Besluit beveiligde verbinding met overheidswebsites en -webapplicaties

Reactie

Naam RedOps (Dhr. S Broekhoven)
Plaats Bergen op Zoom
Datum 2 september 2019

Vraag1

Wilt u reageren op Besluit beveiligde verbinding met overheidswebsites en -webapplicaties? Dan kunt u hier uw reactie geven. U kunt dat doen door een bericht achter te laten of door een document te downloaden.
Het verplicht stellen van HTTPS en HSTS is een goede zaak. Dit gaat de beveiliging zeker wel bevorderen. Wel moet met rekening houden met FOFU, Trust On First Use. De browser van iemand die nog nooit een overheidswebsite heeft bezocht, heeft geen weet van de HSTS van de betreffende websites. In theorie is er dan nog iets makkelijker een MITM aanval mogelijk.

Vraag2

Wat vindt u van het toepassingsbereik van de verplichting om de beveiligingsstandaarden toe te passen? Moeten meer of minder organisaties onder deze wettelijke verplichting vallen?
Dit zou verplicht moeten worden voor overheid. Eventueel ook vitaal.

Vraag3

De beveiligingsstandaarden moeten ingesteld worden conform de richtlijnen van het Nationaal Cyber Security Centrum. Wat vindt u van het idee om te bepalen dat de instellingen die in de richtlijn de kwalificaties 'uit te faseren' krijgen, op termijn (bv. 1 juli 2020) verwijderd moeten worden?
Het is prima om een einddatum te stellen aan richtlijnen die uit te faseren moeten worden en deze daarna ook niet meer op te nemen in de documentatie. Wel is het handig om het besluit hier over wel te documenteren ergens.