2018-05-01

Alle overheden moeten STARTTLS en DANE (tegen afluisteren e-mail) en strikte instellingen voor DMARC en SPF (tegen e-mail phishing) implementeren voor eind 2019.
Op 18 april 2018 heeft het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op advies van Forum Standaardisatie met deze nieuwe streefbeeldafspraak ingestemd.

De nieuwe afspraak volgt op de eerdere succesvolle overheidsbrede streefbeeldafspraak die eind 2017 afliep. Deze laatste afspraak ging over de implementatie van DNSSEC (domeinnaambeveiliging), TLS (beveiligde websiteverbindingen voor transactiewebsites) en DMARC+DKIM+SPF (tegen e-mailphishing). In 2,5 jaar tijd is voor deze standaarden de gemiddelde adoptiegraad onder overheden toegenomen van 35% naar meer dan 80%. Via de koepels zullen de achterblijvers worden aangesproken en zonodig geholpen worden om alsnog te voldoen aan de streefbeeldafspraak.

De eerdere streefbeeldafspraak heeft gezorgd voor een forse toename van het gebruik van informatieveiligheidstandaarden. "Dat is natuurlijk geweldig", aldus Nico Westpalm van Hoorn, voorzitter van Forum Standaardisatie. "Door gezamenlijk deze beweging te maken is de overheid veiliger en betrouwbaarder geworden. Het is tijd voor een nieuwe stap om als overheid de beschikbare informatieveiligheidstandaarden nog meer te benutten."

Naast de voorgaande afspraken bestaat ook nog de lopende overheidsbrede afspraak om HTTPS+HSTS conform NCSC-richtlijnen in te stellen. Op die manier moeten verbindingen met alle overheidswebsites voor eind 2018 beveiligd zijn.

Alle genoemde standaarden staan ook op de 'pas toe of leg uit'-lijst die overheden verplicht om bij aanschaf van nieuwe ICT-systemen te kiezen voor deze standaarden. Deze afspraken gaan verder door uiterlijke implementatiedata voor alle overheden te bepalen.

Forum Standaardisatie blijft metingen uitvoeren en over de adoptievoortgang van de verplichte standaarden rapporteren aan het OBDO. Momenteel wordt ook de lijst van te meten overheidsdomeinen geactualiseerd en uitgebreid. Bureau Forum Standaardisatie verneemt het graag als u bepaalde domeinnamen van uw organisatie wilt laten opnemen op de lijst.
Indien u inhoudelijk vragen over de standaarden heeft dan is Bureau Forum Standaardisatie beschikbaar voor advies.

Overzicht van streefbeeldafspraken informatieveiligheidstandaarden:
• Voor eind 2017: DNSSEC, TLS en DMARC+DKIM+SPF
• Voor eind 2018: HTTPS+HSTS conform NCSC-richtlijnen
• Voor eind 2019: STARTTLS+DANE en strikte instellingen voor DMARC (p=reject of quarantine) en SPF (~all of -all)

Achtergrondinformatie:
• Meting informatieveiligheidstandaarden, begin 2018
• Evaluatie en vervolg streefbeeldafspraak IV-standaarden
• Beveilig verbindingen van mailservers
• Bescherm domeinnamen tegen phishing