Skip to main content

Herkenbare en eenduidige domeinnamen voor de overheid, is dat een goed idee?

adviseur-jinne-samsom-pblq

Jinne Samsom

Adviseur

0703763636


Geachte heer/mevrouw,

Tijdens Prinsjesdag 2022 zijn er nieuwe ontwikkelingen omtrent de energietoeslagen. Het kabinet heeft besloten om iedere huishouden te vergoeden met een energietoeslag. Daarnaast gaat de energierekening voor huishoudens en kleine bedrijven omlaag. Daarom wil het kabinet dat mensen tijdelijk een compensatie kunnen krijgen voor gas en elektriciteit bij een gemiddeld energieverbruik. Toeslag aanvragen

Met vriendelijke groet,
Rijksoverheid

Phishing

Deze valse e-mail is vorige week bij de Fraudehelpdesk gemeld. De mail, uit naam van de Rijksoverheid, doet veronderstellen dat de ontvanger recht heeft op een extra toeslag of compensatie. Een aanlokkelijk perspectief, maar in wezen gaat het hier om een vorm van oplichting. De hyperlink brengt je naar een valse websites waar persoonlijke- en betaalgegevens van de gebruiker worden buitgemaakt.

Deze vorm van fraude komt steeds vaker voor en staat bekend als Phishing. Waar phishing soms overduidelijk is, doordat de tekst vol spelfouten staat, worden oplichters steeds beter in het creëren van ogenschijnlijk waarachtige berichten. Zo is het bericht van de energietoeslag heel doortrapt: er wordt gebruik gemaakt van het logo en de huisstijl van de Rijksoverheid. Het komt voor mensen op een logisch moment: de overheid is namelijk bezig om burgers voor de hoge energiekosten te compenseren.

Maatschappelijk probleem

Je zal vast denken: wie trapt daar nou in? Het CBS becijferde dat ruim 100.000 Nederlanders in 2021 door phishing zijn gedupeerd. Maar liefst 68% van alle mensen heeft ten minste één keer een telefoontje, e-mail of ander bericht ontvangen dat (waarschijnlijk) van een oplichter was. We hebben hier dus te maken met een maatschappelijk probleem.

Om dit tegen te gaan wil het kabinet nu komen met een uniforme domeinnaamextensie, zo valt te lezen in de Cybersecuritystrategie. Ik hoor je denken: een wat?!

Een domeinnaamextensie is het aanhangsel van een domeinnaam op het internet, bijvoorbeeld .nl of .com. Het kabinet is van plan om voor overheidswebsites een kenmerkende extensie toe te voegen, zodat authentieke overheidssites beter kunnen worden herkend. Denk bijvoorbeeld aan iets als:

  • Belastingdienst.overheid.nl
  • GGD.overheid.nl
  • DUO.overheid.nl

(waarbij ‘overheid’ de domeinnaamextensie is)

Gaat dit dan werken?

Zijn burgers met een domeinnaamextensie beter in staat om phishing berichten te onderscheiden van échte overheidsberichten? Draagt het bij aan de herkenbaarheid en betrouwbaarheid van overheidscommunicatie? In 2020 deed ik hier in opdracht van het ministerie van Binnenlandse Zaken onderzoek naar door te kijken naar hoe andere landen dit hebben geregeld.

Er zijn verschillende landen waar apart beleid is voor het gebruik van domeinnamen door de overheid. Een bekende is de Verenigde Staten waar de extensie .gov wordt gebruikt. Bij websites met een .gov-aanhangsel krijgen gebruikers de melding dat ze hier te maken hebben met een officiële, vertrouwde overheidswebsite.

Geen hard bewijs

Het voorbeeld uit de Verenigde Staten ziet er op het eerste gezicht slim uit. Maar in het onderzoek vonden wij geen onderzoeken, studies of evaluaties die aantoonden dat het gebruik van speciale domeinnaamextensies door de overheid een directe relatie heeft met grotere herkenbaarheid, betrouwbaarheid en veiligheid van overheidscommunicatie.

