Meting Informatieveiligheidstandaarden overheid medio 2024

Inclusief IPv6

Datum document:

Status document: publicatieversie

Leeswijzer

Dit rapport is piramidaal gestructureerd en begint in hoofdstuk 1 met de conclusies, adviezen, en het totaalbeeld.

Hoofdstuk 2 en 3 gaan in op het algehele beeld rond de adoptie van respectievelijk websitebeveiligingsstandaarden en e‑mailbeveiligingsstandaarden.

Hoofdstuk 4 gaat in op de adoptie van IPv6 voor websites en e‑mail.

Hoofdstuk 5 gaat in op de adoptie van RPKI voor websites en e‑mail.

Hoofdstuk 6 en 7 gaan dieper in op de adoptiegraad per standaard van respectievelijk de verschillende overheidscategorieën en ministeries.

Hoofdstuk 8 beschrijft de achtergrond van de meting, waaronder de beleidsmatige afspraken, desbetreffende standaarden en de methodiek.

De bijlage geeft een detailinzicht per internetdomein, gecategoriseerd naar overheidscategorie of ministerie.

1. Samenvatting

Overheidsbreed zijn afspraken gemaakt om moderne internetstandaarden voor websites en e‑mail versneld te adopteren. Forum Standaardisatie meet op verzoek van het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) halfjaarlijks de implementatievoortgang van deze afspraken. De afgesproken uiterlijke implementatiedata zijn voor alle standaarden buiten RPKI (voor betrouwbare internetroutering) al verstreken, waardoor verwacht mag worden dat alle webapplicaties en e‑mailsystemen deze standaarden correct toepassen. Daarnaast is een tweetal standaarden daarvan sinds 1 juli 2023 wettelijk verplicht. In dit document wordt gerapporteerd over de stand van zaken per . In de maanden september en oktober 2024 is de analyse uitgevoerd en zijn eventuele correcties doorgevoerd. De nieuwe ministerie namen waren ten tijde van de meting nog niet volledig doorgevoerd naar de verschillende domeinnaamportfolio registraties. Vanwege deze reden zijn deze nieuwe ministeries niet uitgesplist, maar opgenomen bij het ministerie waar de taken eerder waren opgenomen.

Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e‑mailverkeer. Een prominent voorbeeld van de gevolgen van onveilige configuratie van standaarden is een incident van e‑mailphishing namens @overheid.nl in 2018, toen van 200 burgers DigiD-inloggegevens zijn buitgemaakt. Een ander voorbeeld is een zeer serieus incident in 2020 waarbij e‑mail van de Tsjechische overheid werd afgeluisterd via een man-in-the-middle-aanval (in aanloop naar het voorzitterschap van de Raad van de Europese Unie). Merk op dat dit soort incidenten ook niet altijd aan het (publieke) licht komt. Hoe dan ook: des te meer domeinnamen voldoen aan de standaarden, des te kleiner de kans is dat dergelijke incidenten zich voordoen.

De nieuwe meting laat zien dat bij 63% van de internetdomeinen die ook in de vorige meting werden gemeten, alle verplichte website internetveiligheidstandaarden correct zijn toegepast (excl. IPv6 en RPKI). Dit is een stijging van 4 procentpunt ten opzichte van de vorige meting van februari 2024 (d.w.z. van 59% naar 63%). Het gaat om belangrijke beveiligingsstandaarden voor vertrouwelijk webverkeer. Inclusief IPv6 voor duurzame bereikbaarheid van online diensten voldoet 54%; hier is de toename 5 procentpunt (van 49% naar 54%). Het percentage websites met volledige adoptie van de webstandaarden (incl. RPKI en incl. IPv6) groeide van 47% naar 51% (d.w.z. een stijging van 4 procentpunt).

Bij 52% van de ook in de vorige meting gemeten internetdomeinen zijn alle verplichte e‑mailstandaarden correct toegepast (excl. IPv6 en excl. RPKI). Dit is een stijging van 2 procentpunt ten opzichte van de vorige meting (van 50% naar 52%). Hier gaat het om belangrijke beveiligingsstandaarden die e‑mailvervalsing uit naam van de overheid kunnen voorkomen en het e‑mailverkeer vertrouwelijk kunnen houden. Inclusief IPv6 voor duurzame bereikbaarheid van online diensten voldoet 51%; dit is een stijging van 2 procentpunt (van 49% naar 51%). Het percentage internetdomeinen met volledige adoptie van de e‑mailstandaarden (incl. RPKI en incl. IPv6) groeide van 48% naar 51% (d.w.z. een stijging van 3 procentpunt).

