Streefbeeldafspraken informatieveiligheid
Content
De overheid wil goede beveiliging voor haar websites en e-mail. Er zijn daarom overheidsbrede interbestuurlijke afspraken om het gebruik van een aantal moderne Internetstandaarden te versnellen, de zogenoemde streefbeeldafspraken.
Wat is een streefbeeldafspraak?
Streefbeeldafspraken gaan verder dan de 'Pas toe of leg uit'-verplichting. Kort samengevat stelt die 'Pas toe of leg uit'-verplichting dat bepaalde open standaarden bij de aanschaf van nieuwe ICT-systemen/-diensten (of de doorontwikkeling van bestaande) moeten worden toegepast.
Bij een streefbeeldafspraak moet de open standaard op alle ICT-systemen/-diensten geïmplementeerd worden, dus ook op bestaande. Wachten kan niet meer. Daarom vervalt bij een streefbeeldafspraak de regel uit het ‘Pas toe of leg uit’-beleid over de minimale aanschafwaarde van €50.000,- en is een 'leg uit' niet meer mogelijk.
Wie maakt de streefbeeldafspraken?
Deze afspraken zijn op advies van Forum Standaardisatie na instemming van alle overheidslagen bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of haar voorganger, het Nationaal Beraad Digitale Overheid.
Welke streefbeeldafspraken zijn er?
Er zijn vijf streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines. Onderdeel van de afspraken is ook de veilige configuratie van de standaarden.
Voor e-mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het bestrijden van spoofing/phishing. Daarnaast is er afgesproken dat STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer. De e-mailstandaarden DMARC en SPF moeten zodanig geconfigureerd zijn dat e-mailspoofing actief wordt bestreden.
Om ervoor te zorgen dat de overheid nu en in de toekomst voor iedereen bereikbaar is, moeten alle overheidswebsites en e-maildomeinen van de overheid behalve via IPv4, ook volledig bereikbaar zijn via IPv6.
Tot slot moet uiterlijk eind 2024 de internetroutering van alle door overheden gebruikte IP-adressen beschermd worden met RPKI. Netwerken van de overheid moeten de RPKI-certificaten van anderen valideren en netwerkverkeer van invalide routes weigeren.
Wettelijke verplichting voor veilige websiteverbindingen
Voor beveiligde websiteverbindingen (via HTTPS en HSTS) golden eerst een streefbeeldafspraak. Die afspraak is per 1 juli 2023 verzwaard tot een wettelijke verplichting via het "Besluit beveiligde verbinding met overheidswebsites en -webapplicaties".
Overzicht van streefbeeldafspraken
# |
Deadline |
Afspraak* |
|---|---|---|
| 5 | Eind 2024 |
Beveiliging van internetroutering RPKI wordt toegepast voor alle gebruikte IP-adressen en overheidsnetwerken. Dit omvat zowel het publiceren van certificaten (ROA’s) als het valideren van certificaten van anderen. |
| 4 | Eind 2021 |
Beveiliging van internetroutering RPKI wordt toegepast voor alle gebruikte IP-adressen en overheidsnetwerken. Dit omvat zowel het publiceren van certificaten (ROA’s) als het valideren van certificaten van anderen. |
| 3 | Eind 2019 |
Encryptie van e-mailverkeer STARTTLS en DANE worden toegepast voor het cryptografisch beveiligen (versleutelen) van e-mailverkeer. Actief bestrijden van e-mailspoofing (anti-phishing) De 'policies' voor SPF en DMARC moeten veilig (actief) geconfigureerd zijn. Zolang deze policies niet strikt zijn ingesteld weet de ontvanger nog niet wat te doen met verdachte e-mail. De configuratie moet op orde zijn. Veilige policies zijn ~all en –all voor SPF, en p=quarantine en p=reject voor DMARC. |
| 2 | Eind 2018 |
Veilige configuratie van beveiligde websiteverbindingen (per 1-7-2023 wettelijke verplichting) Alle overheidswebsites passen HTTPS en HSTS toe conform de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC), en configureren de TLS-verbinding conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (NCSC). Dit is een aanvulling op de eerdere afspraak over beveiligde websiteverbindingen. De afspraken gelden dus niet meer alleen voor transactiewebsites. |
| 1 | Eind 2017 |
Beveiligde websiteverbindingen (per 1-7-2023 een wettelijke verplichting) TLS (in de vorm van HTTPS) wordt toegepast bij alle overheidswebsites waarbij burgers en of bedrijven gegevens moet invoeren, of waarbij gegevens vooringevuld zijn; Domeinnaambeveiliging DNSSEC wordt gebruikt voor elke domeinnaam waarmee een overheidsorganisatie met burgers en/of bedrijven communiceert. Bestrijden van e-mailspoofing (anti-phishing) E-mailbeveiligingsstandaarden SPF, DKIM en DMARC worden toegepast voor alle overheidsdomeinnamen, of deze nu wel of niet gebruik maken van e-mail. |
Documentatie van streefbeeldafspraken
- Notitie Nationaal Beraad d.d. 2-2-2016: streefbeeldafspraak TLS, DNSSEC, SPF+DKIM+DMARC, eind 2017;
- Notitie Nationaal Beraad d.d. 9-5-2017: streefbeeldafspraak HTTPS, HSTS en TLS conform NCSC, eind 2018;
- Notitie OBDO d.d. 20-4-2018: streefbeeldafspraak voor e-mailstandaarden (STARTTLS+DANE en veilige SPF+DMARC policies), eind 2019;
- Notitie OBDO (bijlage 1C) d.d. 18-3-2020: streefbeeldafspraak IPv6, eind 2021;
- Notitie OBDO d.d. 30-3-2023: streefbeeldafspraak RPKI, eind 2024.
Aanvullende documenten
- Vermelding van streefbeeldafspraken in het Digiprogramma 2018;
- Notitie Nationaal Beraad d.d. 18 mei 2015: eerste, toen nog niet aangenomen, voorstel voor resultaatafspraak voor informatieveiligheidstandaarden. Op verzoek van Nationaal Beraad werd de term aangepast naar "streefbeeldafspraak".
Kamerstukken
- Beantwoording Kamervragen door Staatssecretaris BZK d.d. 23-12-2023: vermelding van streefbeeldafspraken die worden omgeschreven als "implementatieafspraken met een deadline";
- Nota naar aanleiding van het nader verslag inzake Wet Digitale Overheid door Staatssecretaris BZK d.d. 13-6-2019: vermelding streefbeeldafspraak HTTPS en voorgenomen wettelijke verplichting;
- Nota naar aanleiding van het nader verslag inzake Wet Digitale Overheid door Staatssecretaris BZK d.d. 21-12-2018: vermelding van dan geldende streefbeeldafspraken;
- Beantwoording Kamervragen door Staatssecretaris BZK d.d. 23-1-2018: vermelding van dan geldende streefbeeldafspraken;
- Beantwoording Kamervragen door Staatssecretaris BZK d.d. 10-1-2016: vermelding van dan geldende streefbeeldafspraken.