Rapport meting informatieveiligheidstandaarden september 2020 forumversie

Content

Vergadering: Forum Standaardisatie 7 oktober 2020

Agendapunt: FS-20201007.5C

Documentnummer: 5C

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Status Definitief concept t.b.v. Forum Standaardisatie

Inhoud

  1. Inleiding
  2. Samenvatting
    • 2.1. Hoofdzakelijke bevindingen
    • 2.2. Webstandaarden
    • 2.3. E-mailstandaarden voor bestrijding van phishing
    • 2.4. E-mailstandaarden voor vertrouwelijkheid e-mailverkeer
    • 2.5. Bereikbaarheid via IPv6
    • 2.6. Handelingsperspectief
  3. Achtergrond
    • 3.1. Om welke standaarden gaat het
    • 3.2. Om welke domeinnamen gaat het
    • 3.3. Hoe wordt gemeten
    • 3.4. Wat wordt niet gemeten
    • 3.5. Over de standaarden
      • 3.5.1. Webstandaarden
      • 3.5.2. Mailstandaarden
  4. Resultaten meting september 2020
    • 4.1. Per standaard
      • 4.1.1. Webstandaarden
      • 4.1.2. E-mailstandaarden voor het bestrijden van e-mailvervalsing (anti-phishing)
      • 4.1.3. E-mailstandaarden voor vertrouwelijkheid e-mailverkeer
    • 4.2. Per overheidslaag
      • 4.2.1. Webstandaarden
      • 4.2.2. E-mailstandaarden
      • 4.2.3. Het Rijk
      • 4.2.4. Uitvoering
      • 4.2.5. Provincies
      • 4.2.6. Gemeenten
      • 4.2.7. Waterschappen
  5. IPv6-meting overheidswebsites en e-maildomeinen
    • 5.1. Over IPv6
    • 5.2. Over de IPv6-meting
    • 5.3. Trend bereikbaarheid overheid via IPv6
    • 5.4. Bereikbaarheid overheidswebsites via IPv6
      • 5.4.1. Gemiddelde bereikbaarheid
      • 5.4.2. Per overheidslaag
    • 5.5. Bereikbaarheid e-maildomeinen via IPv6
      • 5.5.1. Gemiddelde bereikbaarheid
      • 5.5.2. Per overheidslaag

Bijlage: in PDF bestand

1. Inleiding

Burgers en ondernemers moeten erop kunnen vertrouwen dat gegevensuitwisseling met de overheid en tussen overheden veilig verloopt. Recente phishing-incidenten waarin e-mails en websites van de overheid werden nagemaakt onderstrepen het belang van overheidsbrede adoptie van informatieveiligheidstandaarden. Binnen de overheid zijn daarom implementatieafspraken gemaakt over standaarden voor het beveiligen van mail en websites. Deze overheidsbrede streefbeeldafspraken, met uiterlijke implementatiedata, zijn een aanvulling op het staande ‘pas toe of leg uit’- beleid.

Om de voortgang van deze afspraken bij te houden voert het Forum Standaardisatie op verzoek van het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) twee keer per jaar deze Meting Informatieveiligheidstandaarden uit naar het gebruik van informatieveiligheidstandaarden door overheidsorganisaties. De meting laat zien of overheidsorganisaties voldoen aan de gemaakte afspraken en wat de voortgang is.

Door toepassing van de informatieveiligheidstandaarden wordt:

  • de verbinding met overheidswebsites beter beveiligd, zodat criminelen niet zomaar uitgewisselde gegevens kunnen onderscheppen of manipuleren;
  • e-mailverkeer met de overheid beter beveiligd, zodat criminelen niet zomaar
    • e-mails kunnen onderscheppen of manipuleren;
    • overheidsdomeinen kunnen misbruiken als afzenddomein voor bijvoorbeeld phishing-aanvallen.

Tevens is op 8 april 2020 door het OBDO afgesproken dat alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar moeten zijn via IPv6. Forum Standaardisatie meet op verzoek van OBDO halfjaarlijks de implementatievoortgang van deze afspraak, en in dit document wordt voor het eerst over deze afspraak gerapporteerd.

Voorliggende meting dateert van september 2020. In de meting zijn 548 domeinnamen die ook in eerdere metingen centraal stonden getoetst.

Bovendien is voor de eerste keer een vergelijking gemaakt met de meetresultaten van een bredere selectie van bijna 1800 overheidsdomeinen. Uit deze meting blijkt dat het stijgende gebruik van de standaarden doorzet, maar dat nieuwe dreigingen de stand der techniek voortstuwen, en dat ook de eisen aan de techniek – in dit geval internetstandaarden – verlegd kunnen worden. Voldoen aan standaarden is daarmee geen eenmalige actie, maar een voortdurend proces van continue verbetering.

2. Samenvatting

2.1. Hoofdzakelijke bevindingen

Het gebruik van de meeste informatieveiligheidstandaarden is afgelopen halfjaar wederom gegroeid. Het individueel aanschrijven van overheidsorganisaties, wat Forum Standaardisatie in het tweede kwartaal van 2020 heeft gedaan, lijkt zichtbaar in groei bij de meeste standaarden uit deze meting. De voornaamste uitzonderingen hierop zijn TLS (web) en STARTTLS (e-mail) conform de aanbevolen configuratie volgens het NCSC, waar we een forse daling zien als gevolg van een aangepaste norm. De terugval bij TLS is ontstaan doordat in deze meting voor het eerst conform de tweede versie van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)(https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls) (uit april 2019) is getoetst. Hiermee is de lat hoger gelegd

t.o.v. de voorgaande meting, toen nog conform de eerste versie van deze richtlijnen (uit 2014) werd getoetst. De stand der techniek schrijdt voort, en periodieke controle op compliance is daarmee een vereiste.

Daarnaast zien we bij DNSSEC, voor zowel web als e-mail, een daling van 1%-punt, wat illustreert dat toepassen van standaarden een voortdurende activiteit is waar blijvende aandacht voor nodig is.