Ten opzichte van de vorige meting laten enkele organisaties grote verbetering zien. De ministeries van Infrastructuur en Waterstaat en Justitie en Veiligheid, Asiel en Migratie laten grote verbeteringen zien bij de webstandaarden. Het ministerie van Volksgezondheid, Welzijn en Sport laat een grote verbetering zien bij de e‑mailstandaarden. Domeinnamen die niet eerder werden gemeten scoren slechter dan waarop al werd gemeten, er zijn veel misconfiguraties in niet hoofddomeinnamen, of domeinnamen die enkel doorverwijzen. Het laat zien dat het consequent meten en publiceren van de compliance van internetdomeinen helpt om de kwaliteit te verhogen.

In deze meting zijn in totaal 12198 overheidsdomeinen gecontroleerd. In de vorige meting waren dit 10943 overheidsdomeinen. De stijging komt van nieuw geregistreerde domeinnamen en oudere domeinnamen die pas later aan de domeinnaamportfolio’s zijn toegevoegd. Daarnaast zijn de eerste decentrale overheden zijn inmiddels aangesloten op het Register Internetdomeinen Overheid (RIO). Dit zijn nog niet alle overheidsdomeinnamen, het totaalportfolio heeft vele duizenden meer domeinen. Het RIO heeft nog een zeer beperkt aantal domeinnamen van decentrale overheden. Zo hebben gemeenten meer dan 10.000 websites, maar hiervan staat slechts een fractie in de officiële registers. De overheid zelf maar zeker ook de burger hebben daardoor geen zicht op het totaalportfolio. Dit rapport toont met diverse doorsnedes inzicht in de stand van zaken per overheidscategorie en per ministerie. De mate van adoptie van de standaarden kan gezien worden als een indicator voor de effectiviteit van sturing op kwaliteit van de informatievoorziening.

1.1. Adviezen

Net als in de vorige meting is de conclusie dat geen van de streefbeeldafspraken voor de overheid als geheel gehaald is. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen alle individuele overheidsorganisaties. De op 1 juni 2023 van kracht zijnde Wet digitale overheid die de standaarden HTTPS en HSTS middels een AMvB wettelijk verplicht laat nog geen significante verandering in de adoptie van deze standaarden zien. Ondanks het toevoegen van vele domeinnamen, is er geen zicht op het totaalportfolio aan domeinnamen van de overheid, vooral de decentrale overheden zijn ondervertegenwoordigd in de meting.

Advies 1 (aan overheidsorganisaties): Inventariseer waar gebruik wordt gemaakt van Microsoft Online Exchange (Office 365) en combineer de configuratie van zowel DANE als IPv6.

Overheden besteden hun e‑mailvoorzieningen steeds vaker uit aan clouddienstverleners. Een aantal van dit soort dienstverleners ondersteunen niet alle verplichte standaarden. Zo voldeed Microsoft Online Exchange (Office 365) e‑maildienst tot eind oktober 2024 niet, door de onvolledige implementatie van DANE. Inmiddels is het mogelijk DANE te configureren op Microsoft Online Exchange (Office 365), deze configuratie vereist actie van de organisatie.

Advies 2 (aan alle overheidsorganisaties): Zorg dat RPKI voor het einde van 2024 is geïmplementeerd. Vraag achterblijvende leveranciers naar wanneer de implementatie van RPKI op de roadmap staat. Stuur op implementatie van RPKI voor het einde van 2024 om aan de adoptieafspraak te voldoen.

Zorg ervoor dat de ondersteuning van verplichte open standaarden onderdeel zijn van het leveranciersmanagement van individuele overheidsorganisaties. Vraag leveranciers periodiek naar de planning voor ondersteuning van standaarden. Overweeg om over te stappen als een leverancier onvoldoende meebeweegt.

Advies 3 (aan alle overheidsorganisaties): Organiseer regie op internetdomeinen binnen individuele overheidsorganisaties. Zet in op een groeistop van het domeinnaamportfolio en stuur idealiter op een inkrimping.

