Ondanks het feit dat, met de huidige virusuitbraken, de nadruk steeds meer op beveiliging komt te liggen, zijn veel overheidssites niet goed afgeschermd. Webwereld schrijft dat 85 procent van de webpagina's op een niet veilige manier omgaan met persoonsgegevens. Watchfire, een bedrijf dat gespecialiseerd is in risicobeheer, onderzocht een honderdtal sites. Negentien van de twintig belangrijkste overheidssites voldoen niet aan de standaard van het W3C. Behalve naar de beveiliging is er ook gekeken naar de toegankelijkheid voor gebruikers met een handicap. Ook hier schortte er nog wel het een en ander volgens Bartiméus Accessibility, belangenbehartiger van deze doelgroep. Uit een handmatige controle bleek 95 procent niet te voldoen aan de richtlijnen voor toegankelijkheid van het W3C.
Overheidssites vaak erg slecht beveiligd
Door Gabi Gaasenbeek
Feedback • 13-02-2004 23:15 26Lees meer
Overheid kan makkelijker verkeersgegevens opvragen
Nieuws van 1 september 2004
Positieve verwachtingen voor elektronische overheid
Nieuws van 1 mei 2004
Netsky-varianten B en C bezig aan opmars
Nieuws van 26 februari 2004
Pools bedrijf waarschuwt voor onveiligheid in Linux
Nieuws van 22 februari 2004
Microsoft verschuift R&D-uitgaven naar beveiliging
Nieuws van 27 januari 2004
Hackers denken na over oprichten belangenorganisatie
Nieuws van 21 november 2003
Ballmer : 'Beveiliging is topprioriteit van Microsoft'
Nieuws van 17 november 2003
Prioriteiten in 2004 voor IT-wereld: beveiliging
Nieuws van 11 november 2003
Surfers kunnen kwaadwillige webaanvallen verwachten
Nieuws van 10 november 2003
Nederlandse bedrijven scoren slecht qua virusprotectie
Nieuws van 31 oktober 2003
Reacties (26)
:strip_exif()/u/8402/Untitled-2.gif?f=community){kind=small}
Zeikt dit artikel nou op niet goed beveiligde sites, of niet w3c-compliant sites!? lijken me 2 hele verschillende dingen...
Het feit dat een site niet w3c compliant is, en daarnaast nog eens niet geschikt is voor bijvoorbeeld slechtzienden, doet toch niets af aan de veiligheid, of snap ik het nu niet helemaal?
Het feit dat een site niet w3c compliant is, en daarnaast nog eens niet geschikt is voor bijvoorbeeld slechtzienden, doet toch niets af aan de veiligheid, of snap ik het nu niet helemaal?
Het wordt inderdaad een beetje verkeerd gebracht. De mededeling van de onderzoekers is dat ze onderzocht hebben of de sites wel aan de hedendaagse richtlijnen voldoen. Kortom: dat je er net zo makkelijk door heen moet kunnen bewegen alsof je in een gemeentehuis bent en als je aan de beurt bent ook de juiste discretie krijgt die op dat moment nodig is. Het is door twee organisaties onderzocht, waarbij er een gespecialiseerd is in de veiligheid die geboden moet worden en de ander in de toegankelijkheid.
En nu maar hopen dat dit rapport op het juiste buro terecht komt.
Misschien is de volgende stap die ze kunnen nemen het onderzoeken van de banken.
En nu maar hopen dat dit rapport op het juiste buro terecht komt.
Misschien is de volgende stap die ze kunnen nemen het onderzoeken van de banken.
Dan hebben ze 2 verschillende dingen onderzocht. Is dat fout dan?
/u/83539/crop5f929c0524984_cropped.png?f=community){kind=small}
tweakers voldoet ook niet aan de eisen.
W3C voorziet in vele standaards waarbij in de eerste plaats voor gehandicapten werken en daarnaast ook voor een betere beveiling zorgen.
W3C voorziet in vele standaards waarbij in de eerste plaats voor gehandicapten werken en daarnaast ook voor een betere beveiling zorgen.
/u/76039/crop57da9da8c9647_cropped.png?f=community){kind=small}
Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren 
Ik hoop dat hier werkelijk heel vlug een verandering in komt, want 'het zwarte schaap van de overheid' op het internet moet maar eens afgelopen zijn!
Gewoon houden aan de W3C standaarden en wat elementaire dingen regelen op veiligheidsgebied, hoe moeilijk is dat nou...
