Overheidsbreed zijn afspraken gemaakt om standaarden voor internetveiligheid en informatieveiligheid versneld te adopteren, de zogeheten streefbeeldafspraken. Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheidstandaarden bij overheidsorganisaties. Hierop volgen de belangrijkste bevindingen uit de meting die in september 2019 is uitgevoerd.

In algemene zin is gebruik van de informatieveiligheidstandaarden het afgelopen jaar wederom gegroeid. De webstandaarden worden gemiddeld beter toegepast dan de mailstandaarden (92% vs 77%). Waar de gemiddelde groei in gebruik van mailstandaarden in de vorige meting nog hoger was dan dat van de webstandaarden, is deze inmiddels gelijk met ongeveer 3% ten opzichte van een half jaar geleden.

Eind 2019 loopt de deadline van de derde overheidsbrede streefbeeldafspraak af. Deze streefbeeldafspraak gaat over het implementeren van STARTTS en DANE (om vertrouwelijkheid van mailverkeer te borgen) en het voldoende strikt configureren van SPF en DMARC (om mailspoofing tegen te gaan). In het afgelopen half jaar is de adoptiegraad van deze standaarden met gemiddeld 5% gegroeid. Daarmee ligt het groeitempo iets lager dan dat van de vorige meting, waar we nog 7% groei zagen. 

Het Rijk heeft een flinke inhaalslag gemaakt met betrekking tot de standaarden voor het versleutelen van webverkeer (HTTPS en HSTS). Dit komt doordat een aantal doorverwijzende domeinen (redirects) van de ministeries recent voorzien zijn van HTTPS. Het gaat om domeinen die voornamelijk voor mail worden gebruikt, waar geen website op gehost wordt, maar die doorverwijzen naar een ander domein. Bijvoorbeeld minbzk.nl dat doorverwijst naar www.rijksoverheid.nl.

We zien een neerwaartse trend in de toepassing van DNSSEC op mailservers, dit is een randvoorwaarde voor DANE. De oorzaak is dat een aantal provincies en gemeenten de overstap naar Microsoft Office 365 Exchange Online heeft gemaakt, dit product biedt vooralsnog geen ondersteuning voor DNSSEC en DANE. Dit is een duidelijk zorgpunt voor de vertrouwelijkheid van overheidsmail, omdat deze overheidsorganisaties niet altijd een versleuteld mailtransport kunnen afdwingen en tevens niet aan de streefbeeldafspraak omtrent het gebruik van DANE kunnen voldoen. Desondanks groeit het gebruik van DANE overheidsbreed nog steeds, en zien we bij het Rijk al een adoptiegraad van 75%.

De streefbeeldafspraken

In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) is afgesproken om met behulp van moderne internetveiligheidstandaarden websites en e-maildomeinen beter te beveiligen.

Onderdeel hiervan is ook de juiste configuratie van deze standaarden. Hiervoor lopen nu drie streefbeeldafspraken met verschillende deadlines. De huidige meting toont de stand van zaken met betrekking tot de adoptie van de standaarden medio 2019. De individuele testresultaten op de 548 domeinnamen zijn terug te vinden in deze PDF.