Oplegnotitie Adoptie Open Standaarden

Content

Agendapunt 4 Open standaarden, adoptie

Nummer:  FS 20210609.4

Aan:          Forum Standaardisatie

Van:          Stuurgroep Open Standaarden

Datum:     9 juni 2021

Versie:      1.0

Bijlagen:   4A Agendering sponsorschap en aanwezigheid incl. gremia agendering Forum-leden

                 4B Adoptiegraad informatieveiligheidstandaarden

Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van dit PDF bestand niet garanderen.

Samenvatting

Ter bespreking

A. Agendering IV-meting en Monitor, sponsorschap door Forum-leden, en aanwezigheid

B. Meting informatieveiligheidstandaarden begin 2021 (presentatie)

Ter kennisname

C. API’s

D. Content-, data- en digitale toegankelijkheidstandaarden

E. Nederlandse Digitaliseringsstrategie 2021

F. Overheidsbreed IPv6-implementatieteam van start

G. Eenduidige dienstverlening

H. Levensgebeurtenis van Werkloosheid naar Werk

 

Ter bespreking

Ad A. Agendering IV-meting en Monitor, sponsorschap door Forumleden, en aanwezigheid

[bijlage A]

Ieder Forum-lid wordt gevraagd om:

  1. Een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en IV-meting onder zijn/haar achterban;
  2. Een update te geven over hun sponsorschap;
  3. Kennis te nemen van het overzicht van de aanwezigheid.

Toelichting

  1. In de bijlage treft u een overzicht aan van de huidige stand van zaken (voor zover bekend) met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).

A. De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.

B. Daarnaast hebben de leden van het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component.

Tevens herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.

  1. De Forumleden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in bijgaand overzicht.
  2. Tevens wordt een overzicht gegeven van de aanwezigheid van de Forumleden sinds 13 juni 2018.

 

 

Ad B. Meting informatieveiligheidstandaarden begin 2021 (presentatie)

[bijlage B]

Het Forum Standaardisatie wordt gevraagd om:

  1. De eigen organisatie en achterban aan te sporen om de verplichte moderne internetstandaarden te implementeren;
  2. Aan te geven wat eventuele knelpunten zijn voor adoptie binnen de eigen organisatie en achterban.

Toelichting

Voornamelijk groei gebruik informatieveiligheidstandaarden, twee uitzonderingen

Het gebruik van de meeste informatieveiligheidstandaarden is afgelopen halfjaar wederom gegroeid. De uitzonderingen hierop zijn HSTS (web) en DNSSEC MX (e-mail). De terugval van 9% in de adoptiegraad (83%) van HSTS (voor het afdwingen van een beveiligde websiteverbinding) komt door een aanpassing in de minimum vereiste cache-geldigheidsduur, deze is in de Internet.nl test verhoogd van 6 maanden naar 1 jaar.

Dit is in overeenstemming met de gangbare good practices. De lichte terugval van 2% in de adoptiegraad (64%) van DNSSEC MX (domeinnaambeveiliging voor mailservers) komt door toenemend gebruik van clouddiensten van voornamelijk Amerikaanse (moeder)bedrijven, waar DNSSEC minder gemeengoed is dan in Nederland. Dit heeft een remmend effect op de adoptie van zowel DNSSEC MX als DANE (voor het afdwingen van een beveiligde e-mailverbinding), hoewel de DANE-adoptie nog wel gegroeid is van 53% naar 55%.

Toekomstvaste TLS-configuraties

In de voorgaande meting (september 2020) zagen we een forse daling in het gebruik van TLS conform de aanbevolen configuratie volgens het NCSC, bij zowel web als e-mail. Dit werd veroorzaakt door een strengere vereisten.

Inmiddels zien we dat overheden hun TLS-configuraties verbeteren. STARTTLS (veilige e-mailverbindingen) conform de NCSC-aanbevelingen is gegroeid van 42% naar 69%. HTTPS (veilige websiteverbindingen) conform de NCSC-aanbevelingen is gegroeid van 78% naar 83%.

Voorkomen van e-mailvervalsing

Om phishingmails uit naam van overheidsorganisaties (inclusief bewindspersonen) te voorkomen, moet meer dan een kwart van de halfjaarlijks gemeten domeinen nog een strikt DMARC-beleid instellen.

Het streefbeeld was om dit eind 2019 voor elkaar te hebben. Kijken we breder dan de halfjaarlijks gemeten set domeinen, dan blijkt dat meer dan één derde van de overheidsdomeinen nog niet voldoet.