En mocht er iemand zeggen dat dit zeer moeilijk mocht zijn: heel veel non-overheids sites zijn wel degelijk professioneel te noemen, houden zich aan de W3C standaarden en op veiligheidsgebied scoren ze goed.
Weg met dat amateurisme!
Ik hoop dat hier werkelijk heel vlug een verandering in komt, want 'het zwarte schaap van de overheid' op het internet moet maar eens afgelopen zijn!
Gewoon houden aan de W3C standaarden en wat elementaire dingen regelen op veiligheidsgebied, hoe moeilijk is dat nou...
En mocht er iemand zeggen dat dit zeer moeilijk mocht zijn: heel veel non-overheids sites zijn wel degelijk professioneel te noemen, houden zich aan de W3C standaarden en op veiligheidsgebied scoren ze goed.
Weg met dat amateurisme!
:strip_exif()/u/12408/dm_u_judi.gif?f=community){kind=small}
Waarschijnlijk speelt heel sterk mee, dat de betreffende standaarden WAI en P3P niet tot nauwelijks geimplementeerd zijn in browsers: P3P enkel in explorer 6, WAI vereist geen enkele vorm van implementatie, zijn enkel bepaalde advieseringen, die, als ze nagevolgd worden kunnen leiden tot een bepaalde Accesability-rating, een A-status (een triple A-status is het hoogste)
Ik vind de conclusie over 'slechte beveiliging' op basis van W3C-standaards nogal gezocht, vooral (en enkel) politiek gemotiveerd en heel erg makkelijk.
Het is een goedkope methode om snel een onderzoekje te doen, en met een alarmerend resultaat te komen.
Ik ben best voor implementatie van standaarden, en vind dat bij veel opdrachten teveel bepaald wordt door mensen zonder werkelijke kennis hiervan.
maar dit onderzoek is evenzeer nietszeggend hierover, en ik zou ook niet graag aan een project werken geleid door dezelde persoon die daar de standaardisering van overheidssites 'handmatig' heeft zitten te controleren.
edit:
de kritiek op Privacy-veiligheid (dus enkel omgang met 'gevoelige' prive-gegevens) komt van een bedrijf dat een standaard programma aanbiedt om dit te controleren:
'Watchfire' biedt het product 'WebXM' aan.
over de wat hun product controleert betreffende de 'veiligheid':
http://www.watchfire.com/resources/webxm-privacy.pdf
ze controleren bv. of en formulier met de GET methode verstuurd wordt (dat is 'huu, onveilig') of er https-verbindingen gebruikt worden (want een extra certificaatje, dat is hardstikke safe)
Of er een privacy-statement aanwezig is op de pagina met een formulier zelf... etc etc.
* 786562 RM-rf
Ik vind de conclusie over 'slechte beveiliging' op basis van W3C-standaards nogal gezocht, vooral (en enkel) politiek gemotiveerd en heel erg makkelijk.
Het is een goedkope methode om snel een onderzoekje te doen, en met een alarmerend resultaat te komen.
Ik ben best voor implementatie van standaarden, en vind dat bij veel opdrachten teveel bepaald wordt door mensen zonder werkelijke kennis hiervan.
maar dit onderzoek is evenzeer nietszeggend hierover, en ik zou ook niet graag aan een project werken geleid door dezelde persoon die daar de standaardisering van overheidssites 'handmatig' heeft zitten te controleren.
edit:
de kritiek op Privacy-veiligheid (dus enkel omgang met 'gevoelige' prive-gegevens) komt van een bedrijf dat een standaard programma aanbiedt om dit te controleren:
'Watchfire' biedt het product 'WebXM' aan.
over de wat hun product controleert betreffende de 'veiligheid':
http://www.watchfire.com/resources/webxm-privacy.pdf
ze controleren bv. of en formulier met de GET methode verstuurd wordt (dat is 'huu, onveilig') of er https-verbindingen gebruikt worden (want een extra certificaatje, dat is hardstikke safe)
Of er een privacy-statement aanwezig is op de pagina met een formulier zelf... etc etc.
