Communicatie tussen burgers en de overheid geschiedt in toenemende mate digitaal. Op termijn streeft de overheid ernaar alleen nog digitaal te communiceren. Burgers moeten erop kunnen vertrouwen dat deze digitale communicatie veilig verloopt. Binnen de overheid zijn implementatieafspraken gemaakt over beveiligingsstandaarden voor mailservers en websites. De overheid hanteert open beveiligingsstandaarden. Dit zijn standaarden die voor eenieder vrijelijk te verkrijgen en gebruiken zijn. Hierdoor wordt de uitwisselbaarheid en veiligheid in vertrouwelijke communicatie binnen de overheid, maar ook naar haar burgers, vergroot. Binnen de overheid zijn de navolgende implementatie(streef)afspraken gemaakt:
Implementatie-deadline
Betreffende standaard
Uitleg
Toepassing
Uiterlijk eind 2017
TLS / HTTPS
Connectiviteitsbeveiliging die versleutelde verbindingen bewerkstelligt.
(transactie) websites
DNSSEC
Domeinnaambeveiliging die ertoe waakt dat iedere bezoeker die naar een website navigeert, daadwerkelijk bij die website uitkomt.
domeinen
SPF, DKIM, DMARC
Anti-phishingbeveiliging die de legitimiteit van e-mailafzenders verifieert.
mailservers
Uiterlijk eind 2018
HTTPS, HSTS en TLS (NCSC)
Connectiviteitsbeveiliging die versleutelde verbindingen bewerkstelligt en waakt dat géén onversleutelde verbinding gemaakt kan worden.
alle websites
Uiterlijk eind 2019
STARTTLS en DANE
Connectiviteitsbeveiliging die versleutelde verbindingen tussen mailservers bewerkstelligt.
mailservers
SPF, DKIM en DMARC (STRICT)
Anti-phishingbeveiliging die de legitimiteit van e-mailafzenders verifieert.
mailservers
Het nadeel van gesloten standaarden (het tegenovergestelde van open standaarden) is dat ze in de praktijk niet altijd foutloos op elkaar aansluiten. Deze incompatibiliteit kan ertoe leiden dat communicatie niet, niet veilig of onjuist wordt overgedragen. Dit brengt enorme veiligheidsrisico’s met zich mee, waardoor de implementatie van gesloten standaarden (zowel binnen als buiten de overheid) ongewenst is. Om het gebruik van de open standaarden binnen de publieke sector te stimuleren, is de organisatie Forum Standaardisatie (‘Forum’) in het leven geroepen. Sinds 2012 meet Forum het toepassen van de beveiligingsstandaarden binnen de overheid en bewaakt zij de naleving van de gemaakte afspraken. Op 24 april jl. heeft het Forum een
metingsrapport gepubliceerd waarin 563 overheidsdomeinen zijn gecontroleerd op de implementatie van voornoemde standaarden. Het gaat hier om een steekproef. De overheid is namelijk verantwoordelijk voor duizenden domeinen en hanteert géén sluitend domeinenoverzicht. Het metingsrapport geeft dus slechts een indicatie en geen garantie. In het metingsrapport van het Forum is een duidelijke verbetering zichtbaar onder de gecontroleerde domeinnamen van overheidsorganisaties over het afgelopen jaar. Grafieken uit dit rapport zijn onder dit blogartikel opgenomen. Ondanks de grote verbetering zijn de deadlines van 2017 en 2018 niet gehaald. Het Forum stelt dat een volledige implementatie van de standaarden lastig te realiseren is zonder aanvullende inspanningen binnen de overheid. Het wettelijk verplichten van informatieveiligheidsstandaarden zou kunnen helpen om de achterblijvers te bewegen tot implementatie. Wat ons betreft geeft de geconstateerde groei een duidelijk signaal af, zowel in de publieke als private sector. De digitale communicatie zal slechts verder toenemen. Hierdoor is een brede implementatie van open beveiligingsstandaarden voor iedereen van belang.
Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over of uw beveiliging voldoet aan de regelgeving? Neem dan vrijblijvend contact op met Samuel Wiegerinck, Wieger Weijland of één van de andere leden van het IT-recht team.
Grafieken zijn afkomstig uit het metingsrapport van het Forum Standaardisatie van 24 april 2019