Uit een vergelijking met een bredere set overheidsdomeinen blijkt dat er nog een wereld te winnen valt. Focus op primaire (veelgebruikte) internetdomeinen is een logische eerste stap om belangrijke verbeteringen te realiseren. Maar sturing op het bredere domeinnaamportfolio is noodzakelijk om risico’s voor zowel organisaties als burgers verdergaand te kunnen beheersen. We constateren een extreme wildgroei aan overheidsdomeinnamen, wat een groeiende beheerlast met zich meebrengt. Het is moeilijk overzicht houden en ook lastig om ervoor te zorgen dat informatieveiligheidstandaarden goed op iedere domeinnaam worden toegepast. Meer regie is nodig om grip te krijgen.

Tot slot zien we dat er nog onvoldoende aandacht is voor IPv6. IPv6 adoptie voor websites beweegt langzaam de goede kant op, maar het groeitempo lijkt te kort te komen om het nieuwe streefbeeld, dat in april 2020 in het OBDO is afgesproken, te gaan halen. Met het huidige groeitempo van IPv6 voor e-maildomeinen is het nog slechter gesteld, en als dit tempo doorzet wordt de adoptiegraad van 100% eind 2021 zeker niet gehaald.

2.2. Webstandaarden

Positief is dat alle webdomeinen uit de originele meting inmiddels HTTPS gebruiken en dat het afdwingen van HTTPS steeds beter wordt toegepast door op de juiste manier door te verwijzen en HSTS vaker toe te passen.

De terugval in toepassing van een veilige TLS configuratie en de lichte daling op DNSSEC laten zien dat constante aandacht voor internetstandaarden nodig blijft. DNSSEC is een belangrijke waarborg voor de integriteit van internetverkeer, en inmiddels wordt bij meer dan de helft van het Nederlandse DNS-verkeer DNSSEC-handtekeningen gecontroleerd(https://stats.labs.apnic.net/dnssec/NL).

De vergelijking met een bredere selectie van internetdomeinen toont dat hoewel TLS in de basis gemeengoed lijkt met 99% adoptiegraad, dat dit nog lang niet even veilig geconfigureerd is en ook niet altijd goed wordt afgedwongen door op de juiste manier door te verwijzen en HSTS toe te passen.

2.3. E-mailstandaarden voor bestrijding van phishing

Bij de e-mailstandaarden die in samenhang e-mailspoofing voorkomen en daarmee phishing uit naam van overheidsorganisaties bemoeilijkt, zien we een duidelijke groei in adoptiegraad ten opzichte van de vorige meting. Wel blijft aandacht nodig voor het toepassen van strikte DMARC policies om vervalste e-mails ook echt tegen te houden.

De vergelijking met de bredere selectie domeinen toont aan dat de focus op primaire domeinen leidt tot hogere adoptiecijfers, maar legt tevens bloot dat een groot deel van de online overheid nog werk aan de winkel heeft.

2.4. E-mailstandaarden voor vertrouwelijkheid e-mailverkeer

Positief is het beeld dat bijna alle mailservers STARTTLS gebruiken voor het versleutelen van het e-mailverkeer. Aandachtspunten blijven echter de veilige configuratie volgens de laatste beveiligingsrichtlijnen van het NCSC, en het afdwingen van de beveiligde verbinding middels DANE. DNSSEC voor mailservers is hiervoor een randvoorwaarde.

De terugval in toepassing van een veilige STARTTLS configuratie en de lichte daling op DNSSEC laten zien dat constante aandacht voor internetstandaarden nodig blijft. Het toenemend gebruik van clouddiensten van voornamelijk Amerikaanse (moeder)bedrijven, een land waar DNSSEC minder gemeengoed is dan in Nederland, heeft een remmend effect op DNSSEC en DANE adoptie.

2.5. Bereikbaarheid via IPv6

Met name de adoptiegroei van IPv6 voor e-mail ligt erg laag, en als dit niet heel snel omhoog gaat wordt het streefbeeld op dit aspect niet gehaald. Ook de adoptie van IPv6 voor websites vergt veel meer aandacht wil dit over 1,5 jaar in de buurt van de 100% komen.

De uitdaging ligt enerzijds bij gemeenschappelijke overheidsdienstverleners, om hun diensten ‘by default’ ook via IPv6 aan te bieden en de bestaande diensten actief via IPv6 bereikbaar te maken, zonder dat klanten hier zelf een wijzigingsverzoek voor hoeven in te dienen. Anderzijds is het aan overheidsorganisaties zaak om hun leveranciers actief te vragen om hun websites en e-mailvoorzieningen per IPv6 bereikbaar te maken.

2.6. Handelingsperspectief

Hoewel de gemiddelde adoptie van informatieveiligheidstandaarden in de afgelopen jaren sterk is gegroeid zijn we er nog niet. De volgende aanvullende inspanningen zijn noodzakelijk om verbeteringen te realiseren en daarmee Nederland digitaal weerbaarder te maken.

  1. Overheden die nog niet voldoen aan de afgesproken standaarden dienen dringend (opnieuw) hun leverancier formeel te verzoeken om ondersteuning, en daarbij te wijzen op beschikbare howto’s en te vragen om een concrete planning.
  2. Overheden wordt verzocht om de ontvangen leveranciersplanningen ter informatie te delen met het Forum Standaardisatie. Forum Standaardisatie is bereid om desgewenst het gesprek met grotere overheidsleveranciers die nog niet te voldoen te coördineren.
  3. Als de huidige leverancier te weinig medewerking verleent, dienen overheden te overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken Om geschikte leveranciers te vinden kan geleerd worden van collega-overheden die wel de afgesproken standaarden ondersteunen.
  4. Forum Standaardisatie zal overheidsorganisaties, in samenwerking met koepelorganisaties, individueel aanspreken en helpen, met name ook voor overheden die achteruit zijn gegaan op DNSSEC.
  5. Forum Standaardisatie zal in overleg met het NCSC kijken op welke wijze overheidsorganisaties kunnen worden geholpen om de ICT- beveiligingsrichtlijnen voor TLS beter toe te passen, bijvoorbeeld met een aanvullende handreiking ten aanzien van de bevindingen op cipher- volgorde en sleuteluitwisselingsparameters.