Waarschijnlijk bestaat er wel een correlatie, maar deze is simpelweg nog nooit aangetoond. We moeten het dus doen met vermoedens dat het een positief effect heeft. Optimisten zouden zeggen: gewoon doen; baat het niet dan schaadt het niet! Zo makkelijk is het echter niet…

Mitsen en maren

In het onderzoek vonden we verschillende zaken om rekening mee te houden:

  1. Welke overheidsorganisaties krijgen zo’n domeinnaamextensie? Gaat het alleen om ministeries? Gaat het ook om grote uitvoeringsorganisaties zoals de Belastingdienst en het UWV? En wat gebeurt er met gemeenten, waterschappen en provincies? Hoe groter de gekozen reikwijdte, hoe omvangrijker de implementatie en (technische) migratie!
  2. Moeten of mogen overheden straks de extensie gebruiken? Is er sprake van een verplichting, en zo ja, wie gaat deze opleggen en afdwingen?
  3. Gaat de domeinnaamextensie alleen gelden voor websites van de overheid of ook voor alle e-mailadressen? Hierbij geldt: het incorporeren van e-mailadressen maakt de uitvoering omvangrijker en complexer.
  4. Voor welke extensie wordt gekozen? Is dat .overheid.nl, of toch liever .gov.nl? En hoe zorg je ervoor dat gebruikers weten dat ze deze domeinen kunnen vertrouwen? Er is minstens een grote campagne nodig om bewustwording aan te wakkeren. Kijk bijvoorbeeld hoe de Amerikaanse overheid dit een aantal jaar geleden heeft gestart.

Conclusie

Je kan gerust zeggen dat het instellen van een uniforme domeinnaamextensie nogal wat voeten in de aarde heeft. Er zullen nog verschillende keuzes moeten worden gemaakt over de manier van implementatie, (technische) migratie en communicatie, zeker als je bedenkt dat deze operatie kostbaar en misschien wel heel kostbaar gaat zijn.

De belangrijkste vraag lijkt mij echter of dit het juiste middel is om de problematiek rondom oplichting, online fraude en betrouwbaarheid van overheidsinformatie het effectiefst te bestrijden. Dat leidt, hoe saai dat ook is, tot de conclusie dat vervolgonderzoek nodig is om een gedegen afweging te kunnen maken.


Geachte heer/mevrouw,

Tijdens Prinsjesdag 2022 zijn er nieuwe ontwikkelingen omtrent de energietoeslagen. Het kabinet heeft besloten om iedere huishouden te vergoeden met een energietoeslag. Daarnaast gaat de energierekening voor huishoudens en kleine bedrijven omlaag. Daarom wil het kabinet dat mensen tijdelijk een compensatie kunnen krijgen voor gas en elektriciteit bij een gemiddeld energieverbruik. Toeslag aanvragen

Met vriendelijke groet,
Rijksoverheid

Phishing

Deze valse e-mail is vorige week bij de Fraudehelpdesk gemeld. De mail, uit naam van de Rijksoverheid, doet veronderstellen dat de ontvanger recht heeft op een extra toeslag of compensatie. Een aanlokkelijk perspectief, maar in wezen gaat het hier om een vorm van oplichting. De hyperlink brengt je naar een valse websites waar persoonlijke- en betaalgegevens van de gebruiker worden buitgemaakt.

Deze vorm van fraude komt steeds vaker voor en staat bekend als Phishing. Waar phishing soms overduidelijk is, doordat de tekst vol spelfouten staat, worden oplichters steeds beter in het creëren van ogenschijnlijk waarachtige berichten. Zo is het bericht van de energietoeslag heel doortrapt: er wordt gebruik gemaakt van het logo en de huisstijl van de Rijksoverheid. Het komt voor mensen op een logisch moment: de overheid is namelijk bezig om burgers voor de hoge energiekosten te compenseren.

Maatschappelijk probleem

Je zal vast denken: wie trapt daar nou in? Het CBS becijferde dat ruim 100.000 Nederlanders in 2021 door phishing zijn gedupeerd. Maar liefst 68% van alle mensen heeft ten minste één keer een telefoontje, e-mail of ander bericht ontvangen dat (waarschijnlijk) van een oplichter was. We hebben hier dus te maken met een maatschappelijk probleem.

