Cybersecurity bij lokale overheden

Het lijkt ondenkbaar dat er in 2025 nog Portugese gemeenteraden zullen zijn zonder HTTPS op hun websites , met tracking cookies die worden geïnstalleerd voordat de gebruikers toestemming geven en zonder minimale beveiligingsregels in institutionele e-mails. En toch is dat precies het scenario dat ik aantrof toen ik – samen met andere CpC-leden – een van de meest recente onderzoeken van het Burgerinitiatief voor Cybersecurity (CpC) uitvoerde, waarbij 209 websites van Portugese gemeenteraden werden beoordeeld.

De conclusies zijn inderdaad verontrustend: drie lokale overheden exploiteren nog steeds websites zonder HTTPS – de basis voor veilig surfen. Meer dan honderd bedrijven voldoen niet aan de AVG en bijna 170 bedrijven hebben het DMARC-protocol niet geïmplementeerd, dat essentieel is om hun e- maildomeinen te beschermen tegen phishing en spoofing. Deze tekortkomingen brengen niet alleen de persoonsgegevens van burgers in gevaar, maar ondermijnen ook het vertrouwen van burgers in het lokale openbaar bestuur.

Dit is echter geen nieuw probleem. Al jaren horen we berichten over ransomware-incidenten die lokale overheden lamleggen, gegevens blootleggen en gebrekkige digitale beveiligingspraktijken aan het licht brengen. En toch verloopt de vooruitgang traag en ongelijkmatig. Sommige gemeenteraden, zoals Loures, Ponte de Sôr of Vila Franca do Campo, laten zien dat het mogelijk is om het goede voorbeeld te geven door de beste praktijken op het gebied van digitale beveiliging na te leven. Maar wat te doen met degenen die basismaatregelen blijven verwaarlozen?

Cyberveiligheid kan niet als een luxe of een tweede prioriteit worden beschouwd. Het is een kwestie van maatschappelijke verantwoordelijkheid, zeker als het gaat om instellingen die gevoelige gegevens van burgers verwerken, van aanvragen tot betaling van vergoedingen en onlinediensten.

Er zijn concrete, bekende en technisch haalbare maatregelen die dringend moeten worden uitgevoerd: Gebruik HTTPS op alle websites, met SSL-certificaten die correct zijn geconfigureerd, bijgewerkt en regelmatig worden geverifieerd;

Voldoe aan de AVG, met transparante cookiebanners en de reële mogelijkheid tot toestemming (of weigering) ;

Verminder of verwijder onnodige trackers, vooral die van derden voor commerciële doeleinden;

Configureer SPF- en DMARC-records op de juiste manier in institutionele domeinen, zodat vervalsing van e-mails van de Kamer wordt voorkomen.

Het ontbreken van deze praktijken kan niet langer worden verontschuldigd door onwetendheid. De bronnen bestaan, zijn vaak gratis, en de informatie is openbaar beschikbaar. In het onderzoek van CpC wordt gebruikgemaakt van gratis en eenvoudig te gebruiken hulpmiddelen zoals SSL Labs, CookieHub en DNS-scanners.

Als gemeenteraden cyberveiligheid niet prioriteit geven, zetten ze de deur open voor aanvallen, brengen ze de privacy van burgers in gevaar en verspillen ze publieke middelen aan maatregelen die vermeden hadden kunnen worden. Bovendien schieten zij tekort in hun plicht tot transparantie en vertrouwen.

Het is tijd om actie te ondernemen. Want elke website zonder HTTPS, elke cookie zonder toestemming, elke kwetsbare e-mail … is meer dan een technische fout: het is een politiek, ethisch en institutioneel risico.