Overheid kwetsbaar door onvoldoende ondersteuning informatieveiligheidstandaarden

Content

Forum Standaardisatie onderzoekt ieder half jaar het gebruik van verplichte standaarden voor de beveiliging van websites en e-mail bij overheidsorganisaties. Het gebruik van verplichte standaarden voor de beveiliging van overheidswebsites en overheidsmail toont in het afgelopen halfjaar een bescheiden groei van gemiddeld 2%. Ondanks gestage groei in de afgelopen jaren, zijn de streefbeeldafspraken uit 2017, 2018 en 2019 nog niet gehaald.

Nepmails blijven mogelijk

Doordat afgesproken anti-phishing standaarden nog niet zijn geadopteerd, komt valse e-mail, verstuurd uit naam van (bijv. bestuurders van) overheidsorganisaties, nog steeds bij burgers, bedrijven en ambtenaren aan. Met alle risico’s op ransomware, ceo-fraude, phishing en desinformatie van dien.

Om phishingmails uit naam van overheidsorganisaties te voorkomen, moet bijna een kwart van de halfjaarlijks gemeten domeinen nog een strikt DMARC-beleid instellen. Overheden hadden dit voor eind 2019 al moeten regelen.

Meer gebruik van cloudmail

De e-mailvertrouwelijkheidstandaarden DNSSEC en DANE (versleuteling van e-mailtransport) tonen een lichte terugval door toenemend gebruik van clouddiensten van voornamelijk Amerikaanse (moeder)bedrijven, die deze standaarden nog niet ondersteunen. Het is cruciaal dat overheden die nog niet voldoen aan de verplichtingen, hun leverancier blijven vragen om ondersteuning van alle standaarden. De afspraak was dat overheden uiterlijk eind 2019 ondersteuning hadden voor deze standaarden.

Microsoft werkt voor haar cloudmaildienst Exchange Online aan de implementatie van DNSSEC en DANE. Statistieken van SIDNlabs tonen aan dat Microsoft bezig is met de uitrol van DANE voor uitgaande mail. Ondersteuning voor inkomende mail laat langer op zich wachten, dit staat gepland voor eind 2022, tot die tijd hebben overheden een verhoogd risico op afluisteren van e-mailverkeer.

Onlangs heeft Forum Standaardisatie een gesprek met Google Nederland gehad waarin ook de ondersteuning van DANE in Google Workspace opnieuw onder de aandacht is gebracht. Forum Standaardisatie heeft daarnaast contact met andere veelvoorkomende dienstverleners van cloudmail voor de overheid.

Encryptie niet overal toekomstvast

De TLS-configuratie is bij bijna een kwart van de e-mailservers, en bij één op de tien overheidswebsites, niet toekomstvast geconfigureerd. Overheden dienen hun TLS-verbindingen te configureren op basis van de ICT-beveiligingsrichtlijnen voor Transport Layer Security van het NCSC.

IPv6 blijft achter bij streven

De IPv6 adoptie voor websites en e-mailsystemen is het laatste halfjaar nagenoeg stilgevallen. Het groeitempo komt te kort om het streefbeeld van 100% adoptie uiterlijk eind dit jaar, dat in april 2020 in het OBDO is afgesproken, te gaan halen. Mede met steun van IPO, VNG, CIO-Rijk en het Forum Standaardisatie, is het IPv6 Team Overheid NL beschikbaar voor alle overheidsorganisaties die ondersteuning willen bij de overgang.

Sinds september is er wel wat beweging. Dat is nog niet terug te zien in bovenstaande statistieken (meting september). Zo heeft rijksdienstverlener SSC-ICT haar netwerk aangepast om IPv6 verkeer te kunnen verwerken. Denk hierbij aan DNS servers, webservers en mailservers. Hierdoor zijn veel rijksorganisaties dit jaar nog benaderbaar via IPv6.

Overheidsorganisaties aan zet

Implementatie van standaarden is primair een verantwoordelijkheid van individuele overheden. Zij dienen de standaarden zelf te implementeren waar mogelijk. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed is het van belang de dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning.

Overheden wordt verzocht om de ontvangen leveranciersplanningen ter informatie te delen met het Forum Standaardisatie. Forum Standaardisatie is bereid om desgewenst het gesprek aan te gaan met grotere overheidsleveranciers die nog niet te voldoen te coördineren.

Als de huidige leverancier te weinig medewerking verleent, zouden overheden moeten overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen.

Download het rapport

U kunt het rapport van de meting downloaden via de volgende knop. Zodra we een digitaal toegankelijk alternatief kunnen aanbieden, vervangen we het achterliggende pdf-document voor het alternatief. Hou hier rekening mee met eventueel doorlinken.