Content
De beveiliging van internetdomeinnamen van de overheid laat te wensen over. Hoewel er afspraken gemaakt zijn om moderne internetstandaarden versneld te adopteren, blijkt uit de laatste meting van Forum Standaardisatie dat veel overheidsorganisaties nog steeds kwetsbaar zijn. Dat geldt zelfs voor de wettelijk verplichte standaarden. Het forum meet halfjaarlijks de voortgang van het gebruik van de verplichte standaarden. In dit artikel vindt u de oproepen van Forum Standaardisatie aan alle overheidsorganisaties op basis van de meting van 31 augustus 2024.
Meting internetveiligheidstandaarden medio 2024
In de meting zijn in totaal 12.198 domeinnamen van de overheid gecontroleerd. 50% van de internetdomeinnamen voldoet nog niet volledig aan de afgesproken internetveiligheidstandaarden. Dit brengt onnodige risico’s met zich mee. Denk aan verhoogde kans op phishing, fake-news, ransomware en het afluisteren van web- en e‑mailverkeer. Om risico's zoals deze te beperken, roept het Forum op tot snelle implementatie van verplichte veiligheidsstandaarden.
De ministeries van Infrastructuur en Waterstaat, van Justitie en Veiligheid, van Asiel en Migratie, en van Volksgezondheid, Welzijn en Sport hebben wel flinke vooruitgang geboekt sinds de vorige meting. Dit laat zien dat verbetering haalbaar is wanneer er prioriteit aan wordt gegeven.
Oproepen van Forum Standaardisatie
Om ervoor te zorgen dat alle overheidsorganisaties voldoen aan de verplichte internetveiligheidstandaarden, doet het Forum Standaardisatie de volgende oproepen.
- Najagen en plannen
Maak een planning met een einddatum, voor het inlopen van de achterstand. Daar hebben verschillende overheidsorganisaties flinke vorderingen mee behaald. - Implementeer RPKI vóór eind 2024
In 2014 zijn IP-adressen van de overheid gekaapt. Resource Public Key Infrastructure (RPKI) voorkomt zogenaamde route hijacks, waarbij internetverkeer wordt omgeleid naar niet-geautoriseerde netwerken. Overheidsbreed is afgesproken dat deze standaard vóór eind 2024 wordt geïmplementeerd. Vraag leveranciers die achterblijven naar de status van RPKI op hun roadmap en stuur aan op tijdige implementatie. - Activeer DANE en IPv6 bij gebruik van Microsoft Exchange Online (Office 365)
Sinds eind oktober biedt Microsoft ook ondersteuning voor DANE bij inkomende e‑mail. DANE zorgt voor een beveiligde verbinding bij het verzenden van e-mails. Als uw overheidsorganisatie gebruikmaakt van Exchange Online, activeer dan DANE voor inkomende e‑mail met behulp van de instructies van Microsoft. DANE voorkomt man-in-the-middle-aanvallen zoals in 2020 gebruikt om de e‑mail van de Tsjechische overheid af te luisteren. Daarnaast roept het Forum Standaardisatie u op om ook de verplichte standaard IPv6 te activeren op Exchange Online. - Regisseer het beheer van internetdomeinen
Organiseer de regie over domeinnamen binnen uw organisatie. Zet in op een groeistop van het domeinnaamportfolio en streef idealiter naar inkrimping. Het beperken van domeinnamen vermindert de beheerlast. - Handhaving en toezicht
De wettelijke verplichting van enkele informatieveiligheidstandaarden heeft nog geen zichtbaar effect. Regel toezicht en handhaving van de verplichting.
Wat kunt u doen?
Neem kennis van de bovenstaande oproepen. Controleer daarbij in de bijlage van de meting of met behulp van Internet.nl hoe uw organisatie ervoor staat. Indien uw organisatie nog niet geheel voldoet, zorg dan voor een plan, waarin ook aandacht is voor leveranciersmanagement, om binnen een half jaar te voldoen aan de verplichte standaarden. Indien uw organisatie vragen heeft over DANE, dan kunt u contact opnemen met het Forum Standaardisatie.
Lees ook
- Volledige rapportage Meting Informatieveiligheidstandaarden medio 2024 incl. IPv6
- Bijlage Informatieveiligheidstandaarden medio 2024: individuele resultaten per domeinnaam
- Streefbeeldafspraken informatieveiligheid (incl. IPv6)
- 5 basisprincipes voor regie op internetdomeinen
- Regie op Internetdomeinen
- Handreiking Beheer Internetdomeinen Rijksoverheid