Oplegnotitie Open Standaarden, adoptie

Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van dit PDF bestand niet garanderen

Samenvatting

I. Ter bespreking en besluitvorming

• A. Streefbeeldafspraak RPKI (beveiliging internetroutering)
• B. Kamervragen informatieveiligheidstandaarden, brief aan koepels, en brief aan Microsoft
• C. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid

II. Ter kennisname

• D. Document- data- en contentstandaarden
• E. Standaarden voor veiliger en beter internet
• F. Duurzame Digitale Informatiehuishouding
• G. Koppeling aan werkagenda WaU
• H. Open spreekuur over de standaard ActivityPub, fediverse en Mastodon
• I. Oproep: meedenken over de nadere inrichting van de nieuwe Monitor Open Standaarden 2023

I. Ter bespreking en besluitvorming

Ad A. Streefbeeldafspraak RPKI (beveiliging internetroutering)

[bijlagen: 5A]

Het Forum Standaardisatie wordt gevraagd om:

in te stemmen met het advies om de volgende punten ter besluitvorming aan het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor te leggen:

• A. Maak een streefbeeldafspraak om uiterlijk eind 2024 de open standaard Resource Public Key Infrastructure (RPKI) toe te passen. Dit omvat:
• I. Het publiceren van autoritatieve, digitaal getekende verklaringen (Route Origin Authorizations ofwel ROA's) voor de IP-adresblokken die gebruikt worden door webservers, mailservers en autoritatieve nameservers van overheden;
• II. Het filteren op basis van gepubliceerde verklaringen door netwerksystemen van de overheid, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden.
• B. Laat Forum Standaardisatie de implementatievoortgang van de publicatiezijde (onderdeel i onder punt A) van RPKI halfjaarlijks meten en daarover te rapporteren in de Metingen Informatieveiligheidstandaarden.
• C. Verzoek koepels en samenwerkingsverbanden (zoals CIO-Beraad, Manifestgroep, IPO, VNG Realisatie en UvW) om hun achterban actief te stimuleren en zelf het goede voorbeeld te geven.

Toelichting

Forum Standaardisatie wordt gevraagd om in te stemmen met het advies aan het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) om een overheidsbrede streefbeeldafspraak voor de open standaard RPKI vast te stellen. Het doel is dat alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2024 met RPKI beveiligd zijn, en dat netwerken van de overheid dan ook filteren op ongeldige RPKI-status.

Met RPKI (afkorting voor: Resource Public Key Infrastructure) kan de rechtmatige houder van een blok IP-adressen een digitaal ondertekende verklaring met route-autorisatie (Route Origin Authorisation; afgekort: ROA) publiceren. Een andere netwerkprovider die internetverkeer wil sturen naar een bepaalde IP-adres, kan de bijbehorende verklaring gebruiken om ongeldige (Invalid) routes te filteren. Daarmee voorkomt de netwerkprovider dat internetverkeer vanuit zijn netwerk naar ongeautoriseerde providernetwerken wordt gestuurd.

RPKI kan bepaalde zogenaamde route hijacks voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet-geautoriseerd netwerk. Een relevant voorbeeld hiervan betrof een incident waarbij een set IP-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt werd door een Bulgaarse partij, dat leidde tot Kamervragen.

Het OBDO heeft RPKI in 2019 op de ‘pas toe of leg uit’-lijst geplaatst van Forum Standaardisatie. Het voorstel tot een streefbeeldafspraak volgt uit een eerder verzoek van Forum Standaardisatie om het gebruik van RPKI tot een hoger niveau te brengen. Ten behoeve van dit voorstel is een nulmeting uitgevoerd op Nederlandse overheidsorganisaties. Hieruit blijkt dat 77,9% van de gemeten overheidswebsites RPKI geïmplementeerd hebben. Bij e-maildomeinen ligt dit percentage op 75,1%. Ook veel marktpartijen maken al gebruik van RPKI. Zo is RPKI onderdeel van het groeiende MANRS-initiatief, een verzameling gedragsregels over netwerkroutering waar ook Nederlandse partijen zich aan hebben gecommitteerd.

Eerder hebben de streefbeeldafspraken voor internetbeveiligingsstandaarden laten zien dat hiermee een adoptie-impuls kan worden gegeven. Gelet op het voorgaande is nu het juiste moment om ook voor RPKI een streefbeeldafspraak te maken. Zo kunnen ook de laatste achterblijvers gestimuleerd worden om tot adoptie over te gaan.