Om dit tegen te gaan wil het kabinet nu komen met een uniforme domeinnaamextensie, zo valt te lezen in de Cybersecuritystrategie. Ik hoor je denken: een wat?!

Een domeinnaamextensie is het aanhangsel van een domeinnaam op het internet, bijvoorbeeld .nl of .com. Het kabinet is van plan om voor overheidswebsites een kenmerkende extensie toe te voegen, zodat authentieke overheidssites beter kunnen worden herkend. Denk bijvoorbeeld aan iets als:

  • Belastingdienst.overheid.nl
  • GGD.overheid.nl
  • DUO.overheid.nl

(waarbij ‘overheid’ de domeinnaamextensie is)

Gaat dit dan werken?

Zijn burgers met een domeinnaamextensie beter in staat om phishing berichten te onderscheiden van échte overheidsberichten? Draagt het bij aan de herkenbaarheid en betrouwbaarheid van overheidscommunicatie? In 2020 deed ik hier in opdracht van het ministerie van Binnenlandse Zaken onderzoek naar door te kijken naar hoe andere landen dit hebben geregeld.

Er zijn verschillende landen waar apart beleid is voor het gebruik van domeinnamen door de overheid. Een bekende is de Verenigde Staten waar de extensie .gov wordt gebruikt. Bij websites met een .gov-aanhangsel krijgen gebruikers de melding dat ze hier te maken hebben met een officiële, vertrouwde overheidswebsite.

Geen hard bewijs

Het voorbeeld uit de Verenigde Staten ziet er op het eerste gezicht slim uit. Maar in het onderzoek vonden wij geen onderzoeken, studies of evaluaties die aantoonden dat het gebruik van speciale domeinnaamextensies door de overheid een directe relatie heeft met grotere herkenbaarheid, betrouwbaarheid en veiligheid van overheidscommunicatie.

Waarschijnlijk bestaat er wel een correlatie, maar deze is simpelweg nog nooit aangetoond. We moeten het dus doen met vermoedens dat het een positief effect heeft. Optimisten zouden zeggen: gewoon doen; baat het niet dan schaadt het niet! Zo makkelijk is het echter niet…

Mitsen en maren

In het onderzoek vonden we verschillende zaken om rekening mee te houden:

  1. Welke overheidsorganisaties krijgen zo’n domeinnaamextensie? Gaat het alleen om ministeries? Gaat het ook om grote uitvoeringsorganisaties zoals de Belastingdienst en het UWV? En wat gebeurt er met gemeenten, waterschappen en provincies? Hoe groter de gekozen reikwijdte, hoe omvangrijker de implementatie en (technische) migratie!
  2. Moeten of mogen overheden straks de extensie gebruiken? Is er sprake van een verplichting, en zo ja, wie gaat deze opleggen en afdwingen?
  3. Gaat de domeinnaamextensie alleen gelden voor websites van de overheid of ook voor alle e-mailadressen? Hierbij geldt: het incorporeren van e-mailadressen maakt de uitvoering omvangrijker en complexer.
  4. Voor welke extensie wordt gekozen? Is dat .overheid.nl, of toch liever .gov.nl? En hoe zorg je ervoor dat gebruikers weten dat ze deze domeinen kunnen vertrouwen? Er is minstens een grote campagne nodig om bewustwording aan te wakkeren. Kijk bijvoorbeeld hoe de Amerikaanse overheid dit een aantal jaar geleden heeft gestart.

Conclusie

Je kan gerust zeggen dat het instellen van een uniforme domeinnaamextensie nogal wat voeten in de aarde heeft. Er zullen nog verschillende keuzes moeten worden gemaakt over de manier van implementatie, (technische) migratie en communicatie, zeker als je bedenkt dat deze operatie kostbaar en misschien wel heel kostbaar gaat zijn.

De belangrijkste vraag lijkt mij echter of dit het juiste middel is om de problematiek rondom oplichting, online fraude en betrouwbaarheid van overheidsinformatie het effectiefst te bestrijden. Dat leidt, hoe saai dat ook is, tot de conclusie dat vervolgonderzoek nodig is om een gedegen afweging te kunnen maken.

PUBLICATIES