IPv6

Ook zien we dat er meer aandacht nodig is voor IPv6. IPv6 adoptie voor websites beweegt langzaam de goede kant op (adoptiegraad van 78%), maar het groeitempo lijkt te kort te komen om het nieuwe streefbeeld, dat in april 2020 in het OBDO is afgesproken, te gaan halen.

Het groeitempo van IPv6 voor e-maildomeinen is gestegen, we constateren een verdubbeling ten opzichte van een half jaar geleden, maar met de huidige adoptiegraad van 40% wordt de het doel van 100% eind dit jaar hoogstwaarschijnlijk niet gehaald.

Handelingsperspectief

Hoewel de gemiddelde adoptie van informatieveiligheidstandaarden in de afgelopen jaren sterk is gegroeid zijn we er nog niet. De volgende aanvullende inspanningen zijn noodzakelijk om verbeteringen te realiseren en daarmee Nederland digitaal weerbaarder te maken.

  1. Overheden die nog niet voldoen aan de afgesproken standaarden dienen dringend (opnieuw) hun leverancier formeel te verzoeken om ondersteuning, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning.
  2. Overheden wordt verzocht om de ontvangen leveranciersplanningen ter informatie te delen met het Forum Standaardisatie. Forum Standaardisatie is bereid om desgewenst het gesprek aan te gaan met grotere overheidsleveranciers die nog niet te voldoen te coördineren.
  3. Als de huidige leverancier te weinig medewerking verleent, dienen overheden te overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan geleerd worden van collega-overheden die wel de afgesproken standaarden ondersteunen.
  4. Forum Standaardisatie zal overheidsorganisaties, in samenwerking met koepelorganisaties, individueel aanspreken en helpen.

Meer specifiek met betrekking tot de mailstandaarden:

  1. Het instellen van een voldoende strikte DMARC-policy is een kwestie van een goed, zorgvuldig configuratie-traject door de ICT-dienstverlener. SPF en DKIM zijn noodzakelijk randvoorwaarden voor DMARC-policy. De meting laat zien dat die standaarden al zeer veel worden toegepast (op tenminste 95% van de domeinen). Er ligt dus een duidelijk groeipotentieel voor DMARC-policy.
  2. Het toepassen van DANE is een actie die ligt bij de beheerder van de mailserver. DNSSEC MX is een randvoorwaarde voor DANE en wordt al toegepast op 64% van de domeinnamen. Als een mailserver al DNSSEC doet, dan is het ondersteunen van DANE een relatief kleine stap (‘laaghangend fruit’). Een aantal overheidsorganisaties maakt gebruik van cloud mailservers die nog geen DNSSEC MX en DANE ondersteunen. Het is van belang dat overheden ook bij deze leveranciers formele ondersteuningsverzoeken indienen.
  3. Forum Standaardisatie heeft contact met veelvoorkomende mailproviders en mailsoftware-leveranciers die nog geen DNSSEC en DANE voor de mailservers ondersteunen, om de implementatieplannen te achterhalen en waar nodig te bespoedigen door de behoefte te articuleren.
    Dit gebeurt zoveel mogelijk in samenspraak met klanten en koepels. Het heeft er onder andere toe geleid dat Microsoft heeft aangekondigd om in 2021 DNSSEC en DANE te implementeren op Office 365 (Exchange Online). Mede langs deze weg is DANE-verificatie onlangs ook beschikbaar gekomen in Proofpoint EE (gedeeltelijke implementatie) en in Fortmail.

Meer specifiek met betrekking tot IPv6:

  1. Adoptiegroei binnen de categorieën Rijk en uitvoering is met name te behalen als shared service providers, zoals SSC-ICT, ook stappen zetten om de servers via IPv6 bereikbaar te maken. Partijen als DPC en DICTU doen dit al. Met name SSC-ICT kan nog flinke stappen zetten, hun name-, web- en mailservers zijn bijvoorbeeld nog niet per IPv6 bereikbaar.
  2. Bij gebruik van cloudmailoplossingen is het zaak aan overheidsorganisaties om hun leverancier te vragen om diensten ook via IPv6 bereikbaar te maken. Zo kunnen overheidsorganisaties die gebruik maken van Microsoft’s Office 365 (Exchange Online) dit via de leverancier op verzoek laten activeren.

