Content
In de verzamelbrief (pagina 26-27) naar de Tweede Kamer over de uitvoering van de Werkagenda Waardengedreven Digitaliseren geeft staatssecretaris Alexandra van Huffelen aan, dat het belang om open standaarden toe te passen in de publieke sector met de vergaande digitalisering van de samenleving, verder toegenomen is.
Forum Standaardisatie onderzoekt jaarlijks het gebruik van de standaarden van de 'Pas toe of leg uit'-lijst. De laatste meting laat zien dat slechts 6 op de 10 van de onderzochte domeinnamen voldoen aan de verplichtte beveiligingsstandaarden.
Het Forum Standaardisatie ondersteunt vanzelfsprekend de oproep van de staatssecretaris dat het implementatietempo van de informatieveiligheidstandaarden omhoog moet en dat blijvende inspanning nodig is om te zorgen dat er aan de standaarden voldaan wordt. In dit artikel leggen we dat uit en geven we een aantal cijfers uit de onderzoeken.
Wettelijke verplichte standaarden
Voor de nieuwe wettelijke verplichte standaarden op grond van de Wet digitale overheid (Wdo) is op 1 juli een Nulmeting van de standaarden HTTPS en HSTS uitgevoerd (‘het slotje op websites'). De nieuwe meting laat zien dat ondanks het wettelijke verplicht worden, er op 1 juli nog geen significante verbetering te zien was in de meting. De adoptie van open standaarden blijft langzaam groeien, maar een te groot deel loopt nog achter. Het ministerie van Sociale Zaken en Werkgelegenheid laat met een stijging van 20 procentpunt op de adoptie van de webbeveiligingsstandaarden zien dat grote verbeteringen wel mogelijk en uitvoerbaar zijn.
De Nulmeting HTTPS en HSTS van 1 juli 2023 is gepubliceerd op de Digitale Overheid pagina Wettelijk verplichte standaarden.
RPKI nieuw in de meting
RPKI is een standaard voor het beveiligen van de routing infrastructuur. Er is een overheidsbrede afspraak gemaakt om deze standaard voor het eind van 2024 te implementeren. De adoptie van RPKI heeft een grote groei van 8 tot 11 procentpunt in 6 maanden. Daarmee lijkt deze afspraak op schema om te worden behaald als de huidige groei aanhoudt.
Anti-phishing breder gemeten
Voor het eerst is ook breed gekeken naar anti-phishing standaarden op secundaire domeinnamen zoals 'www'. Doordat deze domeinnamen nu zijn meegenomen vallen deze cijfers vooral voor de decentrale overheden slechter uit. Positief valt de centrale overheid op: in de grotendeels centraal beheerde DNS worden anti-phishing standaarden ook voor secundaire domeinnamen meegenomen.
Beperk domeinnaamportfolio
Het advies van Forum Standaardisatie is ook te kijken naar het beperken van het domeinnaamportfolio om de adoptieopgave behapbaar te maken en te houden. Samenvoeging van verschillende websites, of het vaker inzetten van subdomeinen in plaats van nieuwe domeinnamen, verkleinen het digitale oppervlak waar de standaarden moeten worden geïmplementeerd. Beperk zo veel mogelijk de registratie van nieuwe domeinnamen.
Lees ook:
- Volledige rapportage Meting Informatieveiligheidstandaarden medio 2023 incl. IPv6
- Bijlage Informatieveiligheidstandaarden medio 2023: individuele resultaten per domeinnaam
- De Nulmeting HTTPS en HSTS van 1 juli 2023 gepubliceerd op de Digitale Overheid pagina Wettelijk verplichte standaarden
- Streefbeeldafspraken informatieveiligheid (incl. IPv6)
- 5 basisprincipes voor regie op internetdomeinen
- Monitor Open Standaarden 2022