Icoon klembord

Binnen de overheid zijn er adoptieafspraken over standaarden voor internetveiligheid en informatieveiligheid. Forum Standaardisatie meet ieder halfjaar de voortgang. Is uw website up-to-date?

 

Streefbeeldafspraken

Op dit moment is de afspraak dat ALLE websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phising en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phising van mail actief wordt bestreden.
Dit betekent dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren) maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn. Hieronder vindt u een overzicht van de gemaakte afspraken met een verwijzing naar de onderliggende notitie.

REALISATIEDATUM

WELKE STANDAARD GEADOPTEERD

VERWIJZING AFSPRAAK

uiterlijk EIND 2017

TLS/HTTPS: beveiligde verbindingen van websites

DNSSEC: domeinnaambeveiliging

SPF: anti-phishing van email

DKIM: anti-phishing van email

DMARC: anti-phishing rapportages

 

Streefbeeld afspraak voorgelegd mei 2015.

 

Bevestiging afspraak streefbeeld uiterlijk eind 2017.

ALLE overheidswebsites

uiterlijk EIND 2018

HTTPS, HSTS en TLS conform de NCSC richtlijn: beveiligde verbindingen van websites

Opname HTTPS, HSTS en TLS conform NCSC op de lijst inclusief de aanvulling van de streefbeeldafspraak

 

Bevestiging realisatiedatum in het Digiprogramma 2018.

 

uiterlijk EIND 2019

STARTTLS en DANE: encryptie van mailverkeer

SPF en DMARC: het instellen van strikte policies voor deze emailstandaarden.

 

OBDO notitie: instemmen met aanvullende streefbeeld afspraak voor e-mailstandaarden

 

Wat is afgesproken

De afspraak over bovenstaande standaarden luidt als volgt:
Streefbeeldafspraak voor uiterlijk eind 2017:
- TLS wordt toegepast bij ALLE overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn;
- DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert
- DMARC, SPF en DKIM deze ‘e-mail’ standaarden worden toegepast voor ALLE overheidsdomeinnamen of deze nu wel of niet gebruik maken van mail.

Streefbeeldafspraak voor uiterlijk eind 2018:
- De afspraak is dat ALLE overheidswebsites HTTPS, HSTS en TLS inclusief de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd. Dit als aanvulling op de al bestaande adoptie-impuls van het Nationaal Beraad. Dit is herbevestigd in het Digiprogramma 2018 waar staat dat uiterlijk eind 2018 ALLE overheidswebsites voorzien zijn van HTTPS, HSTS en TLS. De afspraken gelden dus niet meer alleen voor transactiewebsites.

Streefbeeldafspraak voor uiterlijk eind 2019:
- Voor uiterlijk eind 2019 is er een streefbeeldafspraak voor de adoptie en configuratie van een aantal IV-standaarden specifiek voor e-mail. (STARTTLS en DANE en SPF en DMARC).
- STARTTLS en DANE: standaarden voor de beveiliging van mailverkeer middels encryptie.
- Het instellen van strikte policies voor SPF en DMARC. Zolang dat niet is ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. (Opm: Actieve policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC)

 

Over de meting

Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van informatieveiligheidstandaarden bij overheidsorganisaties. Sinds 2015 biedt het Platform Internet Standaarden de mogelijkheid om via de website internet.nl domeinen te toetsten op het gebruik van internet- en veiligheidstandaarden die op de ‘pas toe of leg uit’ lijst van Forum Standaardisatie staan. In datzelfde jaar is Forum Standaardisatie gestart met een halfjaarlijkse meting van overheidsdomeinen op het voldoen aan deze standaarden.
De metingen hebben ertoe geleid dat het Nationaal Beraad in mei 2015 en het OBDO in april 2018 de ambitie uitspraken om bovenstaande standaarden versneld te adopteren. Ieder half jaar wordt een nieuwe meting uitgevoerd. Januari 2018 was de eindmeting over de eerste streefbeeldafspraak over TLS, DNSSEC, SPF, DKIM en DMARC. De hierop volgende metingen zijn uitgebreid met de nieuwe streefbeeldafspraken.
 

Meetresultaten

De resultaten van de halfjaarlijkse metingen zijn te vinden in onze digitale magazines op https://magazine.forumstandaardisatie.nl/nl_NL/overview.html Begin 2018 is de laatste meting uitgevoerd. De gemiddelde adoptiegraad was ten tijde van de eerste meting 35%, de laatste meting geeft een adoptiepercentage aan van ruim 80%.

Per overheidslaag uitgesplitst zien we het volgende:

Meer informatie over welke domeinen zijn getoetst en hoe de meting tot stand is gekomen kunt u vinden in ons meest recente digitale magazine over de IV-meting: https://magazine.forumstandaardisatie.nl/nl_NL/6322/90026/cover.html.

 

Om welke domeinen gaat het?

In de IV meting toetsen we de volgende groepen domeinen:
• De domeinen van de overheidsorganisatie die direct of indirect vertegenwoordigd zijn in het OBDO, zoals Ministeries, uitvoerders (de Manifestpartijen), Gemeenten, Provincies en Waterschappen en partijen die behoren tot Klein LEF
• De domeinen die horen bij voorzieningen van de Generieke Digitale Infrastructuur.
• De meest bezochte domeinnamen van overheden (en uitvoerders), denk hierbij ook aan een domeinnaam als politie.nl
 

Zelf meten?

Wilt u zelf uw domeinnaam meten ga naar www.internet.nl. Wilt u uw domeinnaam getoetst zien worden in de IV-meting of heeft u hier vragen over, neem dan contact op via info@forumstandaardisatie.nl