Websitemetingen op een landkaart: neem ze met een korreltje zout

Op een aantal websites is het mogelijk om te zien welke technische standaarden zijn geïmplementeerd op een webadres. Gemeenten zijn een dankbaar onderzoeksobject, want ze zijn vergelijkbaar, het zijn er wel 355 en iedereen heeft er wel eens mee te maken. Sommige websites laten daarom zelfs gemeentelijke (sub)domeinen op een landkaart zien met behulp van een stoplichtschema. Rood is onvoldoende, groen voldoende, zo is de eerste indruk. Dat behoeft enige nuancering.

Als de metingen al 100% kloppen en volledig zijn bieden ze zonder context onvoldoende beeld van het algemene beveiligingsniveau van een gemeente. De ene standaard is de andere niet, en elke standaard dekt een ander risico af. De ene website is ook de andere niet.

Een overzicht van tientallen willekeurige subdomeinen controleren op willekeurige standaarden en dan een rode kleur geven bij afwezigheid van één van de standaarden of een groene bij aanwezigheid van de standaarden, geeft een scheef en vreemd beeld van de beveiliging. De kans op een rode kleur neemt toe met het aantal gemeten domeinen. Immers, er zal er altijd wel eentje zijn waar niet alle standaarden ‘aan’ staan. Let wel: die standaarden zijn ook lang niet altijd nodig of nuttig, soms kunnen ze ook helemaal niet worden toegepast. Op basis van een risicoafweging wordt bepaald of een maatregel noodzakelijk is. Zo hoort bij een formulier waarop inwoners gegevens doorgeven aan de gemeente een ander beveiligingsregime dan op een informatieve website met de openingstijden van de kinderboerderij.

Rood is niet altijd een indicatie van een slecht ingerichte beveiliging maar is ook groen geen garantie op een goed ingerichte beveiliging. Neem deze kleuren met een korreltje zout. Informatiebeveiliging gaat altijd om een samenhangend pakket van niet alleen technische-, maar ook organisatorische maatregelen. Daarom werken gemeenten volgens de norm van de Baseline Informatiebeveiliging Overheid (BIO) doorlopend aan hun informatiebeveiliging, dat gaat over veel meer dan websites en e-mail. Gemeenten leggen hierover ieder jaar via ENSIA verantwoording af aan de eigen gemeenteraad en het rijk.

Het blijft evenwel nuttig om een website of domein af en toe te controleren. De IBD raadt hiervoor www.internet.nl aan. Let op: De uitslag moet per geval worden geïnterpreteerd.