Adoptie internetbeveiligings-standaarden bij overheid vlakt af

Na de groei van de afgelopen jaren verloopt de implementatie van internetbeveiligingsstandaarden bij Nederlandse overheidsorganisaties inmiddels een stuk langzamer, ondanks verplichtingen en afspraken. Voor een aantal van die standaarden wil het ministerie van Binnenlandse Zaken een verplichting invoeren via een Algemene Maatregel van Bestuur (AMvB) bij de Wet digitale overheid. Voor andere standaarden kunnen organisaties en grotere leveranciers individueel aangesproken worden. Zo blijkt uit de halfjaarlijkse Meting Informatieveiligheidstandaarden, onlangs gepubliceerd door Forum Standaardisatie.

Voor deze meting zijn de belangrijkste (563 stuks) domeinnamen van overheidsorganisaties getest op het gebruik van deze standaarden:

  • TLS/HTTPS voor het web

  • DNSSEC

  • SPF, DKIM en DMARC (voor de bescherming tegen phishing, spam, virussen en andere malware die per mail binnen komt)

  • TLS/HTTPS en HSTS volgens de striktere eisen van NCSC wat betreft het gebruik van specifieke cryptografische algoritmen

  • STARTTL en DANE (voor de versleuteling van mail transport)

Daarvoor is gebruik gemaakt van de bulk-testfunctionaliteit van de Internet.nl portal.

De uitkomsten laten alles bij elkaar over het afgelopen half jaar een sterk afgevlakte groei zien. De adoptie van de web-gerelateerde standaarden neemt nauwelijks meer toe. De adoptie van de mail-gerelateerde standaarden groeit nog wel, maar daar ligt het adoptiepercentage nu nog lager dan voor web.

FSmeting2019maart-webstandaarden
FSmeting2019maart-mailstandaarden

Progressie

Bart Knubben, coördinerend adviseur bij Forum Standaardisatie, noemt het glas halfvol, maar constateert ook dat er nog werk aan de winkel is. "Veel overheden hebben enorme progressie gemaakt. We zien dat terug in de hoge adoptiegraad bij verschillende standaarden, of in een sterke groei bij andere standaarden die nu nog een minder hoge adoptiegraad hebben." "100 procent adoptie van de betreffende standaarden is het streven. Een adoptie van meer dan 90 procent kwalificeren we als positief, maar daarmee zijn we er uiteraard nog niet. Om voor de webstandaarden 100 procent adoptie te halen is het nodig om de achterblijvende organisaties individueel aan te spreken en te helpen. Bij de mailstandaarden DMARC (policy op quarantine of reject) en DANE zien we duidelijke groei: van 28 naar 37 procent voor DMARC en van 25 naar 41 procent voor DANE in half jaar tijd, al bieden die twee ook nu nog veel ruimte voor verbetering."

Streefbeeldafspraken

Dat de groei afneemt naarmate de adoptie van een standaard dichter bij de 100 procent komt (asymptotisch), lijkt een logische gang van zaken. Juist de laatste jaren zijn er zogenaamde streefbeeldafspraken gemaakt binnen het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) om een versnelde adoptie te bewerkstelligen naast de bestaande verplichtingen volgend uit de 'pas toe of leg uit'-lijst (ptolu). Volgens de streefbeeldafspraken hadden eind 2017 alle overheidsdomeinen TLS/HTTPS, DNSSEC en SPF/DKIM/DMARC moeten gebruiken. Eind 2018 hadden alle websites van TLS/HTTPS en HSTS conform de richtlijnen van NCSC moeten zijn voorzien. En eind dit jaar moeten alle mail-systemen STARTTLS/DANE en de strikte policy-instellingen voor SPF en DMARC ondersteunen. Uit bovenstaande diagrammen moge duidelijk zijn dat de einddoelen van deze afspraken niet zijn gehaald.

Basisniveau

"De internetstandaarden die we meten zijn onderdeel van een afgesproken basisniveau van beveiliging voor websites en e-mail," aldus Knubben. "Zonder gebruik van deze standaarden maak je het kwaadwillenden gemakkelijk om misbruik te maken van de inherente kwetsbaarheden in de protocollen van het domeinnaamsysteem, websites en e-mail. Iedere overheidsorganisatie heeft de verantwoordelijkheid om de basis op orde te brengen. Burgers, bedrijven en publieke organisaties moeten er immers op kunnen vertrouwen dat digitale communicatie met en tussen overheden veilig verloopt." "De resultaten van de meting zijn verspreid onder koepelorganisaties en security officers van de verschillende overheidslagen. De verantwoordelijkheid voor de implementatie van de informatieveiligheidstandaarden ligt immers bij de individuele overheidsorganisaties. Daarnaast proberen we de organisaties te helpen met het formuleren van hun behoefte richting dienstverleners. Daarbij focussen we ons op dit moment met name op de e-mailstandaarden DANE en DMARC (policy), omdat de adoptie daar relatief achter loopt op andere standaarden, en eind dit jaar de streefbeeldafspraak afloopt voor de 100 procent implementatie van SPF en DMARC met strikte policies, en STARTTLS/DANE."

Wettelijke verplichting

Forum Standaardisatie concludeert aan de hand van deze bevindingen echter dat volledige adoptie van de internetbeveiligingsstandaarden niet haalbaar is zonder aanvullende inspanningen. Daarbij zouden overheidsorganisaties en grotere dienstverleners individueel aangesproken moeten worden. Daarnaast zouden achterblijvers simpelweg via een wettelijke verplichting gedwongen kunnen worden om de beveiligingsstandaarden te implementeren. Voor TLS/HTTPS en HSTS conform de richtlijnen van NCSC wil het ministerie van Binnenlandse Zaken een verplichting invoeren via een AMvB bij de Wet digitale overheid. Of dit ook voor de andere standaarden nodig is, wordt na afloop van dit jaar bekeken. "Achterblijvers ("laggards") heb je eigenlijk altijd," zegt Knubben. "Belangrijk is dat software-leveranciers en dienstverleners deze standaarden makkelijk toepasbaar en -- beter nog -- tot de standaardinstelling (default) maken. Een uitbreiding van de incentive-regeling van SIDN bijvoorbeeld met DANE kan daar ook zeker bij helpen. Om de adoptie (ook buiten de overheid en internationaal) verder te brengen is samenwerking zoals we onder andere doen in het Platform Internetstandaarden en de Veilige E-mail Coalitie cruciaal. Wij blijven daar ons steentje aan bijdragen."

Reacties

  • donderdag 1 november 2018

    Over SIDN

    Nieuwe CEO Connectis

    Thumb-Remco-Coenen

    Per 1 november start Remco Coenen

    Lees meer
  • vrijdag 22 september 2017

    Veilig internet

    Veiliginternetten.nl: campagne om bewustzijn privacy te vergroten

    Thumb-Campagne-Je-deelt-meer-dan-je-weet

    Veiliginternetten.nl: je deelt meer dan je weet: wat doe jij voor je online privacy?

    Lees meer
  • maandag 12 maart 2018

    Kennis

    Weet wat je verzamelt

    De Algemene Verordening Gegevensbescherming raakt ook de domeinnaambranche

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.