OBDO Agp Meting Informatieveiligheidstandaarden overheid 19 november 2020

Content

Vergadering: Forum Standaardisatie 9 december 2020

Agendapunt: 2D

Documentnummer: FS-20201209.2D 

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Samenvatting/toelichting:

A. Meting Informatieveiligheidstandaarden medio 2020 (bijlage 1):

Het gebruik van de meeste informatieveiligheidstandaarden is afgelopen halfjaar gegroeid, maar er zijn nog serieuze aandachtspunten. Het individueel aanschrijven van overheidsorganisaties, wat Forum Standaardisatie in het tweede kwartaal van 2020 heeft gedaan, lijkt zichtbaar in groei bij de meeste standaarden uit deze meting. De voornaamste uitzonderingen hierop zijn:

  • TLS (beveiligde websiteverbindingen, minus 15%) en STARTTLS (beveiligde e-mailverbindingen, minus 45%) conform de aanbevolen configuratie volgens het NCSC, als gevolg van een aangescherpte norm.
  • Het risico op schade door phishing/spoofing, afluisteren en manipulatie van overheidsmail is nog aanzienlijk. Malafide e-mail, waarbij overheidsmailadressen (bijvoorbeeld van bewindspersonen of bestuurders) worden misbruikt, komen door verkeerde afstelling van sommige domeinnamen(DMARC policy), nog steeds aan (slechts 66% is correct afgesteld). Vanwege deze kwetsbaarheid is voor de rijks adressen een recente meting – gerangschikt per departement – toegevoegd (bijlage 2). Daarnaast is het afdwingen van versleuteling van e-mailverkeer blijven steken op 53% (DANE). Het verzoek van het OBDO (18 maart 2020) om via het CIO-Beraad centraal opdracht te geven aan de SSC’s en ZBO’s om de anti-phishing e-mail standaarden te adopteren en streng te configureren (DMARC policy), in plaats van vanuit elk ministerie afzonderlijk, heeft nog niet tot een opdracht geleid.

B. Streefbeeldafspraak IPv6 (bijlage 1 – hoofdstuk 5):

Het aantal overheidswebsites en -mailsystemen dat IPv6 (de toekomstbestendige standaard voor netwerkadressen op internet) gebruikt neemt toe, maar heeft een extra impuls nodig. Het nagenoeg uitgeputte en nog veel gebruikte IPv4 belemmert groei en innovatie, en bemoeilijkt fraudedetectie en -preventie. Een overheidsbrede overstap naar IPv6 volgt de markt-beweging en houdt de digitale overheid in de toekomst bereikbaar.

Het OBDO (18 maart 2020) heeft daarom een streefbeeld afgesproken dat alle overheidswebsites en e-maildomeinen van de overheid voor het einde van 2021 volledig bereikbaar moeten zijn via IPv6, naast IPv4.

Uit deze eerste meting blijkt dat de adoptiegroei van IPv6 voor e-mail erg laag ligt (20% adoptiegraad), en als dit niet heel snel omhoog gaat wordt het streefbeeld op dit aspect niet gehaald. Ook de adoptie van IPv6 voor websites (69% adoptiegraad) vergt gezien de trend meer aandacht om eind 2021 in de buurt van de 100% komen.

Significante adoptiegroei is te behalen als shared service providers, zoals bijvoorbeeld DICTU en SSC-ICT, ook stappen zetten om de servers via IPv6 bereikbaar te maken. De hulp die VNG Realisatie biedt aan individuele gemeenten bij de implementatie van IPv6, en de daardoor geboekte progressie, kunnen als voorbeeld dienen voor andere koepels en overheidslagen.

C. Wildgroei internetdomeinen digitale overheid (bijlage 1 – hoofdstuk 5):

Diverse departementen constateren een wildgroei aan internetdomeinen van de overheid. De overheid is verantwoordelijk voor bijzonder veel domeinen, en er bestaat geen sluitend overzicht. Alleen het Rijk al heeft via AZ/DPC bijna 9.000 domeinen in beeld.

Uit inventarisaties bij diverse departementen (VWS, BZK, SZW) blijken veel internetdomeinen buiten DPC om geregistreerd en zijn daardoor niet in beeld bij DPC, ondanks dat dit volgens het verplichte domeinnaambeleid wel zou moeten.

De problematiek beperkt zich echter niet tot het Rijk. Slecht onderhouden internetdomeinen komen met allerlei risico’s (op gebied van veiligheid, herkenbaarheid, toegankelijkheid, informatiehuishouding).

Wildgroei vraagt om meer regie en daarmee grip op de aanwezigheid van de overheid op het Internet. Forum Standaardisatie roept overheidsorganisaties op actief te werken aan goed domeinnaambeheer, en zal het komende halfjaar in samenwerking met o.a. AZ/DPC en BZK verkennen hoe de overheid meer grip kan krijgen op internetdomeinen.

D. Grote leveranciers:

De gesprekken van SLM Rijk met Microsoft over DNSSEC en DANE hebben ertoe geleid dat Microsoft heeft toegezegd DANE uiterlijk eind 2021 mogelijk te maken op Office 365 voor e-mail.

Forum Standaardisatie zal via SLM Rijk het gesprek over ondersteuning van open standaarden met ander grote cloudproviders aangaan, zoals Google en Amazon.

Beslispunten/ discussiepunten:

  1. Opdracht geven binnen eigen cirkel van invloed aan de hiervoor verantwoordelijke afdelingen om compliance aan alle standaarden (informatieveiligheid én IPv6) te toetsen met testtool www.internet.nl en de niet (correct) geïmplementeerde standaarden z.s.m. alsnog te implementeren, en eventuele knelpunten die implementatie onmogelijk maken terug te koppelen aan het Forum Standaardisatie. Bijzondere aandacht wordt gevraagd voor de veilige configuratie van TLS (HTTPS) en STARTTLS. (zie A & B)
  2. Agenderen in het CIO-Beraad om de SSC’s en ZBO’s opdracht te geven om verscherpte DMARC-policies te implementeren om phishingmails te stoppen. (zie A)
  3. Agenderen in de eigen gremia en koepels om overheidsorganisaties te verzoeken shared service providers hun web- en e-mailservers bereikbaar te maken via IPv6, en waar nodig ondersteuningsprogramma’s te bieden in navolging op VNG Realisatie. (zie B)
  4. Bespreken in het OBDO hoe de wildgroei aan internetdomeinen voor de digitale overheid kan worden beperkt. (zie C)

Contactgegevens

Robin Gelhard (Meting Informatieveiligheidstandaarden, IPv6-meting, wildgroei internetdomeinen)

06-11748687

Bart Knubben (Internet.nl en streefbeeldafspraak IPv6)

06-21162373

Ludwig Oberendorff, hoofd BFS (strikte DMARC policy)

06-52311217

Documentatie-type