Content
Forum Standaardisatie onderzoekt ieder half jaar het gebruik van veilige standaarden voor websites en e-mail bij overheidsorganisaties. Het toepassen van standaarden is geen eenmalige actie, maar vereist voortdurende aandacht, zo blijkt uit de meest recente meting. Er zijn organisaties die na de voorgaande meting flinke stappen hebben gezet, zoals de Justitiële Informatiedienst en waterschap Scheldestromen. Hun primaire internetdomeinen voldoen inmiddels volledig aan essentiële internetveiligheidstandaarden. Gemeenten, zoals Elburg en Lopik, hebben ook vooruitgang geboekt, maar hebben tegelijkertijd nog open eindjes.
Cybersecurity-wedloop
Hoewel het gebruik van de meeste informatieveiligheidstandaarden bij overheidswebsites en e-mailsystemen in het afgelopen halfjaar is gegroeid zijn er nog serieuze aandachtspunten. Zo is het percentage van de websites dat de standaard TLS solide geconfigureerd toepast, voor beveiligde websiteverbindingen, gedaald met 15%-punt naar 78%. Het aantal e-mailsystemen dat de standaard STARTTLS op goede wijze toepast, voor beveiligde e-mailverbindingen, is gedaald met 45%-punt naar 42%.
Deze aandachtspunten zijn ontstaan als gevolg van een aanscherping van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het Nationaal Cyber Security Centrum (NCSC). Deze richtlijnen zijn in 2014 voor het eerst opgesteld, en hebben in 2019 een update gekregen. De update was nodig omdat digitale dreigingen verder toenemen. “De ontwikkeling van aanvalstechnieken stond echter niet stil. Van verschillende instellingen is bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling.”, aldus het NCSC. Een veilige TLS-configuratie is belangrijk voor het beveiligen van verbindingen op internet. Met een kwetsbare verbinding lopen organisaties het risico dat internetverkeer kan worden afgeluisterd of gemanipuleerd. De richtlijnen van het NCSC helpen toekomstvaste TLS-configuraties te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen.
Potentieel misbruik overheidsdomeinen voor phishing
Nog een belangrijk aandachtspunt zijn onveilige configuraties van standaarden die e-mailphishing kunnen voorkomen. E-mail is namelijk vatbaar voor ‘spoofing’, een trucje waarbij iemand een e-mail kan verzenden met ieder willekeurig e-mailadres als afzender. Zo kunnen internetcriminelen mails verzenden namens organisaties die daar geen weet van hebben, vaak met phishing als doel. Moderne internetstandaarden kunnen spoofing voorkomen, echter lang niet alle overheidsorganisaties gebruiken deze standaarden. Namens 34% van de belangrijkste e-maildomeinen van de overheid kunnen criminelen nu nog vervalste e-mails versturen. Dit kan omdat de internetstandaard DMARC niet overal strikt genoeg is geïmplementeerd.
Het gevolg van een onvoldoende strikte DMARC-configuratie is dat phishing-mails namens de achterblijvende overheidsorganisaties (inclusief die van bewindspersonen) daardoor nog steeds bij burgers en bedrijven aan kunnen komen. DMARC staat sinds 2015 op de lijst verplichte standaarden voor overheidsorganisaties. De standaard had vóór eind 2019 bij alle overheidsorganisaties strikt moeten zijn toegepast. Het toonaangevende onderzoeksbureau Gartner zette DMARC onlangs in hun top 10 informatiebeveiligingsprojecten voor 2020-2021. Overheidsorganisaties die hun DMARC-configuratie nog niet op orde hebben kunnen inmiddels spreken van achterstallig onderhoud en lopen daarmee onnodig risico.
Wildgroei internetdomeinen overheid
Voor haar metingen toetst Forum Standaardisatie halfjaarlijks een stabiele set van ca. 550 primaire internetdomeinen van de overheid. Echter is het internetdomeinportfolio van de overheid onderhevig aan een constante groei. Waar de Rijksoverheid in 2013 nog zo’n 3500 domeinnamen had geregistreerd, zijn er inmiddels bijna 9000 domeinnamen in beeld. Overheidsorganisaties blijken ook niet altijd zicht te hebben op de in de internetdomeinen waar zij eigenaar ván of verantwoordelijk vóór zijn. Uit de meting blijkt dat verplichte standaarden op secundaire internetdomeinen gemiddeld minder goed worden toegepast dan op primaire internetdomeinen. De wildgroei aan internetdomeinen vraagt om meer regie en daarmee grip op de aanwezigheid van de overheid op het Internet. Slecht geconfigureerde internetdomeinen komen met allerlei risico’s. Er ligt voor de digitale overheid een uitdaging om te werken aan betere beheersing van internetdomeinen. Onder deze beheersing valt ook het kunnen sturen op voldoen aan verplichte kaders en richtlijnen, zoals open standaarden van de ‘pas toe of leg uit’-lijst.
Meting Informatieveiligheidstandaarden
Onze samenleving ondervindt veel schade van online fraude. De overheid moet de gegevens die zij heeft over haar burgers en bedrijven, en zichzelf, beschermen tegen cybercriminaliteit door het toepassen van onder meer informatieveiligheidstandaarden. Overheidsbreed zijn afspraken gemaakt om standaarden voor internetveiligheid versneld te adopteren. Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheidstandaarden bij overheidsorganisaties. De meest recente meting dateert van september 2020.