Icoon klembord

Binnen de overheid zijn er adoptieafspraken over standaarden voor internetveiligheid en informatieveiligheid. Forum Standaardisatie meet ieder halfjaar de voortgang.

 

Streefbeeldafspraken

Op dit moment is de afspraak dat ALLE websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden.
Dit betekent dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren) maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn. Hieronder vindt u een overzicht van de gemaakte afspraken met een verwijzing naar de onderliggende notitie.

REALISATIEDATUM

WELKE STANDAARD GEADOPTEERD

VERWIJZING AFSPRAAK

uiterlijk EIND 2017

TLS/HTTPS: beveiligde verbindingen van websites

DNSSEC: domeinnaambeveiliging

SPF: anti-phishing van email

DKIM: anti-phishing van email

DMARC: anti-phishing rapportages

 

Streefbeeld afspraak voorgelegd mei 2015 op pagina 74.

 

Bevestiging afspraak streefbeeld uiterlijk eind 2017 op pagina 5.

ALLE overheidswebsites

uiterlijk EIND 2018

HTTPS, HSTS en TLS conform de NCSC richtlijn: beveiligde verbindingen van websites

Opname HTTPS, HSTS en TLS conform NCSC op de lijst inclusief de aanvulling van de streefbeeldafspraak op pagina 4.

 

Bevestiging realisatiedatum in het Digiprogramma 2018 op pagina 15.

 

uiterlijk EIND 2019

STARTTLS en DANE: encryptie van mailverkeer

SPF en DMARC: het instellen van strikte policies voor deze emailstandaarden.

 

OBDO notitie: instemmen met aanvullende streefbeeld afspraak voor e-mailstandaarden op pagina 2 beslispunt a-ii.

 

Wat is afgesproken

De afspraak over bovenstaande standaarden luidt als volgt:
Streefbeeldafspraak voor uiterlijk eind 2017:
- TLS wordt toegepast bij ALLE overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn;
- DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert
- DMARC, SPF en DKIM deze ‘e-mail’ standaarden worden toegepast voor ALLE overheidsdomeinnamen of deze nu wel of niet gebruik maken van mail.

Streefbeeldafspraak voor uiterlijk eind 2018:
- De afspraak is dat ALLE overheidswebsites HTTPS, HSTS en TLS inclusief de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd. Dit als aanvulling op de al bestaande adoptie-impuls van het Nationaal Beraad. Dit is herbevestigd in het Digiprogramma 2018 waar staat dat uiterlijk eind 2018 ALLE overheidswebsites voorzien zijn van HTTPS, HSTS en TLS. De afspraken gelden dus niet meer alleen voor transactiewebsites.

Streefbeeldafspraak voor uiterlijk eind 2019:
- Voor uiterlijk eind 2019 is er een streefbeeldafspraak voor de adoptie en configuratie van een aantal IV-standaarden specifiek voor e-mail. (STARTTLS en DANE en SPF en DMARC).
- STARTTLS en DANE: standaarden voor de beveiliging van mailverkeer middels encryptie.
- Het instellen van strikte policies voor SPF en DMARC. Zolang dat niet is ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. (Opm: Actieve policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC)

 

Over de meting

Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van informatieveiligheidstandaarden bij overheidsorganisaties. Sinds 2015 biedt het Platform Internet Standaarden de mogelijkheid om via de website internet.nl domeinen te toetsten op het gebruik van internet- en veiligheidstandaarden die op de ‘pas toe of leg uit’ lijst van Forum Standaardisatie staan. In datzelfde jaar is Forum Standaardisatie gestart met een halfjaarlijkse meting van overheidsdomeinen op het voldoen aan deze standaarden.
De metingen hebben ertoe geleid dat het Nationaal Beraad in mei 2015 en het OBDO in april 2018 de ambitie uitspraken om bovenstaande standaarden versneld te adopteren. Ieder half jaar wordt een nieuwe meting uitgevoerd. Januari 2018 was de eindmeting over de eerste streefbeeldafspraak over TLS, DNSSEC, SPF, DKIM en DMARC. De hierop volgende metingen zijn uitgebreid met de nieuwe streefbeeldafspraken.
 

Meetresultaten

De laatst uitgevoerde meting dateert van maart 2020, de resultaten vindt u in het rapport Meting Informatieveiligheidstandaarden overheid maart 2020.

De resultaten van de eerder uitgevoerde halfjaarlijkse metingen zijn te vinden in onze digitale magazines.

In deze magazines vindt u gemakkelijk te interpreteren statistieken over de toepassing van informatieveiligheidstandaarden. Zo bleek uit de meting van medio 2019 dat de adoptie opnieuw was gegroeid.

 

Meer informatie over welke domeinnamen zijn getoetst, wat het verschil is tussen de verschillende overheidslagen en hoe de meting tot stand is gekomen kunt u vinden in ons meest recente magazine van de Meting Informatieveiligheidstandaarden.

 

Om welke domeinen gaat het?

In de IV meting toetsen we de volgende groepen domeinen:
• De domeinen van de overheidsorganisatie die direct of indirect vertegenwoordigd zijn in het OBDO, zoals Ministeries, uitvoerders (de Manifestpartijen), Gemeenten, Provincies en Waterschappen en partijen die behoren tot Klein LEF
• De domeinen die horen bij voorzieningen van de Generieke Digitale Infrastructuur.
• De meest bezochte domeinnamen van overheden (en uitvoerders), denk hierbij ook aan een domeinnaam als politie.nl
 

Zelf meten?

Wilt u zelf uw domeinnaam meten ga naar www.internet.nl. Wilt u uw domeinnaam getoetst zien worden in de IV-meting of heeft u hier vragen over, neem dan contact op via info@forumstandaardisatie.nl