Bevindingen meting medio 2020
Overheidsbreed zijn afspraken gemaakt om standaarden voor internetveiligheid en informatieveiligheid versneld te adopteren, de zogeheten streefbeeldafspraken. Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheidstandaarden bij overheidsorganisaties. Hierop volgen de belangrijkste bevindingen uit de meting die in maart 2020 is uitgevoerd.
Bevindingen meting medio 2019
De streefbeeldafspraken
Bevindingen meting medio 2020
Overheidsbreed zijn afspraken gemaakt om standaarden voor internetveiligheid en informatieveiligheid versneld te adopteren, de zogeheten streefbeeldafspraken. Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheidstandaarden bij overheidsorganisaties. Hierop volgen de belangrijkste bevindingen uit de meting die in maart 2020 is uitgevoerd.
De toepassingsgraad van informatieveiligheidstandaarden blijft toenemen maar het groeitempo vlakt af. Een significant deel van de gemeten websites en vooral e-mailservers voldoet nog niet (volledig) aan de afgesproken standaarden. Met name gelet op de achterblijvende mailstandaarden waarschuwt het Forum Standaardisatie voor risico op schade door phishing/spoofing, afluisteren en manipulatie van e-mailverkeer van de overheid.
Eind 2019 is de deadline van de derde overheidsbrede streefbeeldafspraak gepasseerd. Deze streefbeeldafspraak gaat over het implementeren van STARTTLS en DANE (om vertrouwelijkheid van mailverkeer te borgen) en het voldoende strikt configureren van SPF en DMARC (om mailspoofing tegen te gaan). In het afgelopen half jaar is de groei in adoptiegraad verder afgevlakt. Deze eindmeting van de streefbeeldafspraak laat een adoptiegraad van 75% zien.
Bij de mailstandaarden is met name het gebruik van een strikte DMARC policy (anti-phishing) en DANE (vertrouwelijkheid) zorgelijk. Beide groeien nog wel maar worden pas op de helft van de gemeten domeinnamen toegepast, terwijl de derde streefbeeldafspraak ten doel had dat alle overheden deze eind 2019 op orde zouden hebben. Dat betekent bijvoorbeeld dat mails van fraudeurs die afzenderadressen van de overheid misbruiken nog steeds bij burgers en bedrijven aankomen. Op die plekken waar DMARC nog steeds niet streng is afgesteld, kunnen bijvoorbeeld ook de e-mailadressen van bewindspersonen en bestuurders worden misbruikt.
We zien een neerwaartse trend in de toepassing van DNSSEC op mailservers, dit is een randvoorwaarde voor DANE. De oorzaak is dat een aantal provincies en gemeenten de overstap naar Microsoft Office 365 Exchange Online heeft gemaakt, dit product biedt vooralsnog geen ondersteuning voor DNSSEC en DANE. Dit is een duidelijk zorgpunt voor de vertrouwelijkheid van overheidsmail, omdat deze overheidsorganisaties niet altijd een versleuteld mailtransport kunnen afdwingen en tevens niet aan de streefbeeldafspraak omtrent het gebruik van DANE kunnen voldoen. Desondanks groeit het gebruik van DANE overheidsbreed nog steeds, en zien we bij het Rijk al een adoptiegraad van 75%.
De streefbeeldafspraken
In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) is afgesproken om met behulp van moderne internetveiligheidstandaarden websites en e-maildomeinen beter te beveiligen.
Onderdeel hiervan is ook de juiste configuratie van deze standaarden. Hiervoor lopen nu drie streefbeeldafspraken met verschillende deadlines. De huidige meting toont de stand van zaken met betrekking tot de adoptie van de standaarden medio 2019. De individuele testresultaten op de 548 domeinnamen zijn terug te vinden in deze PDF.