Om de adoptieopgave behapbaar te maken en te houden, is actief beheer van het domeinnaamportfolio met als doel het beperkten van het domeinnaamportfolio noodzakelijk. Stel een maximum aan nieuwe domeinnamen per jaar vast. De samenvoeging van verschillende websites en het vaker inzetten van subdomeinen in plaats van nieuwe domeinnamen, verkleinen het digitale oppervlak waar de standaarden geïmplementeerd moeten worden.

Als handreiking voor het beheersbaar maken van domeinnamen heeft Forum Standaardisatie vijf basisprincipes voor regie op internetdomeinen op een rij gezet. Voor de Rijksoverheid heeft het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI), in samenwerking met Forum Standaardisatie, in 2021 de Handreiking Beheer Internetdomeinen Rijksoverheid gepubliceerd. Deze informatie is ook in 2024 nog steeds actueel en kan helpen bij deze opgave.

Advies 4 (aan decentrale overheidsorganisaties): Zorg voor aansluiting op het centrale Register Internetdomeinen Overheid (RIO). Het RIO heeft ten doel om alle domeinnamen die door overheidsorganisaties zijn geregistreerd bij te houden en te publiceren. Burgers kunnen in het register nagaan of een website of e‑mailadres van een overheidsorganisatie is. Daarnaast geeft het register de overheid zelf zicht op het totaalportfolio waardoor beter op kwaliteit van de digitale dienstverlening kan worden gestuurd. Daarom is het van belang dat ook domeinnamen van decentrale overheden worden toegevoegd aan het RIO.

1.2. Websitestandaarden

1.2.1. Totaalbeeld websites per overheidscategorie (incl. IPv6 en incl. RPKI)

Onderstaande cijfers laten zien in welke mate de domeinnamen van verschillende overheidscategorieën de afgesproken websitestandaarden voor veilig en modern webverkeer toepassen. Waterschappen en gemeenten en lopen gemiddeld gezien ver voor op de andere categorieën. De gemeenschappelijke regelingen lopen ver achter.

Hoofdstuk 2 gaat in meer detail in op de specifieke websitebeveiligingsstandaarden, hoofdstuk 4 gaat in op IPv6 en hoofdstuk 5 op RPKI.

Grafiek 1: Volledige adoptie van alle webstandaarden per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(12198)
Waterschappen
(83)
Gemeenten
(1177)
Provincies
(73)
Centrale overheid
(10033)
Gemeenschappelijke regelingen
(832)
Percentage (%) 50% 66% 63% 56% 49% 32%

1.2.2. Websitebeveiligingsstandaarden (excl. IPv6 en excl. RPKI)

Door toepassing van websitebeveiligingsstandaarden wordt de verbinding met overheidswebsites beter beveiligd, zodat criminelen niet zomaar uitgewisselde gegevens kunnen onderscheppen of manipuleren.

Deze paragraaf laat het totaalbeeld per overheidscategorie en het totaalbeeld per ministerie zien.

1.2.2.1. Adoptie per overheidscategorie

De achterblijvers zijn met name te vinden bij de gemeenschappelijke regelingen en centrale overheid. De centrale overheid is getalsmatig oververtegenwoordigd in de meting doordat er veel secundaire internetdomeinen (campagnesites, projectsites, etc.) zijn meegenomen. Er is geen goed beeld van secundaire internetdomeinen van decentrale overheden, hoewel we weten dat er grotere gemeenten wel honderden websites in beheer kunnen hebben.

Grafiek 2: Volledige adoptie van alle webbeveiligingsstandaard per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(12198)
Gemeenten
(1177)
Provincies
(73)
Waterschappen
(83)
Centrale overheid
(10033)
Gemeenschappelijke regelingen
(832)
Percentage (%) 61% 75% 70% 70% 61% 39%

Voor meer details per overheidscategorie zie hoofdstuk 6.

1.2.2.2. Adoptie per ministerie

Wanneer wordt gekeken naar de verschillende ministeries – inclusief de instanties die onder hun beleidsverantwoordelijkheid vallen – dan vallen de ministeries van Algemene Zaken (95%), Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (83%), Sociale Zaken en Werkgelegenheid (80%) en Volksgezondheid, Welzijn en Sport (77%) in positieve zin op. De achterblijvers zijn de ministeries van Onderwijs, Cultuur en Weten­schap (35%), Defensie (39%), Landbouw, Visserij, Voedsel­zekerheid en Natuur (42%) en Infrastructuur en Waterstaat (48%).