Meer specifiek met betrekking tot de mailstandaarden:

  1. Het instellen van een voldoende strikte DMARC-policy is een kwestie van een goed, zorgvuldig configuratie-traject door de ICT- dienstverlener. SPF en DKIM zijn noodzakelijk randvoorwaarden voor DMARC-policy. De meting laat zien dat die standaarden al zeer veel worden toegepast (op tenminste 90% van de domeinen). Er ligt dus een duidelijk groeipotentieel voor DMARC-policy.

Voor how-to’s over DANE en DMARC+DKIM+SPF zie: https://github.com/internetstandards/toolbox-wiki

  1. Het toepassen van DANE is een actie die ligt bij de beheerder van de mailserver. DNSSEC MX is een randvoorwaarde voor DANE en wordt al toegepast op 66% van de Als een mailserver al DNSSEC doet, dan is het ondersteunen van DANE een relatief kleine stap (‘laaghangend fruit’). Een aantal overheidsorganisaties maakt gebruik van cloud mailservers die nog geen DNSSEC MX en DANE ondersteunen. Het is van belang dat overheden ook bij deze leveranciers formele ondersteuningsverzoeken indienen.
  2. Forum Standaardisatie zal in contact treden met veelvoorkomende mailproviders die nog geen DNSSEC en DANE voor de mailservers ondersteunen, om de implementatieplannen te achterhalen en waar nodig te bespoedigen door de behoefte te articuleren. Dat laatste waar nodig in samenspraak met klanten en koepels.

Meer specifiek met betrekking tot IPv6:

  1. Forum Standaardisatie gaat in gesprek met VNG Realisatie hoe hun (succesvolle) aanpak kan worden voortgezet, en kan worden verbreed naar andere overheidslagen.
  2. Adoptiegroei binnen de categorieën Rijk en uitvoering is met name te behalen als shared service providers, zoals DICTU en SSC-ICT, ook stappen zetten om de servers via IPv6 bereikbaar te maken. Partijen als DPC en SSC-I doen dit Met name SSC-ICT kan nog flinke stappen zetten, hun name-, web- en mailservers zijn bijvoorbeeld nog niet per IPv6 bereikbaar.
  3. Bij gebruik van cloudmailoplossingen is het zaak aan overheidsorganisaties om hun leverancier te vragen om diensten ook via IPv6 bereikbaar te maken. Zo kunnen overheidsorganisaties die gebruik maken van Microsoft’s Office 365 (Exchange Online) dit via de leverancier op verzoek laten activeren.

Tot slot constateren we een wildgroei aan internetdomeinen van de overheid. Slecht geconfigureerde internetdomeinen komen met allerlei risico’s. De wildgroei vraagt om meer regie en daarmee grip op de aanwezigheid van de overheid op het Internet. Overheidsorganisaties hebben overzicht op het bredere domeinnaamportfolio nodig om alle risico’s te kunnen beheersen, en basishygiënemaatregelen zoals standaarden consequent toe te passen. Daarom roepen wij overheidsorganisaties op actief te werken aan goed domeinnaambeheer. Forum Standaardisatie zal het komende halfjaar verkennen hoe de overheid hier een stap vooruit in kan zetten.

3. Achtergrond

Sinds 2015 biedt het Platform Internetstandaarden (Platform Internet Standaarden is een gezamenlijk initiatief van de Internetgemeenschap en de Nederlandse overheid (Forum Standaardisatie, het Ministerie van Economische Zaken en Klimaat, en NCSC). Zie https://internet.nl/about/) de mogelijkheid om via de website Internet.nl domeinen te toetsen op het gebruik van verschillende moderne internetstandaarden, waaronder een aantal informatieveiligheidstandaarden, die op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie staan. In datzelfde jaar is Forum Standaardisatie gestart om met behulp van Internet.nl een halfjaarlijkse meting van de adoptiegraad van informatieveiligheidsstandaarden voor overheidsdomeinen (web en e-mail) uit te voeren.

Die metingen hebben ertoe geleid dat het Nationaal Beraad in februari 2016 de ambitie uitsprak deze standaarden versneld te willen adopteren(http://www.binnenlandsbestuur.nl/digitaal/nieuws/nationaal-beraad-wil-sneller-moderne-e.9540822.lynkx). Dit betekent concreet dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (d.w.z. wachten op een volgend investeringsmoment en dan de standaarden implementeren), maar dat actief wordt ingezet op implementatie van de standaarden op de kortere termijn(Onderdeel van deze afspraak is dat Forum Standaardisatie de voortgang van de adoptie meet en inzichtelijk maakt. De halfjaarlijkse IV-meting is ook onderdeel van de jaarlijkse Monitor Open standaarden beleid).

De eerste streefbeeldafspraak is eind 2017 afgelopen. Begin 2018 is een eindmeting voor deze afspraak gepubliceerd. Ondanks een grote stijging de afgelopen twee jaar was volledige adoptie nog niet bereikt. Daarom zijn deze afspraken in april 2018 herbevestigd en aangevuld door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), de opvolger van het Nationaal Beraad. De metingen vanaf 2018 zijn daarom uitgebreider (meer standaarden) dan voorgaande metingen. Daarnaast was het een goed moment om de lijst met de te toetsen domeinnamen te herijken en is besloten om het tijdstip van meten beter te laten aansluiten op de bestaande overlegcycli.