* 786562 RM-rf
:strip_icc():strip_exif()/u/3496/ford_power_klein.jpg?f=community){kind=small}
Het is in feite niet de overheid die de daadwerkelijke site bouwt, dat doet het bedrijf die de opdracht krijgt. Dat bedrijf is dus totaal niet bezig met nieuwe ontwikkelingen op de markt zoals dus veiligheid. De overheid is wel laks dat het het product wat ze uiteindelijk krijgen niet controleren op zaken zoals veiligheid, bruikbaarheid, compabiliteit etc. De overheid is daar laks in, het bedrijf wat de site maakt is laks als het op maken van het product aan komt.Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren
De overheid is wel de opdrachtgever en in deze dus ook degene die de specificaties opstelt, als je wel eens gewerkt hebt voor ze weet je dat ze je het zo goed als onmogelijk maken om iets zinnigs te bouwen, niet alleen op het gebied van web development, maar ook andere takken van automatisering...Er beslissen teveel mensen over die geen kaas gegeten hebben van waar ze mee bezig zijn....klinkt bekend bij de overheid nietwaar 
Zelf ben ik webmaster bij een van die vele overheids sites en ik geeft toe dat de websites onder mijn beheer niet voldoen aan de WAI richtlijnen... hoe graag ik dit ook zou willen. Helaas vinden een hoop mensen het veel belangrijker dat de temperatuur of een link naar e-cards op de homepage staat als dat de website toegangelijk is voor mensen met een handicap.
Zoals Beaves zegt worden sites vaak door externe bedrijven gebouwd en iedereen wil voor een dubbeltje op de eerste rang zitten... laat staan dat een gemiddelde ambtenaar ook maar enige idee heeft wat de W3C of WAI is... maar zij zijn het die de opdrachten bij externe bedrijven neerlegen.
Helaas leeft internet binnen de organisatie waar ik werk nog niet genoeg... ik hoop daar wel verandering in te kunnen brengen maar dat kost veel tijd en geld. Dit laatste is er vanwege de vele bezuinigingen niet meer.
Zoals Beaves zegt worden sites vaak door externe bedrijven gebouwd en iedereen wil voor een dubbeltje op de eerste rang zitten... laat staan dat een gemiddelde ambtenaar ook maar enige idee heeft wat de W3C of WAI is
... maar zij zijn het die de opdrachten bij externe bedrijven neerlegen.Helaas leeft internet binnen de organisatie waar ik werk nog niet genoeg... ik hoop daar wel verandering in te kunnen brengen maar dat kost veel tijd en geld. Dit laatste is er vanwege de vele bezuinigingen niet meer.
Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren
Sterker nog: wij *mogen* voor een grote overheidsklant niet voor een andere browser programmeren; hun werknemers mogen ook geen andere browser als IE gebruiken als ze dat al mogen. Natuurlijk proberen we onze applicaties zo veel mogelijk W3C te houden.
Het is ook om die reden dat we vast zitten aan IIS, MSSQL en ASP. Van twee van de drie is bekend dat het grote risicofactoren zijn.
Sterker nog: wij *mogen* voor een grote overheidsklant niet voor een andere browser programmeren; hun werknemers mogen ook geen andere browser als IE gebruiken als ze dat al mogen. Natuurlijk proberen we onze applicaties zo veel mogelijk W3C te houden.
Het is ook om die reden dat we vast zitten aan IIS, MSSQL en ASP. Van twee van de drie is bekend dat het grote risicofactoren zijn.
:strip_exif()/u/57482/sven-unox.gif?f=community){kind=small}
Na enkele minuten zoeken en paar kliks op de site van amsterdam al een overzicht van de parkeerkaarten aan vragen gevonden.
amsterdam.nl mag je toevoegen aan die 85%
amsterdam.nl mag je toevoegen aan die 85%
Uhhm een bedrijf gespecialiseerd in risicobeheer zegt dat de site niet w3c standaard is
En behalve de beveiliging voldoen ze ook niet voor gehandicapten.
Euh W3C standaarden zijn juist voor compatibiliteit en dus voor gehandicapten en maken naar mijn laatste kennis geen deel uit van beveiliging, geloof dat er hier een paar dingen door elkaar worden gehaald.
En behalve de beveiliging voldoen ze ook niet voor gehandicapten.
Euh W3C standaarden zijn juist voor compatibiliteit en dus voor gehandicapten en maken naar mijn laatste kennis geen deel uit van beveiliging, geloof dat er hier een paar dingen door elkaar worden gehaald.
Ik was op de bijeenkomst waar Watchfire de resultaten van het 'onderzoek' presenteerde. Zelden een slechter verhaal mogen aanhoren. Tuurlijk, het is altijd beter om bepaalde communicatie over een beveiligde verbinding te laten lopen. Maar het 'slotje' bij een mailformulier als basis gebruiken voor een betoog over gebrek aan veiligheid is zó dun, dat degene die hieraan dergelijke zware conclusies durft te verbinden (en dat gebeurde) niet serieus te nemen is.