Regie op internetdomeinen

Tot slot blijkt uit een vergelijking tussen de hoofdresultaten van de meting met een bredere set overheidsdomeinen dat er nog een wereld te winnen valt. Focus op primaire (veelgebruikte) internetdomeinen is een logische eerste stap om belangrijke verbeteringen te realiseren. Maar sturing op het bredere domeinnaamportfolio is noodzakelijk om risico’s voor zowel organisaties als burgers verdergaand te kunnen beheersen.

Daarom roepen wij overheidsorganisaties op actief te werken aan het inrichten van regie op internetdomeinen. Als handreiking heeft Forum Standaardisatie vijf basisprincipes voor goed domeinnaambeheer uiteengezet in de publicatie ‘Regie op internetdomeinen: Lessen uit de praktijk’.

 

Ter kennisname

Ad C.  API’s

  • De Werkgroep (API) Strategie en Beleid kwam bijeen op 13 april. Het afgelopen jaar richtte de werkgroep zich op de belangrijkste punten die uit de bijeenkomst van 3 maart 2020 naar voren kwamen. Dit resulteerde in de werkversie van het hoofdstuk Strategie en Beleid voor de nieuwe API Strategie. Sommige organisaties (RvIG en RDW) zetten kritische kanttekeningen bij de huidige oriëntatie van het werkdocument. In de bijeenkomst is daarom het onderdeel manifest en stappenplan behandeld, de kern van het hoofdstuk over Strategie en Beleid in de Nederlandse API Strategie.
    De resultaten van de discussies uit de werkgroep zijn openbaar gedocumenteerd op Github. Om tijdig aan te sluiten op de nieuwe versie van de API strategie wordt de frequentie van de bijeenkomsten verhoogd tot 4-5 weken (was elke 8-10 weken). Het kennisplatform APIs verwacht dat de nieuwe API Strategie in de zomer 2021 gepubliceerd zal worden.
  • Op 15 september verzorgt BFS een sessie over APIs op het iBestuur congres. Sprekers in deze sessie zijn Cathy Dingemanse, product owner Haal Centraal bij VNG Realisatie, Gino Laan van minBZK en Larissa Zegveld als gespreksleider.
    Vanuit minBZK wordt geprobeerd om ook SG Maarten Schurink bij de sessie te betrekken. De sessie gaat in op de vraag hoe APIs de informatiehuishouding van de digitale overheid meer in lijn kunnen brengen met de realiteit van de platformeconomie. De verwachting is dat het Forum Standaardisatie tijdens het iBestuur Congres een manifest ondertekend dat dit belang overheidsbreed onderschrijft.
  • Redouan Ahaloui nam op 1 mei het voorzitterschap van de werkgroep Strategie en Beleid van het Kennisplatform APIs over. Ook neemt Redouan namens Bureau Forum Standaardisatie plaats in de stuurgroep van het Kennisplatform APIs.

Ad D. Content-, data- en digitale toegankelijkheidstandaarden

  • Bij de OpenState Foundation is de website https://openpubliceren.nl/ live gegaan. Deze website is tot stand gekomen met financiering van Forum Standaardisatie en biedt een beslisboom die helpt het meest geschikte bestandsformat te kiezen, afhankelijk van de toepassing en het doel van de informatie.
    Het is een ‘levende’ website waarop de OpenState Foundation de beslisboom en praktijkvoorbeelden doorlopend wil actualiseren. BFS gaat een meer gedetailleerde eigen versie van de beslisboom ook op de website forumstandaardisatie.nl opnemen. Hiermee komt Forum Standaardisatie tegemoet aan een vraag van staatssecretaris Knops.
  • Het projectteam MijnOverheid van Logius heeft Forum Standaardisatie benaderd om advies over de problematiek van PDFs die met de berichtenbox worden gestuurd en niet digitaal toegankelijk zijn. BFS gaat samen met dit team een evenement organiseren met het doel om bij de berichtenbox aangesloten organisaties bewust te maken van de noodzaak om documenten digitaal toegankelijke te versturen. Hierbij worden ook mogelijke oplossingen besproken en krijgen de aangesloten organisaties de mogelijkheid om kennis en ervaringen te wisselen.
  • Op 1 juni verzorgt BFS een informatiesessie over PDF en digitale toegankelijkheid voor minI&W.
  • In week 25 voert Cardan Technobility toegankelijkheidsonderzoeken uit op de secundaire websites van het Forum Standaardisatie. Het gaat om de websites forumstandaardisatie.nl, beslisboom.forumstandaardisatie.nl, magazine.forumstandaardisatie.nl, gab.pleio.nl en bom.pleio.nl. Met deze toegankelijkheidsonderzoeken kunnen wij de wettelijk verplichte toegankelijkheidsverklaringen op deze websites actualiseren en verbeteringen doorvoeren om de websites digitaal toegankelijker te maken.