3.1. Om welke standaarden gaat het

Het Nationaal Beraad en het OBDO hebben streefbeeldafspraken gemaakt met betrekking tot de volgende standaarden(Voor meer informatie ga naar: https://www.forumstandaardisatie.nl/thema/veilig-internet/streefbeeldafspraken):

Implementatie- deadline Betreffende standaarden
uiterlijk EIND 2017

TLS/HTTPS: beveiligde verbindingen van (transactie)websites

DNSSEC: domeinnaambeveiliging SPF: anti-phishing van email DKIM: anti-phishing van email DMARC: anti-phishing van email

uiterlijk EIND 2018 HTTPS, HSTS en TLS conform de NCSC richtlijn(externe link): beveiligde verbindingen van alle websites
uiterlijk EIND 2019 STARTTLS en DANE: encryptie van mailverkeer SPF en DMARC: het instellen van strikte policies voor deze emailstandaarden
uiterlijk EIND 2021 IPv6 (naast IPv4): moderne internetadressering van overheidswebsites en e-maildomeinen van e overheid

3.2. Om welke domeinnamen gaat het

In totaal zijn in deze meting 548 domeinnamen van overheidsorganisaties getoetst, bestaande uit:

  • Domeinen die horen bij de deelnemers van het OBDO;
  • De domeinen die horen bij voorzieningen van de basisinfrastructuur (GDI);
  • De 30 best bezochte domeinen van Rijksoverheden (en uitvoerders);
  • De domeinen van de andere overheidsorganisaties die direct of indirect vertegenwoordigd zijn in het OBDO, zoals:
    • Uitvoerders (de Manifestpartijen);
    • Partijen die behorend tot Klein LEF;
    • Gemeenten;
    • Provincies;

Bij de selectie van de relevante domeinnamen is telkens gekozen voor het hoofddomein waarop de website van de overheidsorganisatie bereikbaar is. Daarnaast is gekozen voor het hoofddomein dat de desbetreffende overheidsorganisatie gebruikt voor e-mail (vaak dezelfde als voor web). Bij uitzondering zijn ook subdomeinen geselecteerd, bijvoorbeeld voor bekende inlogportalen of op verzoek van de beheerder.

De lijst betreft een selectie van alle overheidsdomeinnamen. De lijst is niet volledig en kan dat ook niet zijn omdat de overheid momenteel geen overzicht heeft over alle domeinnamen. De gemeten domeinen zijn bij lange na niet alle domeinen waar het OBDO direct en indirect voor verantwoordelijk is. Zo beheert het ministerie van AZ al meer dan 6000

domeinnamen. Een 100%-score op de gemeten domeinen garandeert geenszins dat hiermee alle overheidsdomeinen beschermd zijn tegen bijvoorbeeld phishing. Indien uwer inziens een relevante domeinnaam ontbreekt, dan verzoeken we om deze aan ons door te geven.

Voor een betere waardering van de resultaten is in deze meting ook een vergelijking opgenomen met een meting van een bredere set aan overheidsdomeinen. Het gaat om bijna 1800 internetdomeinen die zijn ontleend aan het Register van Overheidsorganisaties en het Websiteregister Rijksoverheid https://almanak.overheid.nl en https://websiteregisterrijksoverheid.nl). Omwille van de omvang zijn de detailresultaten van deze aanvullende meting niet opgenomen in de bijlagen.

3.3. Hoe wordt gemeten

De meting geeft de stand van zaken weer op de peildatum 4 augustus 2020. De meting laat zien of op een domeinnaam de standaarden worden toegepast. De resultaten zijn voorgelegd aan een aantal koepelorganisaties en stakeholders en tot eind september geactualiseerd indien nodig.

De meting wordt uitgevoerd middels een bulktoets via de API van Internet.nl. Voor de web-standaarden wordt het hoofddomein getoetst met de toevoeging www. (dus: www.forumstandaardisatie.nl), omdat het gebruikelijk is dat de website daarop bereikbaar is. Voor de maildomeinen wordt getoetst zonder enig voorvoegsel omdat dat doorgaans gebruikt wordt als e-maildomein (dus @forumstandaardisatie.nl).

Op Internet.nl is eenvoudig te testen of een website of e-mail een aantal moderne internetstandaarden ondersteunen, ook de standaarden waarover streefbeeldafspraken zijn gemaakt zijn onderdeel van de test. De score die een domeinnaam op Internet.nl kan halen (namelijk max. 100%) heeft een directe relatie met het resultaat uit deze meting, aangezien deze meting alle standaarden bevat die de Internet.nl score kunnen beïnvloeden.

De website Internet.nl is een initiatief van het Platform Internetstandaarden. In het platform participeren verschillende partners uit de internetgemeenschap (zoals Internet Society, RIPE NCC, SIDN en SURFnet) en Nederlandse overheid (Forum Standaardisatie, het Ministerie van Economische Zaken en Klimaat, en NCSC). Het uitgangspunt is dat Internet.nl de adviezen van Forum Standaardisatie en NCSC met betrekking tot de Internetstandaarden volgt.

De meting geeft geen inzicht in het risiconiveau van een bepaald domein. Zo is het aannemelijk dat de aantrekkelijkheid van misbruik hoger is bij domeinen van grote uitvoerders (zoals phishing met aanmaningen) dan bij domeinen van kleine gemeenten.

3.4. Wat wordt niet gemeten

In de meting wordt alleen gekeken naar de toepassing van standaarden op domeinnamen. Er wordt in de meting (nog) niet gekeken naar de validatie op de standaarden. Dat betekent dat de volgende zaken niet worden gemeten:

  1. validatie van DNSSEC door de DNS-resolver van een overheidsorganisatie;
  2. validatie van de DMARC-, DKIM- en SPF-kenmerken door ontvangende mailservers van een overheidsorganisatie;
  3. validatie van DANE-kenmerken door verzendende mailservers van een overheidsorganisatie.

In de loop van 2021 zal naar verwachting de functionaliteit van Internet.nl worden aangepast zodat het mogelijk zal zijn om te controleren of DMARC-

, DKIM-, SPF- en DANE-validatie wordt toegepast.

