Website gemeente Hollands Kroon: werk in uitvoering

Even een compliment voor de gemeente Hollands Kroon: Na het nieuws, vanmorgen in het Noordhollands Dagblad, hebben ze de oude link naar het onbeveiligde afspraakformulier vervangen door een link naar het beveiligde afspraakformulier. Het formulier was ooit onbeveiligd, maar nu niet meer. En sinds vandaag is het beveiligde formulier dus bereikbaar. Dat gaat de goede kant op!

Dan blijft enkel nog het onbeveiligde contactformulier, waarbij burgers de mogelijkheid hebben om bijlagen naar de gemeente te versturen.

Het zou niet onverstandig zijn om bij dat contactformulier een waarschuwing te vermelden met de tekst “Burger, let op! Dit contactformulier is onbeveiligd en daarom ongeschikt om gevoelige informatie mee naar ons te versturen. Stuurt u geen kopie van bijvoorbeeld uw paspoort mee als bijlage”. Blijft natuurlijk de vraag welke niet-gevoelige informatie je dan als burger wel zou kunnen meesturen. Beetje verwarrend.

Gratis tip voor de gemeente Hollands Kroon: De beveiliging van het afspraakformulier geschiedt met een zogenaamd wildcard-certificaat (*.hollandskroon.nl), dat tevens het contactformulier kan beveiligen! Als het contactformulier eenmaal is beveiligd, hoeft die waarschuwing er natuurlijk niet bij…

Website gemeente Medemblik: onveilig

Als je een afspraak wilt maken met de gemeente Medemblik, dan kun je daarvoor de volgende link gebruiken:
http://www.medemblik.nl/Direct_regelen/Formulieren/Webformulieren/Afspraak_maken_webformulier
De gegevens die je op deze pagina intoetst, worden onbeveiligd over het internet verzonden en zijn op elk willekeurig punt tussen burger en gemeente te onderscheppen, af te luisteren en te wijzigen.

Wrang is dat de gemeente Medemblik je achternaam, burgerservicenummer (BSN), telefoonnummer overdag, telefoonnummer privé en zelfs de reden van je afspraak als verplichte velden heeft gemarkeerd. Als nietsvermoedende burger volg je graag de instructies van je gemeente op en gooi je dus op hun aanwijzingen jouw persoonsgegevens op straat.

Dit is bijzonder gevaarlijk! Wie is er verantwoordelijk voor het uitlekker van jouw persoonsgegevens? Ik hoop dat de gemeente Medemblik hier snel actie op onderneemt.

Woon je in de gemeente Medemblik? Maak dan geen gebruik van het formulier.

Klik op het plaatje hieronder voor een afbeelding van het afspraakformulier. In de adresbalk zie je “http” staan. Dat betekent dat er geen beveiliging is voor de gegevens in het formulier.

medemblik

Hoe veilig is jouw gemeente?

Toevallig ontdekte ik dat de communicatie met de website van mijn eigen gemeente Schagen onbeveiligd was en daar schrok ik natuurlijk van!

Gelukkig is ons digitaal loket met ingang van 22 november 2013 niet meer onbeveiligd, maar de gemeente ontkent de noodzaak van beveiliging, dus het zit me nog niet lekker. Ik heb daarom wat aanvullend onderzoek gedaan, dat ik hier op mijn weblog per gemeente zal delen.

Hou er rekening mee, dat de informatie waarschijnlijk snel veroudert. Hopelijk krijgen de Nederlandse gemeenten er lucht van en gaan ze kundige mensen inschakelen. Ik zal met behulp van screenshots de situatie documenteren.

Ben je benieuwd naar de beveiliging van de website van jouw gemeente? Laat het me weten! En doe je gordel om, want het wordt een hobbelig ritje.

De beveiligingswereld kent het fenomeen Responsible Disclosure. Dit is een protocol dat aan de buitenwereld uitlegt hoe je als organisatie op de hoogte wenst te worden gesteld over beveiligingsproblemen met jouw producten of diensten. Hiermee geef je buitenstaanders de gelegenheid om beveiligingsproblemen kenbaar te maken, zodat de organisatie daarvan kan leren. Uitgangspunt hierbij is dat de informatie over beveiligingsproblemen op een verantwoorde wijze kenbaar wordt gemaakt, meestal in eerste instantie zonder publiek specifieke details te melden, waarmee kwaadwillenden het probleem kunnen uitbuiten.

Het Nationaal Cyber Security Centrum heeft hiervoor een Responsible Disclosure statement voor hun eigen organisatie:
https://www.ncsc.nl/security
Ook bestaat er een leidraad om als organisatie te komen tot responsible disclosure:
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Helaas zijn de Nederlandse gemeenten nog lang niet zover. Op gebied van beveiliging zijn ze technisch en organisatorisch naïef, slecht op de hoogte van cybercriminaliteit, houden dus onvoldoende rekening met eigen falen op beveiligingsgebied en hebben dus ook geen Responsible Disclosure statement.

Bovendien kun je als klokkenluider bij totaal gebrek aan beveiliging niet zoveel technische details achterhouden. Ik zal niet ingaan op specifieke hacks en technische trucs om de beschreven beveiligingsproblemen uit te buiten, maar neem van mij aan dat als gemeenten de deur openzetten voor cybercriminelen daar ook misbruik van gemaakt wordt. Het lijkt mij dat de beteffende gemeente daarvoor verantwoordelijk is.

Zonder beveiliging zijn de websites van de gemeenten levensgevaarlijk. Door hiervan melding te maken, hoop ik op treffende beveiligingsmaatregelen door de gemeenten.