‘GEMEENTELIJKE SITE BERGENOPZOOM.NL NIET VEILIG’

Het viel mij van de week al op en ik wilde het nog nader onderzoeken. Tot voor kort was een goed beveiligingscertificaat voor een website(domein) voor een simpele gebruiker, zoals ikzelf ben, relatief prijzig. Omdat ik had gelezen dat er een gratis opensource alternatief kwam heb ik gewacht. Nu dit alternatief er is, ben ik hiermee aan het testen gegaan op deze site om deze binnenkort uit te rollen voor al de sites in mijn beheer. De sites die ik beheer zijn geen overheidssites en er staan geen geheime of persoonlijke gegevens op. Dit is wel anders als het gaat om de gemeentelijke site, bergenopzoom.nl. 

Het meest onprofessionele en meest laakbare is het feit dat de login voor de gemeenteraad geheel onbeveiligd is. Alle gegevens die intern worden verstrekt en gedeeld zijn op de eenvoudigste manier te onderscheppen. Dit kan echt niet en had ook nooit zo opgezet mogen worden.

Tevens is de site niet versleuteld en heeft dus geen veiligheidscertificaat. Omdat u  via DigiD moet inloggen, lijkt de onveiligheid misschien mee te vallen. Maar juist via het voorportaal zou deze site nu omgeleid kunnen worden naar een site die precies lijkt op die van de gemeente en met wat handigheid zouden kwaadwillenden de login naar DigiD kunnen onderscheppen. Reeds eerder is er gewezen op dit soort onveiligheid. De site is kwetsbaar. Maar dit is niet alles.

Als een gebruiker via de gemeentesite naar de pagina melding openbare ruimte gaat, dan werkt de site verder met het verouderde en te kraken TLS 1.0 protocol. Uw meldingen zijn dus niet gegarandeerd veilig. Ernstiger is het feit dat iemand vervolgens in gaat loggen bij DigiD en uiteindelijke via het risicoprotocol TLS 1.0 verder gaat. Mijn inziens zijn de DigiD gegevens hierdoor het meest kwetsbaar. Hier moet wat aan gebeuren, deze fout ligt niet bij DigiD.

Eerder heb ik aangegeven dat er fouten in de site zitten. Deze zijn er soms nog.Verder blijf ik bij mijn standpunt. Er is te weinig expertise in huis. De verantwoordelijke bestuurders hebben er geen kaas van gegeten. Afhankelijkheid van leveranciers is niet alles.

En mijn visie.