3.5. Over de standaarden

Er worden zowel web- als mailstandaarden gemeten. Hieronder per standaard een korte uitleg over wat deze doet. Overigens is meer (technische) informatie over wat er wordt getoetst te vinden op Internet.nl.

3.5.1. Webstandaarden

Wij meten het gebruik van de beveiligingsstandaarden voor het web ook op domeinen die alleen gebruikt worden voor mail omdat dit vaak wel domeinnamen zijn die re-directen naar het hoofddomein. Ook hiervoor moeten de standaarden juist worden toegepast en burgers weten vaak niet hoe deze domeinen worden gebruikt. Als redirects worden toepast dan moeten ook de doorverwijzende domeinen met HTTPS beveiligd zijn, anders is de beginschakel niet veilig en daarmee is ook de gehele keten onveilig. Dit geldt ook wanneer een zogenaamde ‘parking page’ wordt getoond. Alleen als een geregistreerd domein geen webpagina bevat dan is HTTPS niet nodig (en niet mogelijk).

DNSSEC

Domain Name System (DNS) is het registratiesysteem van namen en bijbehorende internetnummers en andere domeinnaaminformatie. Het is vergelijkbaar met een telefoonboek. Dit systeem kan worden bevraagd om namen naar nummers te vertalen en omgekeerd.

Er is getest of de domeinnaam ondertekend is met DNSSEC, zodat de integriteit van de DNS-informatie is beschermd. De streefbeeldafspraak was om hier vóór 2018 aan te voldoen.

TLS

Als een bezoeker een onbeveiligde HTTP-verbinding heeft met een website, dan kan een kwaadwillende eenvoudig gegevens onderweg afluisteren of aanpassen, of zelfs het contact volledig overnemen. Getest wordt of TLS is toegevoegd aan HTTP om de verbinding te beveiligen.

Op Internet.nl heet deze subtest ‘HTTPS available’. De streefbeeldafspraak was om hier voor 2018 aan te voldoen.

TLS cf. NCSC We maken een onderscheid tussen ‘TLS’ en ‘TLS conform NCSC’. In het eerste geval wordt gebruik gemaakt van TLS en in het tweede geval is TLS bovendien zodanig geconfigureerd dat deze voldoet aan de aanbevelingen van het Nationaal Cyber Security Center (NCSC)(9 Zie https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls. Een wijziging ten opzichte van de vorige meting is dat nu wordt getest tegen ICT-beveiligingsrichtlijn voor TLS versie 2.0 (uit 2019) in plaats van versie 1.0 (uit 2014).). Zodat de vertrouwelijkheid, de authenticiteit en integriteit van een bezoek aan een website is gegarandeerd. De streefbeeldafspraak was om hier voor 2019 aan te voldoen.
   

HTTPS

redirect

Er wordt getest of een webserver bezoekers automatisch doorverwijst van HTTP naar HTTPS op dezelfde domeinnaam óf dat deze ondersteuning biedt voor alleen HTTPS en niet voor HTTP. Op Internet.nl heet deze subtest ‘HTTPS Redirect’. De streefbeeldafspraak was om hier voor 2019 aan te voldoen.
HSTS

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen zoveel mogelijk afgedwongen. De streefbeeldafspraak was om hier vóór 2019 aan te voldoen.

3.5.2. Mailstandaarden

Wij meten het gebruik van e-mailbeveiligingsstandaarden ook op domeinen waarvan een organisatie geen e-mail verstuurt. Dit is relevant omdat ook die domeinen worden misbruikt (burgers weten vaak niet dat deze domeinen niet door de organisatie worden gebruikt), en juist domeinen waarvandaan niet gemaild wordt, makkelijk kunnen worden geblokkeerd met behulp van SPF en DMARC (met de policies –all en p=reject).

DMARC

Met DMARC kan een e-mailprovider kenbaar maken hoe andere (ontvangende) mailservers om dienen te gaan met de resultaten van de SPF- en/of DKIM-controles van ontvangen e-mails. Dit gebeurt door het publiceren van een DMARC beleid in het DNS-record van een domein.

In deze test wordt alleen gekeken of DMARC beschikbaar is, niet of er beleid is ingesteld. De streefbeeldafspraak was om hier voor 2018 aan te voldoen.

DMARC

Policy

Zolang er geen beleid is ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. (Opm: Actieve policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC)

Er wordt gecontroleerd of de syntax van de DMARC-record correct is en of deze een voldoende strikte policy bevat. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.

DKIM

Met DKIM kunnen e-mailberichten worden gewaarmerkt. De ontvanger van een e-mail kan op die manier controleren of een e-mailbericht écht van de afzender afkomstig is en of het bericht onderweg ongewijzigd is gebleven.

Getest wordt of de domeinnaam DKIM ondersteunt. Voor non-mail domeinen waar dit goed is ingesteld heeft DKIM verder geen toegevoegde waarde. In de meting wordt dit weergegeven middels de score “NVT” (niet van toepassing) voor DKIM. De streefbeeldafspraak was om hier voor 2018 aan te voldoen.

SPF SPF heeft als doel spam te verminderen. SPF controleert of een verzendende mailserver die e-mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen. Getest wordt of de domeinnaam een SPF-record heeft. De streefbeeldafspraak was om hier voor 2018 aan te voldoen.
SPF Policy Aanvullend op bovenstaande test wordt gecontroleerd of de syntax van de SPF-record geldig is en of deze een voldoende strikte policy bevat om misbruik van het domein door phishers en spammers tegen te gaan. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.
STARTTLS

STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.

Er wordt getest of de ontvangende mailservers (MX) ondersteuning bieden voor STARTTLS. De streefbeeldafspraak is om hier voor 2020 aan te voldoen. Als er geen mailservers aanwezig is voor het domein dan wordt dit weergeven met NVT. Dit geldt ook voor STARTTLS CF. NCSC, DANE en DNSSEC MX.

