De landen om ons heen hebben het al langer, in navolging van de VS. Een speciale domeinnaam extensie die overheidswebsites van reguliere websites moet onderscheiden. Dit om phishing te voorkomen. Maar gaat het de redding zijn waar we op hopen?
Nu is het zo dat je de domeinnaam bellastingdienst.nl zou kunnen aanschaffen om en nep versie van de website van belasingdienst.nl op te zetten en zo persoonsgegevens af te vangen. Je hebt dan nog wel iets nodig om bezoekers er naartoe te lokken. Daarvoor zou je een bestand met Nederlandse e-mail adressen op het darkweb kunnen kopen en een gehackte website kunnen gebruiken om deze e-mail adressen te mailen met een uitnodiging om naar jouw nep website te komen.
Experts in melden in het AD dat ze zich zorgen maken om het gemak waarop overheidswebsites op deze manier kunnen worden overgenomen om de burger te misleiden. Een eigen domeinnaam voor websites van de overheid zou hierin een oplossing kunnen zijn. Onze buren in het verenigd koninkrijk zijn hier al sinds de invoering van het .uk domein mee bezig. Daar is het hele internet gesplitst in .co.uk voor bedrijven en .gov.uk voor overheden. In de VS gebruikt men het domeinnaam .gov, dat voor andere landen dan ook niet beschikbaar is. Voor Nederland zou .gov.nl wel een optie zijn. Of Nederlanders talig genoeg zijn om ‘gov’ als afkorting voor overheid te zien is onbekend, maar voor expats, vluchtelingen etc brengt het wel veel duidelijkheid. Een .overheid zou ook een goede optie zijn, maar dan is de taalproblematiek precies andersom.
Complexer wordt het wanneer overheden gebruik maken van commerciële organisaties voor een deel van hun dienstverlening naar de burger. Een goed voorbeeld is de website Nijmegen.nl. Wil je daar als burger een afspraak met een ambtenaar maken, maak je gebruik van nijmegen.mijnafspraakmaken.nl. Die website is van een commerciële dienstverlener. Die zal niet zomaar toegang krijgen tot een .gov.nl of .overheid website. Al zou dat op te lossen zijn met subdomeinen die door de betreffende overheid worden uitgegeven. Denk in dat geval aan mijnafspraakmaken.nijmegen.gov.nl.
Kijken we in onze redactiemailbox, krijgen we nog dagelijks phishingmails binnen. Opvallend weinig vanuit nepsites van de overheid. Alleen de KVK komt veel in beeld, maar de vraag os of deze als stichting voldoet aan de eisen die er zometeen zijn voor zo’n speciale overheidsdomeinnaam. Veel meer zien we nog altijd valse e-mails van banken, die over het vervangen van betaalpassen e.d. gaan. Veel geloofwaardiger en voor banken is er geen domeinnaam die valideert of een website echt is. Die moeten het doen met een groen, uitgebreid SSL certificaat en dat vraagt ook technische kennis van de burger om dit te valideren. Een overheidsdomeinnaam is dus een stap in de goede richting, maar een totaaloplossing is nog heel ver weg.