Doelstellingen internet-beveiligingsstandaarden niet gehaald

Forum Standaardisatie zet druk op overheidsorganisaties en leveranciers

De ondersteuning van moderne internetstandaarden door leveranciers moet beter, en de toepassing ervan moet makkelijker. Dat zegt Bart Knubben van Forum Standaardisatie naar aanleiding van de eerder dit jaar gepubliceerde Meting Informatieveiligheidstandaarden. "De groei zet weliswaar door, maar de gemaakte afspraken worden nog niet gehaald. De DNSSEC-beveiliging bij de aflevering van mail-berichten is bij gemeenten en provincies zelfs afgenomen. Die daling wordt veroorzaakt doordat een aantal van hen is overgestapt naar Office 365 Exchange online, terwijl die dienst geen DNSSEC en DANE ondersteunt. We zijn met Microsoft in gesprek om hier verandering in te brengen."

Forum Standaardisatie adviseert de publieke sector over het gebruik van open standaarden. Ze zijn ook de beheerder van de pas-toe-of-leg-uit (ptolu)-lijst, een opsomming van open standaarden die Nederlandse overheidsorganisaties moeten toepassen bij de aanschaf van ICT-producten en -diensten. Op die lijst vinden we standaarden als DNSSEC, DKIM/SPF/DMARC, HTTPS, HSTS, STARTTLS/DANE en IPv6. In aanvulling op deze verplichting zijn samen met het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) specifiek voor deze moderne (beveiligings-)standaarden zogenaamde streefbeeldafspraken gemaakt waarin deadlines zijn vastgesteld voor de invoering ervan.

ForumStandaardisatie-meting2019sep-Streefbeeldafspraken

Webstandaarden

Onderstaande diagrammen geven een overzicht van de laatste stand van zaken. Zoals je ziet groeit de adoptie van de webstandaarden heel zachtjes door richting de 100 procent. Daarbij constateert Forum Standaardisatie dat voor verdere groei de achterblijvende organisaties individueel aangesproken moeten worden.

ForumStandaardisatie-meting2019sep-Web

Mailstandaarden

Voor de mailstandaarden geldt hetzelfde – een afnemende groei – zij het dat de adoptie daar een stuk lager ligt. Met name DANE en DMARC (met policy 'reject') scoren met respectievelijk 45 en 49 procent heel laag. Of zoals Forum Standaardisatie het zelf formuleert: de helft van de mail-domeinen van de Nederlandse overheid is onvoldoende beschermd tegen spoofing. Hoewel betrokkenen volgens de streefbeeldafspraak in principe nog tot eind dit jaar hebben voor de implementatie, lijken de doelstellingen hier bij lange na niet gehaald te worden.

ForumStandaardisatie-meting2019sep-MailAntiphishing
ForumStandaardisatie-meting2019sep-MailVerbinding

DMARC reject

De 'reject'-policy van DMARC is volgens Knubben nu niet voor iedere organisatie eenvoudig te implementeren. "Met name grote organisaties met veel externe verzenders vinden het lastig om de legitieme mailstromen op een rijtje te zetten. Dat zegt wellicht iets over de mate waarin overheidsorganisaties grip hebben op hun IT-infrastructuur. Het is van belangrijk dat deze organisaties expertise inhuren of eigen personeel opleiden. Er zijn ondertussen meer dan genoeg overheden die hebben laten zien dat het kan." "De standaarden DKIM, SPF en DMARC zijn ook best complex. Je kunt niet makkelijk nieuwe mailserver-adressen autoriseren om voor jouw domein mail te versturen. Mail-providers en softwareleveranciers zouden het daarom nog makkelijker moeten maken om de standaarden toe te passen."