 

Ad E. Nederlandse Digitaliseringsstrategie 2021

Op 26 april jl. heeft de regering een brief over de “Update Nederlandse Digitaliseringsstrategie 2021” aan de Tweede Kamer gestuurd. Als bijlage is de “Nederlandse Digitaliseringsstrategie 2021” bijgevoegd.

In de strategie komen “standaarden” op diverse plaatsen terug. Hieronder volgt een aantal relevante citaten.

  • Cloud: “De Commissie wil met diverse MFK-fondsen en met lidstaten € 4 tot 10 miljard investeren in Europese cloud-infrastructuren, standaardisatie en datakwaliteit, om de veilige en makkelijke uitwisseling en opslag van gegevens te verbeteren en meer keuzevrijheid te creëren. In oktober 2020 ondertekende Nederland hierover met alle Europese lidstaten een verklaring.” (p. 18)
  • Generieke Digitale Infrastructuur: “De GDI bestaat uit generieke afspraken, standaarden en voorzieningen waarmee burgers en bedrijven betrouwbaar en veilig kunnen communiceren met de overheid.” (p. 38)
  • Openstandaarden-beleid: “De Nederlandse overheid stimuleert al jaren de inzet van open standaarden in het eigen domein. Het Forum Standaardisatie adviseert welke open standaarden een pas-toe-of-leg-uit status krijgen, ondersteunt overheidsorganisaties bij het toepassen van open ICT-standaarden en rapporteert daarover jaarlijks aan de Tweede Kamer.” (p. 41)
  • Internetstandaarden: “De ontwikkeling en innovatie van het internet is sterk afhankelijk van standaarden en protocollen. Die komen voort uit onderzoek en productontwikkeling door allerhande organisaties en bedrijven en worden uiteindelijk de facto of formeel ‘vastgesteld’. Steeds vaker oefenen statelijke actoren invloed uit op dat proces om politieke, culturele of maatschappelijke kenmerken onderdeel te maken van technische standaarden. Dit kan op gespannen voet staan met Nederlandse waarden als privacy, vrijheid van meningsuiting of open toegang tot internet.
    Zo deden niet-westers georiënteerde landen in 2019 al voorstellen voor gezichtsherkenning en een Internetprotocol met verregaande traceerbaarheid. Die ontwikkeling gaat gelijk op met het afhaken van veel private partijen die bij standaardisatie betrokken waren, vooral vanuit kostenoverwegingen. Daardoor hebben grote multinationale techbedrijven de overhand verkregen. Om publieke waarden te kunnen waarborgen en ongewenste beïnvloeding tegen te gaan zal de Nederlandse overheid actiever moeten participeren in standaardisatieorganisaties als ITU en ETSI.
    Dat vereist onder meer technische expertise en kennis over voorliggende standaarden. Om dit te realiseren zal meer samenwerking worden gezocht met die partijen die de technische aspecten van de standaarden kunnen duiden en mede bepalen.” (p. 46)
  • Veilige overheidswebsiteverbindingen: “Om de adoptie van veiligheidsstandaarden (HTTPS/HSTS) te vergroten, zal in 2021 extra ingezet worden op voorlichting aan zogenaamde achterblijvers. Dit zal onder andere gebeuren via kanalen van BZK en het Forum Standaardisatie. In 2022 wordt de implementatie van deze standaarden een wettelijke verplichting” (p. 81)

Ad F. Overheidsbreed IPv6-implementatieteam van start

In april 2020 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) besloten dat de gehele overheid per eind 2021 via IPv6 bereikbaar moet zijn. Dit betekent dat de Nederlandse overheid een enorme stap zet in de adoptie van IPv6.

 

Op grond van eerdere ervaringen is het nemen van een dergelijk besluit nog geen garantie dat het ook gerealiseerd wordt. Veel organisaties die maar beperkte ICT-capaciteit en/of kennis hebben moeten al snel te rade bij (externe) adviseurs of stellen andere prioriteiten, waardoor de realisatie mogelijk in de knel komt. VNG Realisatie heeft de afgelopen twee jaar met succes de implementatie van IPv6 gefaciliteerd door de inzet van een implementatie-ondersteuningsteam.

 

In het najaar van 2020 heeft de projectleider van dit team voorgesteld om het team vanaf begin 2021 over de breedte van de overheid in te zetten. Door de kennis en ervaringen van het IPv6 implementatie-ondersteuningsteam toe te passen op alle overheidsorganisaties kan een versnelling worden aangebracht in de adoptie van IPv6 voor externe bereikbaarheid.