STARTTLS CF. NCSC

Net zoals bij HTTPS kan er bij STARTTLS gebruik worden gemaakt van verschillende versies van het TLS en verschillende versleutelingsstandaarden (ciphers). Aangezien niet alle versies en combinaties als voldoende veilig worden beschouwd, is het belangrijk om hierin de juiste keuze te maken en ook regelmatig te controleren of de gebruikte instellingen nog veilig zijn.

Getest wordt of STARTTLS is geconfigureerd zoals door het NCSC is aanbevolen. De streefbeeldafspraak was om hier vóór 2020 aan te voldoen.

(https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls)

 

DANE

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en het kan het gebruik van TLS bovendien afdwingen.

Getest wordt of de nameservers van de mailservers één of meer TLSA-records voor DANE bevatten. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.

DNSSEC MX DNSSEC is een randvoorwaarde voor het instellen van DANE. Daarom wordt getest of de domeinnamen van de mailservers (MX) ondertekend zijn met DNSSEC. Dit in het kader van de streefbeeldafspraak om voor 2020 STARTTLS en DANE te ondersteunen.

4. Resultaten meting september 2020

In dit hoofdstuk staan de resultaten van de web- en e- mailbeveiligingsstandaarden die onderdeel uitmaken van de streefbeeldafspraken van het OBDO. De resultaten zijn geordend per standaard en per “overheidslaag”.

4.1. Per standaard

De volgende drie diagrammen tonen de adoptiestatus van de individuele standaarden voor zowel de webstandaarden als de e-mailstandaarden (anti- phishing en vertrouwelijkheid van e-mail). Er is een vergelijking gemaakt met de voorgaande twee metingen.

4.1.1. Webstandaarden

Bij de webstandaarden vallen in eerste instantie de achteruitgang bij zowel DNSSEC als TLS conform de TLS-beveiligingsrichtlijnen van het NCSC op. Dat laatste is te verklaren doordat de bulkmeettool van Internet.nl – waar deze meting mee is uitgevoerd – nu net als de publieke interface van Internet.nl toetst conform de laatste ICT-beveiligingsrichtlijnen voorTransport Layer Security (TLS) (v2.0 uit april 2019). Hiermee is de lat hoger gelegd t.o.v. de voorgaande meting. De terugval wordt met name veroorzaakt door de testelementen cipher-volgorde en sleuteluitwisselingsparameters.

De lichte daling op DNSSEC laat zien dat constante aandacht voor internetstandaarden nodig blijft, het betreft enkele gemeenten en waterschappen die na de laatste meting geen DNSSEC meer toepassen.

Positief is dat alle webdomeinen uit de meting inmiddels HTTPS gebruiken en dat het afdwingen van HTTPS steeds beter wordt toegepast door op de juiste manier door te verwijzen en HSTS vaker toe te passen.

Het Bureau Forum Standaardisatie zal in overleg met het NCSC onderzoeken hoe middels voorlichting de adoptiegraad van de veilige configuratie van TLS conform de beveiligingsrichtlijnen van het NCSC kan worden vergroot.

Om de adoptie van de overige standaarden verder te stimuleren is een ‘één- op-één’ benadering nodig om dichter bij de 100% te komen.

4.1.2. E-mailstandaarden voor het bestrijden van e-mailvervalsing (anti-phishing)


Bij de e-mailstandaarden die in samenhang e-mailspoofing voorkomen en daarmee phishing uit naam van overheidsorganisaties bemoeilijkt, zien we gemiddeld een iets hoger groeitempo dan de vorige meting. Wel blijft aandacht nodig voor het toepassen van strikte DMARC policies om vervalste e-mails ook echt tegen te houden.

Hoewel het percentage vrij hoog is, zien we een stagnatie in het strikter instellen van de SPF policies. Met SPF kan een organisatie aangeven welke partijen namens een domein e-mail mogen verzenden.

Het Bureau Forum Standaardisatie spreekt reeds actief partijen aan op de noodzaak om actieve, strikte policies voor zowel DMARC en SPF in te stellen, en zal hier blijvend aandacht aan schenken.

4.1.3. E-mailstandaarden voor vertrouwelijkheid e-mailverkeer

Bij de set e-mailstandaarden die de vertrouwelijkheid van het transport van e-mail tussen mailservers kunnen waarborgen valt in eerste instantie de terugval van STARTTLS conform de beveiligingsrichtlijnen van het NCSC op. Ook dit wordt veroorzaakt door de hogere lat als gevolg van de update van de bulkmeettool van Internet.nl, die nu toetst conform de laatste ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) (v2.0 uit april 2019).

Daarnaast valt de lichte daling van DNSSEC op mailservers (MX) op, nadat we de vorige meting al een stagnatie constateerden. Enerzijds is dit veroorzaakt door een paar partijen die over zijn op cloudmailproducten die geen DNSSEC ondersteunen, anderzijds door partijen die om andere redenen geen DNSSEC meer ondersteunen. We zien tevens dat het groeitempo van DANE aan het afzwakken is. Wel zien we aan de hand van het adoptiepercentage van DNSSEC voor de mailserver nog een direct groeipotentieel van 13% voor DANE.

Het achterblijven van DANE blijft zorgwekkend, omdat dit overheidsmail die niet voldoet onnodig kwetsbaar maakt voor afluisteren. De meest voorkomende mailprovider die nog geen DNSSEC en DANE ondersteund is Microsoft. Ook andere cloudproviders zoals Google, Proofpoint, Mimecast en Barracuda ondersteunen nog geen DNSSEC en DANE. De publieke planning van Microsoft is nog steeds om eind 2020 outbound DANE support te kunnen bieden, en eind 2021 inbound DANE support. Dit zal naar verwachting op termijn een aanzienlijk positief effect op de adoptiecijfers van DANE hebben, en daarmee op de veiligheid van overheidsmail.

Het Bureau Forum Standaardisatie zal in contact treden met andere veelvoorkomende mailproviders die nog geen DNSSEC en DANE voor de mailservers ondersteunen, om de implementatieplannen te achterhalen en waar nodig te bespoedigen door de behoefte te articuleren. Dat laatste waar nodig in samenspraak met klanten en koepels.

