Ruim zestig procent van de webcertificaten in gebruik bij Nederlandse gemeenten voldoet niet aan de Bio 2.0-beveiligingsrichtlijnen voor overheidsinstanties. Veel gemeenten gebruiken goedkope of gratis certificaten die gevoelige gegevens onvoldoende beschermen. Dat schrijft Computable naar aanleiding van onderzoek door e-certificeringsspecialist PKIpartners onder 106 lokale overheden.

De onderzoekers hebben de certificaten die de authenticiteit van de verschillende gemeentelijke websites moeten garanderen bekeken. Daarbij is gelet op het type en het niveau van de certificaten en is bepaald of de sites voldoen aan de normen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen.

De onderzoekers constateerden dat (peildatum maart 2024) zestig procent van de gebruikte certificaten uit zogeheten domain validated (DV)-certificaten bestaat. Dit soort certificaten hebben volgens de onderzoekers een laag echtheidsniveau, doordat de organisatie in kwestie tijdens de aanvraag niet wordt gevalideerd. Hierdoor zou criminelen webpagina’s gemakkelijk kunnen kopiëren en inzetten voor fraude. Deze DV-certificaten voldoen niet aan de norm van de zogeheten Baseline Informatiebeveiliging Overheid (Bio) 2.0, die binnenkort verplicht wordt voor overheden.

De Bio 2.0-norm vereist dat overheden minimaal zogeheten organization validated (OV)-certificaten gebruiken voor publiek onlineverkeer. OV-certificaten bevatten gevalideerde informatie over de organisatie, wat bijdraagt aan een hogere mate van vertrouwen en beveiliging.

De gebrekkige beveiliging sluit niet aan op de nieuwe Europese cybersecurityrichtlijn NIS2 en staat haakt op het streven om de digitale weerbaarheid te verhogen – onder meer tegen cyberaanvallen – en om de bescherming van gevoelige gegevens die mogelijk uit andere bronsystemen komen, te waarborgen. (Computable)