 

Het idee, dat inmiddels wordt ondersteund door het Forum Standaardisatie, het Interprovinciaal Overleg en het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties en waarvoor VNG Realisatie een financiële garantie heeft afgegeven, is grensverleggend. Het is namelijk de eerste keer dat een overheidsbrede aanpak voor de adoptie van IPv6 wordt gerealiseerd.

Hoewel de administratieve inbedding nog moet worden uitgewerkt is het team inmiddels, mede vanwege de nog maar beperkte tijd tot eind 2021, uitgebreid aan de slag. Met diverse departementen, IPO, het Waterschapshuis en Veiligheidsregio’s worden afspraken gemaakt over de adoptie van IPv6 en de daarbij eventueel noodzakelijke ondersteuning. Het team heeft ook de beschikking over speciale tooling om IPv6-bereikbaarheid van website en mail versneld te regelen via een zogenaamde translatie gateway.

 

De taak waarvoor het team staat is fors. In totaal gaat het om ruim 9600 websites en ruim 3500 maildomeinen. Van de gemeentelijke websites (hoofddomeinen) (N=352) is nu bijna 90% via IPv6 bereikbaar. Bij de gemeentelijke e-maildomeinen is de adoptie bijna 35%.

Van alle websites van de Rijksoverheid (N= 9681) is naar schatting 31% ook via IPv6 bereikbaar. Bij de e-maildomeinen (N=3531) is de score hoger: 70%. De gegevens van waterschappen en provincies zijn nog in bewerking.

 

Een belangrijk aandachtspunt is het verzamelen van alle noodzakelijke informatie over URL’s. De nu beschikbare informatie moet nog worden opgeschoond en worden ontdaan van wel bestaande maar niet meer in gebruik zijnde domeinnamen. Het knelpunt in dit verband is dat een sluitende centrale registratie ontbreekt. Hoewel dat geen doel is van de implementatie-ondersteuning kan de spin off van deze aanpak zijn dat de basis voor een meer centrale registratie kan worden gelegd.

Ad G. Eenduidige dienstverlening

Op 11 september is het rapport “Werk aan uitvoering fase II” naar de Tweede Kamer gestuurd. Dit rapport is opgesteld door ABDTOPConsult. In het rapport zijn voorstellen gedaan om de dienstverlening aan burgers, instellingen en bedrijven te versterken en de wendbaarheid, continuïteit en toekomstbestendigheid van de uitvoering te vergroten. De zes handelingsperspectieven uit “Werk aan uitvoering” worden nu verder uitgewerkt door bestuurlijke trekkers per thema.

Voor het handelingsperspectief ‘toekomstbestendige dienstverlening’ zijn dit de heren Sibma (SVB), Van Hout (gemeente Nijmegen), en Den Hollander (BZK). Deze bestuurlijke trekkers hebben de opdracht om het handelingsperspectief uit Werk aan uitvoering nader uit te werken en de daarbij behorende oplossingstappen om te zetten in een werkagenda en plan van aanpak: wat heeft nu prioriteit, wat kan snel worden opgepakt, wat op langere termijn, hoe gaan we het uitvoeren en wat moet op de formatietafel landen?

Om de bestuurlijke trekkers te helpen bij het neerzetten van een goede uitwerking is de inspiratiegroep in het leven geroepen om specifieke expertise van o.a. Forum Standaardisatie daarbij te benutten. Op 9 maart, 29 april en 20 mei zijn er vervolgsessies van deze inspiratiegroep. En worden onze ervaringen en thema’s uit het werkplan meegenomen in maatwerk voor dienstverleningsprincipes (spoor 1: loketfunctie). De afspraken die hieruit voortkomen richten zich op een gezamenlijke overheidsdienstverlening waar burgers met vertrouwen gebruik van maken.

Ad H. Levensgebeurtenis van Werkloosheid naar Werk

In opmaat naar het iBestuur jaarcongres op 15 september en de toekomstige werkconferentie van Forum Standaardisatie over dit onderwerp, vindt op 29 juni in samenwerking met Mens Centraal en iBestuur een Webinar plaats. De invulling wordt aangedragen door Mens Centraal, die onder andere de eerste resultaten zullen delen van hun deskresearch, aangevuld met inbreng vanuit betrokken partijen, zoals UWV, MinSZW, gemeenten etc.

 

Documentatie-type