Communicatie tussen burgers en de overheid geschiedt in toenemende mate digitaal. Op termijn streeft de overheid ernaar alleen nog digitaal te communiceren. Burgers moeten erop kunnen vertrouwen dat deze digitale communicatie veilig verloopt. Binnen de overheid zijn implementatieafspraken gemaakt over beveiligingsstandaarden voor mailservers en websites.
Auteurs: Samuel Wiegerinck & Wieger Weijland
De overheid hanteert open beveiligingsstandaarden. Dit zijn standaarden die voor eenieder vrijelijk te verkrijgen en gebruiken zijn. Hierdoor wordt de uitwisselbaarheid en veiligheid in vertrouwelijke communicatie binnen de overheid, maar ook naar haar burgers, vergroot. Binnen de overheid zijn de navolgende implementatie(streef)afspraken gemaakt:
Implementatie-deadline |
Betreffende standaard |
Uitleg |
Toepassing |
Uiterlijk eind 2017 |
TLS / HTTPS |
Connectiviteitsbeveiliging die versleutelde verbindingen bewerkstelligt. |
(transactie)websites |
DNSSEC |
Domeinnaambeveiliging die ertoe waakt dat iedere bezoeker die naar een website navigeert, daadwerkelijk bij die website uitkomt. |
domeinen |
|
SPF, DKIM, DMARC |
Anti-phishingbeveiliging die de legitimiteit van e-mailafzenders verifieert. |
mailservers |
|
Uiterlijk eind 2018 |
HTTPS, HSTS en TLS (NCSC) |
Connectiviteitsbeveiliging die versleutelde verbindingen bewerkstelligt en waakt dat géén onversleutelde verbinding gemaakt kan worden. |
alle websites |
Uiterlijk eind 2019 |
STARTTLS en DANE |
Connectiviteitsbeveiliging die versleutelde verbindingen tussen mailservers bewerkstelligt. |
mailservers |
SPF, DKIM en DMARC (STRICT) |
Anti-phishingbeveiliging die de legitimiteit van e-mailafzenders verifieert. |
mailservers |
Het nadeel van gesloten standaarden (het tegenovergestelde van open standaarden) is dat ze in de praktijk niet altijd foutloos op elkaar aansluiten. Deze incompatibiliteit kan ertoe leiden dat communicatie niet, niet veilig of onjuist wordt overgedragen. Dit brengt enorme veiligheidsrisico’s met zich mee, waardoor de implementatie van gesloten standaarden (zowel binnen als buiten de overheid) ongewenst is.
Om het gebruik van de open standaarden binnen de publieke sector te stimuleren, is de organisatie Forum Standaardisatie (‘Forum’) in het leven geroepen. Sinds 2012 meet Forum het toepassen van de beveiligingsstandaarden binnen de overheid en bewaakt zij de naleving van de gemaakte afspraken.
Op 24 april heeft het Forum een metingsrapport gepubliceerd waarin 563 overheidsdomeinen zijn gecontroleerd op de implementatie van voornoemde standaarden. Het gaat hier om een steekproef. De overheid is namelijk verantwoordelijk voor duizenden domeinen en hanteert géén sluitend domeinenoverzicht. Het metingsrapport geeft dus slechts een indicatie en geen garantie.
In het metingsrapport van het Forum is een duidelijke verbetering zichtbaar onder de gecontroleerde domeinnamen van overheidsorganisaties over het afgelopen jaar. Grafieken uit dit rapport zijn onder dit blogartikel opgenomen. Ondanks de grote verbetering zijn de deadlines van 2017 en 2018 niet gehaald. Het Forum stelt dat een volledige implementatie van de standaarden lastig te realiseren is zonder aanvullende inspanningen binnen de overheid. Het wettelijk verplichten van informatieveiligheidsstandaarden zou kunnen helpen om de achterblijvers te bewegen tot implementatie.
Wat ons betreft geeft de geconstateerde groei een duidelijk signaal af, zowel in de publieke als private sector. De digitale communicatie zal slechts verder toenemen. Hierdoor is een brede implementatie van open beveiligingsstandaarden voor iedereen van belang.
Dit artikel is ook te vinden in het dossier Digitale transformatie en Informatiebeveiliging