Ad B. Kamervragen informatieveiligheidstandaarden, brief aan koepels, en brief aan Microsoft

[bijlagen: 5B1 en 5B2]

Het Forum Standaardisatie wordt gevraagd om:

• kennis te nemen van de antwoorden op de Kamervragen naar aanleiding van de laatste Meting Informatieveiligheidstandaarden, en ook van de brief van de Staatssecretaris aan de koepelorganisaties en van de brief aan Microsoft.
• te bespreken wat ieder van de Forum-leden individueel in samenwerking met de eigen achterban doet of kan doen om achterblijvende overheidsorganisaties in beweging te krijgen.

Naar aanleiding van de laatste Meting Informatieveiligheidstandaarden en de berichtgeving daarover in de media zijn eind november 2022 Kamervragen aan de Minister van JenV en aan de Staatssecretaris BZK gesteld.

De Staatssecretaris BZK geeft in de antwoorden onder andere aan dat ze “het onacceptabel [vindt] dat overheden dit niet op orde hebben en per brief, via de koepelorganisaties, alle overheden [zal] oproepen zo snel mogelijk de standaarden te implementeren.” De genoemde brief aan de koepelorganisaties is inmiddels door de Staatssecretaris verstuurd (bijlage 5B1).

Daarnaast meldt de Staatssecretaris: “Ook zijn veel organisaties afhankelijk van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv6 en geen DANE. […] De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM [(Strategisch Leveranciers Management Rijksoverheid)] en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen. Het blijft belangrijk dat overheden hun leverancier aanspreken op tekortkomingen en zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt.” Na eerder mondeling contact met Microsoft, hebben SLM Rijk en Forum Standaardisatie op 2 januari 2023 een brief met als onderwerp “Lack of support of DANE and IPv6 on Exchange Online” gestuurd naar Microsoft (bijlage 5B2).

Ad C. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid

[bijlage: 5C]

Vraag aan ieder Forum-lid om:

1. een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en van de IV-meting onder zijn/haar achterban;
2. een update te geven over hun sponsorschap;
3. kennis te nemen van het overzicht van de aanwezigheid.

Toelichting

1. In de bijlage treft u een overzicht aan van de huidige stand van zaken, voor zover bekend, met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
   1. De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.

• Monitor 2022: voor verspreiding kunt u gebruikmaken van de laatste monitor en daarin opgenomen managementsamenvatting zoals beschikbaar op de pagina over de Monitor Open Standaarden op de website van Forum Standaardisatie.
• IV-meting voorjaar 2022: voor de verspreiding van de laatste meting (voorjaar 2022) kunt u gebruikmaken van het nieuwsbericht dat is gepubliceerd op de website van Forum Standaardisatie.
  1. Daarnaast hebben de leden van het OBDO op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Ook herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.

2. De Forum-leden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in de bijlage.
3. Daarnaast is een overzicht bijgevoegd van de aanwezigheid van de Forum-leden bij Forum-vergaderingen sinds 13 juni 2018.

II. Ter kennisname

Ad D. Document- data- en contentstandaarden

1. BFS leverde op 13 december 2022 opnieuw een bijdrage aan de nieuwe Norm Voorkeursformaten van het Nationaal Archief. BFS blijft betrokken bij de redactie en publicatie van deze Norm, zodat deze consistent blijft met de document- en contentstandaarden op de ‘pas toe of leg uit’ lijst van het Forum Standaardisatie.
2. Op het ECP Jaarfestival van 17 november 2022 werd Han Zuidweg van Bureau Forum Standaardisatie geïnterviewd over nl, de digitale toegankelijkheidschecker voor PDF bestanden die BFS door Pleio heeft laten ontwikkelen met financiering van het Innovatiebudget Digitale Overheid van minBZK. ECP heeft het interview vastgelegd op een video die openbaar gepubliceerd is.
3. Bureau Forum Standaardisatie laat een professionele video produceren over documentstandaarden en digitale toegankelijkheid. De belangrijkste boodschap van de video is, dat de overheid informatie altijd digitaal toegankelijk moet aanbieden in het open standaard format dat het best aansluit bij de behoefte en omstandigheden van de gebruiker. De video komt in het eerste kwartaal van 2023 beschikbaar en wordt dan gepubliceerd op de website van het Forum Standaardisatie.

Ad E. Standaarden voor veiliger en beter internet

• Tijdens het ECP Jaarfestival op 17 november 2022 werd Wouter Kobes geïnterviewd over het belang van internetveiligheidsstandaarden en het kunnen meten van deze standaarden met Internet.nl.
• Op de website van Forum Standaardisatie verschijnt binnenkort een praktijkverhaal van de CIO-office BZK over goed domeinnaambeheer en over de toepassing van standaarden voor toegankelijkheid en informatieveiligheid op de web.