Grafiek 3: Volledige adoptie van alle webbeveiligingsstandaard per ministerie
Ministerie (aantal domeinnamen) AZ
(207)
BZK,VRO
(1386)
SZW
(503)
VWS
(1857)
BZ
(322)
Fin
(293)
J&V,A&M
(1425)
EZ,KGG
(794)
I&W
(1692)
LVVN
(477)
Def
(164)
OCW
(913)
Percentage (%) 95% 83% 80% 77% 69% 61% 51% 49% 48% 42% 39% 35%

Voor meer details per ministerie zie hoofdstuk 7.

1.3. E‑mailstandaarden

1.3.1. Totaalbeeld e‑mail per overheidscategorie

Onderstaande cijfers laten zien in welke mate de verschillende overheidscategorieën alle afgesproken websitestandaarden voor veilig en modern e‑mailverkeer (inclusief IPv6 en RPKI) toepassen. De centrale overheid (57%) loopt ruim voorop in de toepassing van deze standaarden. Dat komt met name door een hoge mate van gebruik van gemeenschappelijke dienstverleners die de standaarden correct toepassen. Decentrale overheden lopen achter, in het bijzonder de gemeenschappelijke regelingen (5%) en waterschappen (8%). Enerzijds komt dit door een hogere mate van gebruik van clouddiensten die niet alle standaarden ondersteunen, anderzijds zal bij gemeenschappelijke regelingen het gebrek aan bewustzijn mogelijk een rol spelen.

Grafiek 4: Volledige adoptie van alle e‑mailstandaarden per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(13094)
Centrale overheid
(10858)
Provincies
(76)
Gemeenten
(1210)
Waterschappen
(84)
Gemeenschappelijke regelingen
(866)
Percentage (%) 49% 57% 14% 9% 8% 5%

Hoofdstuk 3 gaat in meer detail in op de specifieke e‑mailbeveiligingsstandaarden, hoofdstuk 4 gaat in op IPv6 en 5 op RPKI.

1.3.2. E‑mailstandaarden voor bestrijding van phishing (excl. IPv6 en excl. RPKI)

Door toepassing van e‑mailstandaarden voor het bestrijden van phishing wordt e‑mailverkeer met de overheid beter beveiligd, zodat criminelen niet zomaar overheidsdomeinen kunnen misbruiken als afzenddomein voor bijvoorbeeld phishing-aanvallen. Deze standaarden zijn relevant voor alle domeinnamen, ook diegene waarvan normaliter geen e‑mail wordt verzonden.

Deze paragraaf laat het totaalbeeld per overheidscategorie en het totaalbeeld per ministerie zien.

1.3.2.1. Adoptie per overheidscategorie

Doordat alle secundaire bekende domeinnamen nu ook zijn meegenomen vallen deze cijfers vooral voor de decentrale overheden slecht uit, veelal zijn de secundaire domeinnamen niet afdoende beschermd. Positief valt de centrale overheid op, in het grotendeels centrale DNS beheer worden de anti‑phishing standaarden ook voor secundaire domeinnamen meegenomen.

Grafiek 5: Volledige adoptie 'anti‑phishing' standaarden per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(13094)
Centrale overheid
(10858)
Provincies
(76)
Waterschappen
(84)
Gemeenten
(1210)
Gemeenschappelijke regelingen
(866)
Percentage (%) 55% 60% 38% 35% 33% 27%

Voor meer details per overheidscategorie zie hoofdstuk 6.

1.3.2.2. Adoptie per ministerie

Wanneer wordt gekeken naar de verschillende ministeries & inclusief de instanties die onder hun beleidsverantwoordelijkheid vallen – dan vallen de ministeries van Algemene Zaken (95%), Sociale Zaken en Werkgelegenheid (75%) en Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (74%) positief op. De ministeries van Justitie en Veiligheid, Asiel en Migratie (38%) en Defensie (49%) hebben nog veel werk te verzetten om e‑mailvervalsing namens haar domeinnamen te voorkomen.

