Achtergrondinformatie

Achtergrondinformatie

Waarom informatieveiligheidstandaarden?

Cybercriminaliteit neemt toe. De Cyber Security Raad, het Nationaal Cyber Security Centrum en de Fraudehelpdesk waarschuwen er eenstemmig voor. De rijksoverheid, gemeenten en andere overheden kunnen veel schade ondervinden van online fraude.  De overheid moet de gegevens die zij heeft over haar burgers en bedrijven, en zichzelf, beschermen tegen cybercriminaliteit door het toepassen van onder meer informatieveiligheid-standaarden.

Welke informatieveiligheidstandaarden?

We meten het gebruik van belangrijke informatieveiligheidstandaarden: DNSSEC voorkomt dat cybercriminelen het internetverkeer van uw organisatie kunnen omleiden naar valse websites of e-mail postbussen. TLS, HTTPS en HSTS zorgen ervoor dat gebruikers de authenticiteit van de website kunnen controleren en dat hackers de internetverbinding met een website of e-mail server niet kunnen afluisteren en zo gevoelige informatie kunnen onderscheppen. De combinatie van SPF, DKIM en DMARC bestrijdt e-mailfraude waaronder phishing en de verspreiding van gijzelsoftware. STARTTLS en DANE zorgen ervoor dat mailverkeer middels encryptie onderweg niet kan worden afgeluisterd. Naast dat we meten of de standaarden worden ondersteund, meten we ook of de standaarden correct zijn geïmplementeerd.

De afspraak

Het Nationaal Beraad Digitale Overheid maakte in februari 2016 de afspraak dat hele overheid uiterlijk 1 januari 2018 vijf informatieveiligheidstandaarden - daar waar van toepassing- heeft ingezet bij haar websites en e-mails. Aanvullend hierop zijn door het Nationaal Beraad afspraken gemaakt voor het veilig configureren van alle overheidswebsites conform NCSC, met als deadline eind 2018. In april 2018 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) afspraken gemaakt over de veilige configuratie van de e-mailstandaarden. Uiterlijk eind 2019 moeten deze zijn geïmplementeerd. Meer informatie over deze afspraken vindt u op de volgende pagina van dit magazine.

Geteste domeinen

In de meting van medio 2019 hebben we 548 domeinnamen getest op de zowel de mail- als webstandaarden. Dit zijn niet alle domeinnamen van de overheid, maar is een representatieve deelwaarneming van voornamelijk hoofddomeinen uit alle overheidslagen. De overheid beschikt over enkele duizenden domeinnamen, het vermoeden bestaat dat deze standaarden minder consequent worden toegepast op secundaire domeinnamen. Het is echter van belang dat álle domeinen van de overheid goed worden beveiligd. De mailstandaarden testen we ook op domeinen waarvan geen e-mail wordt verzonden, want ook die domeinen kan een cybercrimineel misbruiken voor e-mailfraude. De webstandaarden testen we ook op domeinen die niet primair gebruikt worden als website omdat ze bijvoorbeeld doorverwijzen naar een ander hoofddomein. De beginschakel dient ook veilig te zijn.

Uitvoering van de meting

Voor de meting maken wij gebruik van Internet.nl van het Platform Internetstandaarden. In dit platform participeren verschillende partners uit de internetgemeenschap en de Nederlandse overheid. Het uitgangspunt is dat Internet.nl de adviezen van Forum Standaardisatie en NCSC met betrekking tot de Internetstandaarden volgt. Een aandachtspunt is dat in de meting (nog) niet gekeken wordt naar de validatie op de standaarden. Dat betekent dat validatie van DNSSEC door een DNS-resolver, validatie van de DMARC, DKIM en SPF kenmerken door ontvangende mailservers, en validatie van DANE kenmerken door verzendende mailservers niet zijn getest. In de loop van 2020 zal de functionaliteit van Internet.nl worden aangepast zodat het mogelijk zal zijn om te controleren of DMARC, DKIM, SPF en DANE validatie wordt toegepast.

Samen kom je verder

Het Forum standaardisatie gelooft dat je samen verder komt. Het meewegen van allerlei belangen en het creëren van draagvlak is essentieel op het gebied van digitale ontwikkeling en noodzakelijk om de open standaarden ook daadwerkelijk geïmplementeerd te krijgen.
Volledig scherm