Nauwelijks groei internetveiligheidstandaarden overheid, behalve voor internetroutering

Content

Een groot deel van de internetdomeinnamen van de overheid voldoet nog altijd niet aan de afgesproken internetveiligheidstandaarden. Dat geldt ook voor de het tweetal informatieveiligheidstandaarden voor websites (HTTPS en HSTS) dat wettelijk verplicht is. De gebrekkige toepassing brengt onnodig risico's met zich mee voor de overheid en voor gebruikers van overheidsdiensten. Lichtpunt is de standaard voor internetroutering (RPKI) die inmiddels breed wordt toegepast. Forum Standaardisatie roept op tot meer dwingende sturing op domeinnamen en het beter integreren van open standaarden in het leveranciersmanagement.

Veilig e-mailtransport cruciaal voor vertrouwelijke overheidscommunicatie

Een onderdeel van deze standaarden zijn de e-mail gerelateerde 'anti‑phishing' standaarden en 'veilige e‑mailtransport' standaarden. Slechts 4 van de 10 e-maildomeinnamen voldoen aan deze afgesproken standaarden.  Zonder gebruik van deze 'veilige e-mailtransport' standaarden kan e-mail worden afgeluisterd via een man-in-the-middle-aanval. Een zeer serieus incident in 2020 waarbij e‑mail van de Tsjechische overheid werd afgeluisterd via een man-in-the-middle-aanval (in aanloop naar het voorzitterschap van de Raad van de Europese Unie) laat zien dat dit ook daadwerkelijk kan gebeuren. Hierbij is op te merken dat dit soort incidenten vermoedelijk vaker voorkomt, maar niet altijd zal worden ontdekt en publiekelijk wordt gemaakt.

Voor een aanzienlijk deel is de achterblijvende toepassing te verklaren doordat grote cloudproviders het DANE protocol nog niet toepassen. Het gaat met name om Microsoft dat inmiddels door meer dan 30% van de overheden wordt gebruikt. Vanuit de overheid wordt al een aantal jaar bij Microsoft aangedrongen op implementatie die nu gepland zou staan voor medio dit jaar.

Gebruik beveiligde internetroutering (RPKI) stijgt boven de 91%

Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet-geautoriseerd netwerk. Overheidsbreed is afgesproken om deze beveiligde internetroutering vóór eind 2024 te implementeren. Inmiddels is RPKI volledig geïmplementeerd bij 92% van de overheidwebsites en 91% van de e-maildomeinnamen.

Logius beheert het Nederlandse overheidsbrede IPv6-nummerplankader en geeft op verzoek IPv6-adressen uit aan overheidsorganisaties. Logius verplicht inmiddels bij het aanvragen van nieuwe IP-adressen het instellen van RPKI . Zo is de kraan dichtgedraaid en komen er geen overheids-IPv6-adressen bij die niet voldoen aan deze standaard.

Meer dan 10.000 domeinnamen gecontroleerd

In deze meting zijn meer domeinnamen, namelijk 10.943, gecontroleerd dan in voorgaandevorige metingen. In de vorige meting waren dit 5.190 overheidsdomeinen. Deze bijna-verdubbeling komt voornamelijk door het toevoegen van het Register Internetdomeinen Overheid (RIO). Het RIO is momenteel alleen gevuld met domeinen en domeinregistraties van de Rijksoverheid. Dit zijn nog niet alle overheidsdomeinnamen; het totaalportfolio omvat nog vele duizenden domeinen meer. De domeinnamen van decentrale overheden ontbreken grotendeels. Zowel de overheid als ook de burger hebben daardoor geen volledig overzicht op het totale portfolio aan overheidsdomeinnamen.

Adviezen Forum Standaardisatie

Forum Standaardisatie heeft de volgende adviezen:

  1. aan BZK, KOOP/Logius en decentrale overheidsorganisaties: Maak een afspraak over wanneer alle decentrale overheden moeten zijn aangesloten op het centrale Register Internetdomeinen Overheid (RIO).
  2. aan alle overheidsorganisaties: Organiseer regie op internetdomeinen binnen individuele overheidsorganisaties. Zet in op een groeistop van het domeinnaamportfolio en stuur idealiter op een inkrimping.
  3. aan Forum Standaardisatie en aan overheidsorganisaties: Inventariseer waar gebruik wordt gemaakt van Microsoft Office 365 Exchange Online en combineer vanaf juni 2024 de configuratie van zowel DANE als IPv6.
  4. aan alle overheidsorganisaties: Zorg dat open standaarden onderdeel zijn van het leveranciersmanagement. Vraag leveranciers periodiek naar de planning voor ondersteuning van standaarden. Stuur op implementatie van RPKI voor het einde van 2024 om aan de adoptieafspraak te voldoen.

Lees ook