Brief naar Microsoft

De daling in het percentage van met DNSSEC beveiligde MX-ingangen (voor de aflevering van mail-berichten) wordt volgens Knubben voornamelijk veroorzaakt door een aantal gemeenten en provincies die zijn overgestapt naar Microsoft's Office 365 Exchange online. Deze dienst ondersteunt geen DNSSEC (en dus ook geen DANE). Hoe deze beweging zich verhoudt tot de verplichting om DNSSEC te eisen bij de inkoop van nieuwe infrastructuur en diensten wordt op dit moment uitgezocht. "Dat is inderdaad niet goed. Organisaties die Office 365 Exchange online gebruiken, handelen nu niet conform de verplichte standaarden." Deze zomer stuurde Strategisch Leveranciersmanagement (SLM) Microsoft Rijk een brief naar Microsoft Nederland, met daarin het formele verzoek om DNSSEC en DANE zo snel mogelijk in hun Office 365 mail-servers te implementeren. In de bijbehorende notitie aangaande de positie van de Nederlandse overheid wat betreft DNSSEC en DANE voor mail valt te lezen dat gebruikers van Office 365 nu niet kunnen voldoen aan de staande regelgeving en standaarden. Uit deze notitie blijkt ook dat de negatieve bijdrage van Office 365 op de ondersteuning van DANE ongeveer 10 procentpunt bedraagt.

Bestuurlijke druk

Niet alleen de ptolu-lijst en de streefbeeldafspraken maar ook de Nederlandse implementatie van de Europese GDPR (de Algemene Verordening Gegevensbescherming, AVG) verlangt van overheidsorganisaties dat ze hun mailuitwisseling (met daarin mogelijk privacygevoelige informatie) afdoende beveiligen. De 'Secure the connections of mail servers' factsheet van het Nationaal Cyber Security Centrum (NCSC), dat daarvoor STARTTLS/DANE aanraadt, fungeert daarbij als leidraad. Ook uit de Baseline Informatiebeveiliging Overheid (BIO) blijkt de verplichting tot het gebruik van DANE voor mail. "Het is niet eenvoudig om grote leveranciers als Microsoft in beweging te brengen," vertelt Knubben. "Daarvoor moet je afnemers bij elkaar brengen en hun vraag bundelen." Niet voor niets verwijst bovengenoemde notitie ook naar de Azure Feedback Forums en de Office 365 UserVoice Forums, waar DNSSEC to de meest gevraagde features behoort. Ook de halfjaarlijke metingen van Forum Standaardisatie helpen om zowel overheidsorganisaties als leveranciers die zich niet conformeren aan de geldende regels in de kijker te zetten. "Onze bevindingen worden begin volgend jaar ook gerapporteerd aan het OBDO en de Tweede Kamer. Op die manier wordt middels 'naming, faming & shaming' ook bestuurlijke druk opgebouwd." Of Microsoft gaat bewegen durft Knubben niet te zeggen. "De gesprekken lopen nog steeds en zijn constructief. We gaan ervan uit dat Microsoft de grote klantvraag naar deze moderne mail-beveiligingsstandaarden niet naast zich neer zal leggen."

Andere leveranciers

Ondertussen is Forum Standaardisatie ook in gesprek met andere leveranciers om de ondersteuning van de beveiligingsstandaarden te verbeteren. "Dat heeft eerder goed gewerkt bij Cisco," aldus Knubben. "Hun mail appliances doen inmiddels DANE-validatie alvorens berichten af te leveren. Op dit moment praten we onder andere ook met Proofpoint en Fortinet over de ondersteuning van DANE-validatie. Die gesprekken verlopen positief. Beide hebben laten weten DANE te zullen implementeren. Tegelijkertijd blijft het van belang dat overheden en andere organisaties ook zelf aan hun leverancier blijven vragen om deze beveiligingsstandaarden."

Reacties

  • maandag 19 maart 2018

    Over SIDN

    Het internet functioneert bij gratie van standaarden

    Magazine+Standaardwerken+Het+belang+van+verbinden-thumbnail

    Een magazine vol interviews en praktijkcases over het gebruik van openstandaarden

    Lees meer
  • vrijdag 12 april 2019

    Over SIDN

    Zet IPv6 niet uit!

    Thumb-close-up-switch-on-off

    Symptoombestrijding die later grotere ellende oplevert

    Lees meer
  • woensdag 10 juli 2019

    Veilig internet

    Een veilig Internet of Things is zo makkelijk nog niet

    IoT

    Europese wetgeving nog in kinderschoenen

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.