireshare en niet Wireshark staan ;-)

[Reactie gewijzigd door freaxje op 28 september 2017 15:48]

In combinatie met dit nieuwsbericht toch een zorgelijke (absentie van) ontwikkeling
nieuws: 'Aantal datalekken bij overheden in eerste half jaar al hoger dan in ...
Het bericht waar je naar verwijst @p0linskie is voor Nederland en niet voor BelgiŽ. Het is verplicht in BelgiŽ om een datalek melding te doen. Echter een bericht van vorig jaar geeft aan dat bijna niemand de verplichte melding doet.

"Het melden van ingrijpende datalekken door bedrijven is ons land (BelgiŽ) aangewezen, soms zelfs verplicht. Alleen doet bijna niemand het. Voor dit jaar gaat het slechts om een tiental meldingen die bij de Privacycommissie zijn binnengekomen. Ter vergelijking: in Nederland waren er dit jaar al bijna tweeduizend van dergelijke meldingen."

Bron: https://www.computable.be...dt-datalek-in-belgie.html

Update: Iets duidelijker met tekst.

[Reactie gewijzigd door tom.cx op 28 september 2017 11:26]

De meeste website van kleine gemeentes zitten over het algemeen vaak amateuristisch in elkaar. Verouderde CSS, geen ondersteuning voor mobile platformen, geen AJAX, etc. Lijkt erop dat ze door jaap de buurman als hobby project gemaakt zijn in de jaren 90. Dus het verbaast me niets dat er ook nooit de moeite is genomen om er deftig https op in te stellen...
Even als opmerking tussendoor, AJAX is absoluut geen vereiste. Sterker nog, AJAX is ontzettend makkelijk toe te passen en veel van dat soort sites doen dat dan dus ook (waar het totaal niet nodig is, meestal te pas en te onpas gebruikt door allerlei plugins). Oude css is niks mis mee (zeker niet met websites met een hele brede doelgroep waarvan er ook veel nog oude browsers zullen gebruiken).

Maar goed, het gaat vaak een stuk verder dan dit en je kunt het wel vaak al goed in schatten door te kijken naar de gebruikte technieken. Maar het is niet zo dat je per se AJAX en CSS3 moet gebruiken om een moderne site te hebben.

[Reactie gewijzigd door Zoop op 28 september 2017 13:23]

Bepaalde zaken (ID/rijbewijs aanvragen, etc.) moeten gedaan kunnen worden bij elke gemeente. Is het misschien een idee om dit soort zaken te normaliseren? Dan heb je in ieder geval 80% afgedekt.

Geldt overigens niet alleen voor Vlaanderen. ;)
Veel gemeentes maken voor hun e-loket gebruik van software van intercommunales. Het is dus niet zo dat ze dit allemaal zelf ontwikkelen, een aantal uitzonderingen daar gelaten.

Ik heb ooit (weliswaar een tijd geleden) bij zo een intercommunale gewerkt, waar ik de naam maar niet van zal noemen. Het verbaast me jammer genoeg niet dat zelfs iets triviaals als SSL niet geÔmplementeerd is. Hopelijk is het beter nu, maar destijds was vooral op bestuursvlak vooral je partijkaart van belang...
Dat is een heel goed idee. Helaas bewijst bovenstaande stuk, een vele voorgangers, wat gemeentes doen met goede ideeŽn.
HTTPS = veilig? Dat is de indruk die wordt gewekt. Ook door bijvoorbeeld Google Chrome. Geeft een prettig gevoel, zo'n groen slotje met de tekst 'veilig'. Helaas, de verbinding mag dan versleuteld zijn, maar dat wil niet zeggen dat de betreffende site veilig is. Het enige wat je met een certificaat kunt, want dat is de basis voor HTTPS, is controleren of je verbinding hebt met de site die in het certificaat staat. En zelfs dat hoeft niet te kloppen. En zodra men in staat is om op ongemerkte manier een root certificaat op de client te installeren, dan is het hele systeem naar de knoppen.
Een HTTPS verbinding kan je pas als veilig beschouwen als je als gebruiker bijv. de vingerafdruk van een certificaat kunt verifiŽren. Banken zouden bijvoorbeeld hun klanten een brief moeten sturen met die gegevens, zodat je fatsoenlijk kan controleren of dat 'veilig' ook echt veilig is.
Ik zie nergens "HTTPS = veilig" gesuggereerd worden, alleen "geen HTTPS = onveilig". Dat HTTPS nog steeds geen garantie op veiligheid is is natuurlijk waar, maar dat haalt het punt van dit artikel zeker niet onderuit.
Niet alleenstaand, nee. Er komt absoluut wel meer bij kijken, maar HTTPS is toch wel een minimale vereiste om het goed op orde te hebben
Volgend jaar gaat de General Data Protection Regulation in werking. Om boetes te voorkomen kunnen ze beter voortmaken met het op orde hebben van de security.
http://www.eugdpr.org/eugdpr.org.html

[Reactie gewijzigd door VinceD op 28 september 2017 11:24]

Toen ik in mijn gemeente kwam wonen een email naar de verantwoordelijke schepen gestuurd, nu 2 jaar later niks veranderd.
Klacht indienen (kan dikwijls via de website :+ ).

Nee serieus, ik werk in een OCMW en gemeentes en OCMW's draaien op procedure's. Als gemeente ben je verplicht een klachtenprocedure te hebben waarin er een maximum reactietermijn, opvolging, etc staat beschreven. Krijg je geen reactie op je klacht, dan volstaat een eenvoudig mailtje naar een gemeenteraadslid uit de oppositie...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*