4.2. Per overheidslaag

Een uitsplitsing van de resultaten van de meting naar overheidslaag laten bij de meeste overheidslagen een daling zien ten opzichte van de voorgaande meting. De daling is veroorzaakt door de strengere norm voor TLS conform de beveiligingsrichtlijnen van het NCSC. De gemiddelden geven een vertekend beeld, alle andere adoptiepercentages – m.u.v.

DNSSEC (MX) – zijn gestegen. Zonder de strengere norm voor TLS zouden we een gemiddelde groei zien. Wel geeft de meting een reëel beeld, waarbij beveiligingsnormen noodzakelijk zijn aangepast aan de veranderende werkelijkheid. De diagrammen maken zichtbaar hoe de overheidslagen gemiddeld gezien ten opzichte van elkaar scoren.

4.2.1. Webstandaarden

Alleen de provincies hebben gemiddeld gezien alsnog een groei doorgemaakt, zij scoren nu een nette tweede plaats met 92% na de gemeenten 95%. De uitvoerders zijn sterkste daler en hekkensluiter met een gemiddeld adoptiepercentage van 84%, zij scoren dan ook het slechtst op STARTTLS conform de TLS-beveiligingsrichtlijnen van het NCSC.

4.2.2. E-mailstandaarden

Het Rijk is koploper en toont als enige overheidslaag groei t.o.v. de vorige meting van de e-mailstandaarden. Het Rijk kon de terugval voor STARTTLS conform de beveiligingsrichtlijnen van het NCSC goedmaken met een significante groei in de toepassing van strikte DMARC policies. De waterschappen en provincies gemiddeld iets achter op de andere overheidslagen.

In het vervolg van de rapportage wordt per overheidslaag toegelicht welke standaarden gemiddeld veel worden toegepast en welke minder.

4.2.3. Het Rijk

Het Rijk lijkt zich te hebben herpakt na een lichte terugval in de voorgaande meting. Alleen op TLS conform de TLS-beveiligingsrichtlijnen van het NCSC scoort het Rijk – conform verwachting – slechter, vanwege de strengere norm. Inmiddels wordt op alle webdomeinen TLS toegepast. Er is nog voldoende ruimte voor groei voor het vaker toepassen van HSTS.

Het Rijk scoort goed als het gaat om de mailstandaarden. Met name DMARC en DANE scoren hier hoog t.o.v. de andere overheidslagen. Dit komt waarschijnlijk doordat het beheer van de mailservers bij een relatief klein aantal partijen belegd is. Een aanpassing bij die partijen heeft daarom grote impact op de score van het Rijk.

Inmiddels wordt op alle relevante domeinen STARTTLS toegepast. STARTTLS conform de TLS-beveiligingsrichtlijnen van het NCSC laat zoals verwacht een terugval zien vanwege de strengere norm die hier voor geldt. De toepassing van DMARC met strikte policy heeft een grote sprong voorwaarts gemaakt, 17% adoptiegroei t.o.v. 8% overheidsbreed.

4.2.4. Uitvoering

Bij de uitvoeringsorganisaties zien we dat er nog steeds onvoldoende aandacht is voor DNSSEC, deze staat op een adoptiegraad van 91% t.o.v. 94% overheidsbreed. Hoewel ook alle uitvoeringsorganisaties nu TLS toepassen, scoren zij gemiddeld het slechtst op TLS conform de TLS- beveiligingsrichtlijnen. Ondanks significante groei bij HSTS, wordt ook deze standaard gemiddeld gezien het slechtst toegepast met een adoptiegraad van 77%.

De stagnatie bij e-mailstandaarden, die we bij de uitvoeringsorganisaties in de vorige meting constateerden, is over het algemeen omgezet in groei. Met name DMARC, mét en zonder strikte policy, wordt vaker toegepast, hoewel er nog meer ruimte is voor groei. De adoptiecijfers voor DNSSEC bij mailservers, en DANE voor het afdwingen van een versleutelde verbinding, blijven zorgelijk. Afgeleid van het adoptiepercentage van DNSSEC MX, is er een groeipotentieel van 22% om DANE voor inkomend verkeer mogelijk te maken.

4.2.5. Provincies

De provincies scoren inmiddels ook 100% op TLS. Het afdwingen van de TLS-verbinding wordt gemiddeld veel beter gedaan, en de 100% is ook voor HTTPS-redirect en HSTS binnen handbereik. Ook hier zien we een terugval bij TLS conform de TLS-beveiligingsrichtlijnen door de strengere norm.

Ten aanzien van e-mail zien we helaas dat de stagnatie uit de voorgaande meting heeft doorgezet. Niet verrassend is de terugval bij STARTTLS conform de TLS-richtlijnen vanwege de strengere norm. DKIM wordt inmiddels weer wat betere toegepast, en 100% ligt binnen bereik. De provincies zijn helaas wel de meest ‘spoofbare’ overheidslaag, met de laagste adoptiegraad van een strikte DMARC policy (50%).

Ook de adoptiegraad van DNSSEC en DANE is met respectievelijk 44% en 20% het laagste van alle overheidslagen.

4.2.6. Gemeenten

De gemeenten scoren wederom het beste op het gebruik van de webstandaarden. De voornaamste uitdaging is om TLS conform de TLS- beveiligingsrichtlijnen weer boven het oude niveau te krijgen.

Het feit dat de gemeenten met afstand de meeste domeinen bezitten in onze test (365 van de 548) maakt de hoge scores nog indrukwekkender.

Bij de mailstandaarden zien we dat er nog aandacht nodig is voor het strikt afstellen van DMARC policy (65%) en SPF policy (90%).

Ook is de enorme terugval bij STARTTLS conform de TLS- beveiligingsrichtlijnen opvallend, de gemeenten scoren hier nu met afstand het slechtst. Er blijft aandacht nodig voor de toepassing van DNSSEC voor mailservers en DANE, waarmee de beveiligde verbinding kan worden afgedwongen en zogenaamde ‘downgrade attacks’ kunnen worden voorkomen.