Ad F. Duurzame Digitale Informatiehuishouding

Het Rijksprogramma voor Duurzame Digitale Informatiehuishouding (RDDI) organiseert keukentafelsessies van de regeringscommissaris Arre Zuurmond. Via dit platform creëren we aandacht voor de dossiers eenduidige dienstverlening en semantische standaardisatie. Zo nam Theo Peters deel aan de keukentafel 5 sessie 24 november : architectuur met antwoord op de grote vragen. En daarmee aandacht vestigend op het belang van interoperabiliteit (inclusief Identity & Access Management), semantiek en inzicht voor de burger waarvoor diens data worden gebruikt. De uitdaging is hoe publieke dienstverlening ten dienste gesteld kan worden aan de burger. “De Digitale Agenda maakt helder waaraan gewerkt moet worden. De vraagstukken van vandaag gaan over overheden heen. We zijn veelkoppig, veelsoortig, niet te vergelijken met een bedrijf, hoe gaan we dat verbinden? Met een federatief stelsel?”. Kijk daarbij ook naar internationale standaarden.

Ad G. Koppeling aan werkagenda WaU

De opgedane kennis van standaardisatie en semantiek vanuit de werkconferentie “Een werkende uitkomst voor werklozen!” en bestuurlijke tafel Semantiek koppelen we aan de werkagenda Werk aan uitvoering (WaU handelinsperspectieven 1,2 en 3). Met als doel meer bestuurlijk draagvlak te creëren. In de online WaU-sessie Methodiek Wetsanalyse op 26 januari presenteerden SVB, Belastingdienst en HvA een vervolg op praktijkcase Partnerbegrip. De input die hier opgehaald wordt, gebruiken we voor een bestuurlijke tafel. Hogeschool van Amsterdam benut de opgedane kennis voor haar verkenning rondom de ‘learning community’. Samen met studenten (master HBO-Rechten) en publieke organisaties als gemeenten, uitvoeringsorganisaties, inzichten krijgen in het toepassen van de methodiek Wetsanalyse.

Ad H. Open spreekuur over de standaard ActivityPub, fediverse en Mastodon

Tijdens het laatste open spreekuur op 14 december 2022 gingen we met 10 geïnteresseerden in gesprek over de open standaard ActivityPub, fediverse en Mastodon. Ter inleiding gaf expert Ton Zijlstra een presentatie.

Steeds meer mensen zoeken een alternatief voor het microblog Twitter na de overname van Twitter door Elon Musk. Een van deze alternatieven is Mastodon. Mastodon is een gedecentraliseerd sociaal netwerk. Mastodon is opgebouwd uit allemaal afzonderlijke instanties (via servers) die met elkaar zijn verbonden via het gebruik van de open standaard ActivityPub. Zo is Mastodon een voorbeeld van een federatief internet (Fediverse). Dit, in tegensteling tot Twitter dat één centrale control heeft.

In dit Open Spreekuur gingen we nader in op het achterliggende protocol ActivityPub en hoe ActivityPub voor heel verschillende toepassingen wordt gebruikt, waaronder Mastodon. Daarnaast werd gesproken over afwegingen t.a.v. gebruik van Mastodon door publieke organisaties (op een algemene server, op je eigen server) en voorbeelden hiervan.

Ad I. Oproep: meedenken over de nadere inrichting van de nieuwe Monitor Open Standaarden 2023

Ieder jaar doet Forum Standaardisatie onderzoek naar het gebruik de ‘pas toe of leg uit’- standaarden in de praktijk en hoe overheidsorganisaties het nalaten van standaarden verklaren.

De onderzoekers kijken naar:

1. aanbestedingen (vragen opdrachtgevers in de publieke sector specifiek om de relevante open standaarden?);
2. jaarverslagen (leggen organisaties correct uit als open standaarden achterwege worden gelaten?);
3. overheidsbrede voorzieningen (hoe staat het met de toepassing van de relevante open standaarden in de voorzieningen van de generieke digitale infrastructuur?);
4. de resultaten van de laatste IV-meting;
5. wat beheerders van ‘pas toe of leg uit’- standaarden verder nog weten over het gebruik in de praktijk en de bottlenecks voor adoptie.

Mede naar aanleiding van het vertrek van Jaap Korpel, onderzoeker van ICTU en grondlegger van het monitoronderzoek (hij gaat met pensioen per 1 april 2023) organiseerde Désirée Castillo Gosker een bijeenkomst op 19 januari jl. met de onderzoekers van de Monitor Open Standaarden om terug te blikken en vooruit te kijken. De opbrengst van deze bijeenkomst zal zij verwerken in de eerstvolgende opdracht van de Monitor Open Standaarden 2023. Naar verwachting zal deze opdracht ter goedkeuring voorliggen in de vergadering van het Forum Standaardisatie in april 2023.

Oproep: Wilt u hierover alvast meedenken? Neem dan contact op met Désirée Castillo Gosker.