Antwoord op vragen over de beveiliging van websites van Nederlandse ambassades - Hoofdinhoud
Antwoorden van de Minister van Buitenlandse Zaken op vragen van het lid Ten Broeke (VVD) over de beveiliging van websites van Nederlandse ambassades (ingezonden 22 maart 2017).
Vraag 1
Hoe beoordeelt u de berichtgeving over de inadequate beveiliging van websites van Nederlandse ambassades?1) Klopt het dat de websites van de Nederlandse ambassades in Afghanistan, China, Egypte en Soedan nog altijd onvoldoende zijn beveiligd?
Vraag 3
Klopt het dat deze risico’s al enige tijd bekend zijn bij uw ministerie en dat bezoekers al maanden onnodig veel risico lopen?
Vraag 4
Wanneer verwacht u een oplossing te hebben voor het beveiligingsprobleem?
Antwoord vraag 1, 3 en 4
Nee, het klopt niet dat de websites van de Nederlandse ambassades in de vier genoemde landen nog altijd onvoldoende zijn beveiligd.
Op 4 april jongstleden zijn de nieuwe websites van het ministerie www.nederlandwereldwijd.nl en www.nederlandenu.nl gelanceerd, die onder andere de genoemde websites van de posten vervangen. Deze nieuwe sites gebruiken voor de beveiliging onder andere het HTTPS communicatieprotocol en dwingen het gebruik daarvan door de browsers van bezoekers af.
De berichtgeving betrof de constatering dat een groot percentage overheidswebsites voor hun beveiliging het HTTPS communicatieprotocol niet of niet goed ingericht hadden voor hun websites. Zie hiervoor tevens de beantwoording van de kamervragen van Amhaouch 2) en Oosenburg/Kerstens 3) eerder dit jaar.
De in de vragen genoemde websites maakten ten tijde van de berichtgeving niet voor alle pagina’s van de websites gebruik van het HTTPS communicatieprotocol en dwongen het gebruik daarvan ook niet af voor de browser van bezoekers. De noodzakelijk geachte mate van het beveiligen van de verbinding naar een
overheidswebsite hangt af van de vraag of de website (persoons-) al dan niet gevoelige informatie uitwisselt. In de genoemde websites werd niet naar persoonsgevoelige informatie gevraagd, zodat het veiligheidsrisico gering was.
Het ministerie heeft recentelijk een omvangrijk project afgerond om de ruim 240 websites van de posten, waartoe de genoemde websites behoorden, te vervangen door twee nieuwe websites: www.nederlandwereldwijd.nl en www.nederlandenu.nl. De beveiliging van de nieuwe websites is ingericht conform de meest recente beveiligingseisen, inclusief het afdwingen van het HTTPS communicatieprotocol voor de gehele websites. Hiermee voldoen deze websites - ruim voor de deadline (eind 2017)die het Nationaal Beraad Digitale Overheid daarvoor vaststelde - aan de eis van het gebruiken van versleutelde verbindingen op overheidswebsites.
Vraag 2
Wat zijn de risico's voor bezoekers van deze websites, aangezien er geen veilige verbinding via HTTPS tot stand kan worden gebracht omdat bezoekers worden terug verwezen naar een HTTP-website? 2)
Antwoord
HTTPS is een communicatieprotocol dat ervoor zorgt dat bezoekers de identiteit van de webserver / website kunnen controleren. Voorts beveiligt HTTPS de communicatie tussen de webserver en de browser door deze te versleutelen. Het protocol beveiligt in belangrijke mate tegen het afluisteren en het manipuleren van de communicatie tussen de webserver en de browser.
Het risico voor de bezoekers van een website zonder HTTPS is beperkt indien er geen (persoons-)vertrouwelijke informatie wordt uitgewisseld, zoals bij de betreffende websites het geval was.
-
1)Binnenlands Bestuur, 10 maart 2017
Beveiliging van overheidssites nog steeds niet op orde
-
2)Open State, 10 maart 2017
Ondanks toename, helft alle overheidswebsites nog steeds geen veilige verbinding
-
4)Kamervraag 913