4.2.7. Waterschappen

De waterschappen zijn een middenmotor in het toepassen van webstandaarden. Naast de verwachte achteruitgang bij TLS conform de TLS-beveiligingsrichtlijnen zien we een achteruitgang van 6% bij DNSSEC. De achteruitgang lijkt procentueel fors, maar valt mee in de wetenschap dat het gaat om 32 domeinen, waar één domein al voor meer dan 3% meetelt.

Op het vlak van e-mailbeveiligingsstandaarden beginnen de waterschappen gemiddeld gezien echt achter te lopen op de overige overheidslagen. Met name verbindingsbeveiliging vergt aandacht, maar ook de DMARC policies kunnen strikter worden ingesteld.

5. IPv6-meting overheidswebsites en e-maildomeinen

Alle overheidswebsites en e-maildomeinen van de overheid moeten uiterlijk eind 2021, behalve via IPv4, ook volledig bereikbaar zijn via IPv6. Dat besloot het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) op 8 april 2020. Forum Standaardisatie meet vanaf deze meting halfjaarlijks de implementatievoortgang van IPv6.

5.1. Over IPv6

IPv6 is de open internetstandaard die iedere internetgebruiker nodig heeft om ook in de toekomst onbelemmerd gebruik te kunnen maken van internet. Er zijn verschillende goede redenen om voor IPv6 te kiezen, juist ook als overheid: groei en innovatie van internet, directere en snellere dienstverlening, en tegengaan van fraude.

Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT- systemen op het Internet mogelijk. De standaard bepaalt dat ieder ICT- systeem op het Internet een uniek nummer (IPv6-adres zoals 2a07:3506:4c:3207::1:0) heeft. Hierdoor kunnen ICT-systemen elkaar herkennen en onderling data uitwisselen. IPv6 heeft een veel grotere hoeveelheid beschikbare IP-adressen ten opzichte van de voorganger IPv4. Een computer met een IPv4-adres kan niet communiceren met een computer die alleen een IPv6-adres heeft. Wel kunnen versie 4 en versie 6 naast elkaar worden gebruikt, maar uiteindelijk zal IPv4 volledig worden vervangen door IPv6. In november 2019 zijn de laatst beschikbare IPv4- adressen voor Europa uitgegeven.

5.2. Over de IPv6-meting

De domeinen en meetwijze zijn in de basis gelijk aan de Meting Informatieveiligheidstandaarden. Voor meer informatie hierover kunt u terecht in hoofdstuk 3.

De volgende tabel geeft aan wat is getest.

IPv6 web Er wordt getest of alle nameservers (minimaal twee) en tenminste één webserver een IPv6-adres hebben en bereikbaar zijn. Er wordt ook getest of de IPv6 website gelijkt lijkt aan de IPv4 website. De streefbeeldafspraak is om hier vóór 2022 aan te voldoen.
IPv6 e-mail Er wordt getest of alle nameservers (minimaal twee) van het e-maildomein en alle mailservers (MX) een IPv6- adres hebben en bereikbaar zijn. De streefbeeldafspraak is om hier vóór 2022 aan te voldoen.

5.3. Trend bereikbaarheid overheid via IPv6

Onderstaande grafiek toont de trend in het toepassen van IPv6 voor websites en e-mail van de overheid. De historische gegevens zijn bijvangst uit eerdere metingen. Met name de adoptiegroei van IPv6 voor

e-mail ligt erg laag, en als dit niet heel snel omhoog gaat wordt het streefbeeld op dit aspect niet gehaald. Ook de adoptie van IPv6 voor websites vergt veel meer aandacht wil dit over 1,5 jaar in de buurt van de 100% komen.

5.4. Bereikbaarheid overheidswebsites via IPv6

5.4.1. Gemiddelde bereikbaarheid

De gemiddelde bereikbaarheid van websites wordt met name geremd door de adoptie van IPv6 op webservers. De adoptiegraad is 71%. De adoptiegraad op nameservers is al relatief hoog, en dat illustreert dat het streefbeeld van 100% adoptie op dat aspect binnen bereik ligt.

5.4.2. Per overheidslaag

De gemeenten scoren het beste op de bereikbaarheid van websites via IPv6. Dit komt waarschijnlijk met name door het programma van VNG Realisatie waarmee gemeenten worden ondersteund bij de implementatie van IPv6.

5.5. Bereikbaarheid e-maildomeinen via IPv6

5.5.1. Gemiddelde bereikbaarheid

De gemiddelde bereikbaarheid van e-maildomeinen wordt met name geremd door de adoptie van IPv6 op mailservers. De adoptiegraad is slechts 21%. De adoptiegraad op nameservers is al relatief hoog, en dat illustreert dat het streefbeeld van 100% adoptie op dat aspect binnen bereik ligt.

5.5.2. Per overheidslaag

Uitvoeringsorganisaties scoren gemiddeld het hoogst op IPv6. Dit komt onder meer doordat een aantal domeinen zijn aangesloten op de centrale mailvoorziening van Justitie en Veiligheid die IPv6 ondersteund.

Adoptiegroei binnen de categorieën Rijk en uitvoering is met name te behalen als shared service providers, zoals DICTU en SSC-ICT, ook stappen zetten om de servers via IPv6 bereikbaar te maken. Met name SSC-ICT kan nog flinke stappen zetten, hun nameservers zijn nog niet per IPv6 bereikbaar.

Bij decentrale overheden zien we over het algemeen vaker gebruik van cloudmailoplossingen. Hierbij is het zaak de leverancier te vragen om e- mail via IPv6 mogelijk te maken. Zo kunnen overheidsorganisaties die gebruik maken van Microsoft’s Office 365 (Exchange Online) dit via de leverancier op verzoek laten activeren.

Bijlage: Individuele resultaten per domeinnaam

(Zie Link naar PDF bovenaan de pagina)

Documentatie-type