Het was niets meer dan een verkooppraatje van die meneer van Watchfire, bedoeld om onzekerheid aan te wakkeren en daarmee de verkoop van een (overigens prima) product te stimuleren.
Het valt me een beetje tegen dat sommige van de posters hier zich niet wat kritischer opstellen. Maar gelukkig is er wel voldoende 'kritische massa' aanwezig ;-)
Het is overigens absoluut niet eenvoudig om volledig aan de W3C-specificaties te voldoen. Ik heb eens gelezen dat de code van maar 0,7 procent van alle HTML-pagina's op het web valideert. Verder is het aantal sites dat aantoonbaar aan alle WCAG prioriteit 1 richtlijnen voldoen een zeldzaamheid. Niet alleen bij de overheid, maar ook daarbuiten.
Het was niets meer dan een verkooppraatje van die meneer van Watchfire, bedoeld om onzekerheid aan te wakkeren en daarmee de verkoop van een (overigens prima) product te stimuleren.
Het valt me een beetje tegen dat sommige van de posters hier zich niet wat kritischer opstellen. Maar gelukkig is er wel voldoende 'kritische massa' aanwezig ;-)
Het is overigens absoluut niet eenvoudig om volledig aan de W3C-specificaties te voldoen. Ik heb eens gelezen dat de code van maar 0,7 procent van alle HTML-pagina's op het web valideert. Verder is het aantal sites dat aantoonbaar aan alle WCAG prioriteit 1 richtlijnen voldoen een zeldzaamheid. Niet alleen bij de overheid, maar ook daarbuiten.
Ik herinner met dat er een paar maand geleden ook al ergens een nieuwsbericht hiervan is verschenen. Weet alleen zo niet meer waar.
Het lijkt er dus wel op dat de overheden een beetje laks met de gegevens en de beveiliging hiervan omgaan.
Het lijkt er dus wel op dat de overheden een beetje laks met de gegevens en de beveiliging hiervan omgaan.
/u/24411/img.png?f=community){kind=small}
Ach jah, een 'overheidssite'. Daar zijn er zoveel van. Qua P3P maakt het mij iig geen drol uit of overheid.nl dit voor elkaar heeft. Dat is immers een portal site, daar wordt alleen informatie verstrekt.
De beveiliging wordt pas echt relevant als het gaat om een digitaal loket. En als je het mij vraagt is de Nederlandse overheid nog lang niet zo ver mee. Als 15% van de sites iets met informatie van burgers kan dan denk ik dat ze al erg ver zijn in de ontwikkeling van elektronische dienstverlening.
De beperkte toegankelijkheid vind ik dan ook schokkender, overheidsinformatie behoort voor iedereen toegankelijk te zijn. Ook voor blinden en slechtzienden, in een goed gestructureerde site moet dat nauwelijks extra middelen kosten.
Maar goed voordat overheid en ICT beste maatjes zijn zijn we wel een paar kabinetjes verder
De beveiliging wordt pas echt relevant als het gaat om een digitaal loket. En als je het mij vraagt is de Nederlandse overheid nog lang niet zo ver mee. Als 15% van de sites iets met informatie van burgers kan dan denk ik dat ze al erg ver zijn in de ontwikkeling van elektronische dienstverlening.
De beperkte toegankelijkheid vind ik dan ook schokkender, overheidsinformatie behoort voor iedereen toegankelijk te zijn. Ook voor blinden en slechtzienden, in een goed gestructureerde site moet dat nauwelijks extra middelen kosten.
Maar goed voordat overheid en ICT beste maatjes zijn zijn we wel een paar kabinetjes verder
:strip_exif()/u/7329/vliegje.gif?f=community){kind=small}
Ambtenaren he 
/u/44276/got_icon5.png?f=community){kind=small}
Dat een website voldoet aan de W3C normen is wel een indicatie, maar hoeft niet te betekenen dat een website wel/niet goed toegankelijk is.
De veiligheid is natuurlijk ook iets wat slecht te meten is, veel overheidswebsites bestaan uit een aantal HTML pagina's met informatie, wat kan daar nou onveilig aan zijn?
De veiligheid is natuurlijk ook iets wat slecht te meten is, veel overheidswebsites bestaan uit een aantal HTML pagina's met informatie, wat kan daar nou onveilig aan zijn?
Op dit item kan niet meer gereageerd worden.