Grafiek 6: Volledige adoptie 'anti‑phishing' standaarden per ministerie
Ministerie (aantal domeinnamen) AZ
(255)
SZW
(529)
BZK,VRO
(1507)
BZ
(333)
LVVN
(501)
I&W
(1768)
OCW
(970)
EZ,KGG
(935)
VWS
(1929)
Fin
(414)
Def
(175)
J&V,A&M
(1542)
Percentage (%) 95% 75% 74% 68% 67% 62% 60% 59% 57% 53% 49% 38%

Voor meer details per ministerie zie hoofdstuk 7.

1.3.3. E‑mailstandaarden voor vertrouwelijk e‑mailverkeer (excl. IPv6 en excl. RPKI)

Door toepassing van e‑mailstandaarden voor vertrouwelijk e‑mailverkeer wordt e‑mailverkeer met de overheid beter beveiligd, zodat criminelen niet zomaar e‑mails kunnen onderscheppen of manipuleren.

Omdat de test zich beperkt tot een controle of de e‑mailontvangst van de betreffende overheden voldoende veilig e‑mailverkeer mogelijk maakt, zijn alleen de internetdomeinen met een ontvangende mailserver (MX) meegenomen in de statistieken. Hierdoor is het aantal gecontroleerde domeinen significant lager dan bij de standaarden voor bestrijding van phishing.

Deze paragraaf laat het totaalbeeld per overheidscategorie en het totaalbeeld per ministerie zien.

1.3.3.1. Adoptie per overheidscategorie

De standaarden op het gebied van veilige e‑mailtransport blijken over het algemeen het minst goed geïmplementeerd. De centrale overheid (54%) en gemeenten (31%) scoren relatief het beste op deze standaarden. Het gebruik van gemeenschappelijke e‑maildienstverleners geeft daarbij een hefboomeffect. Decentrale overheden maken veel meer gebruik van clouddiensten voor e‑mailverkeer, die de standaarden DNSSEC en DANE over het algemeen niet ondersteunen. Dit is duidelijk zichtbaar in de adoptiegraad bij provincies, gemeenschappelijke regelingen en waterschappen.

Grafiek 7: Volledige adoptie 'veilige e‑mailtransport' standaarden per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(3208)
Centrale overheid
(2157)
Gemeenten
(496)
Waterschappen
(36)
Gemeenschappelijke regelingen
(491)
Provincies
(28)
Percentage (%) 43% 54% 31% 20% 15% 9%
1.3.3.2. Adoptie per ministerie

Wanneer wordt gekeken naar de verschillende ministeries – inclusief de instanties die onder hun beleidsverantwoordelijkheid vallen – dan valt op dat ministeries die actief sturen op toepassing van standaarden beter scoren, zoals de ministeries van Volksgezondheid, Welzijn en Sport, Economische Zaken, Klimaat en Groene Groei en Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening. Het ministerie van Onderwijs, Cultuur en Weten­schap is een negatieve opvaller met slechts 17% volledige adoptie van standaarden voor veilig e‑mailtransport.

Grafiek 8: Volledige adoptie 'veilige e‑mailtransport' standaarden per ministerie
Ministerie (aantal domeinnamen) VWS
(515)
EZ,KGG
(301)
BZK,VRO
(197)
SZW
(73)
Fin
(64)
AZ
(15)
LVVN
(90)
J&V,A&M
(356)
BZ
(40)
Def
(30)
I&W
(279)
OCW
(197)
Percentage (%) 79% 62% 61% 53% 53% 50% 47% 45% 40% 36% 30% 17%

Voor meer details per ministerie zie hoofdstuk 7.

1.4. Vergelijking vorige meting

In de vorige meting van februari 2024 werd gewerkt met een kleinere set aan domeinnamen. Het gevolg hiervan was dat de meetresultaten niet goed te vergelijken zijn met deze metingen. Hierom is hier apart gekeken naar enkel de domeinnamen die in beide metingen voorkomen, wat een vergelijking met voorgaande meting mogelijk maakt.

De voorgaande secties laten zien dat adoptie nog steeds verre van volledig is binnen de overheid. Echter is het ook van belang om bewegingen in kaart te brengen. In deze vergelijking worden de verbeteringen en verslechteringen zichtbaar gemaakt door het verschil in procentpunten uit te drukken.

1.4.1. Vergelijking websitestandaarden

Kijkende naar de veranderingen in adoptie van webbeveiligingsstandaarden per overheidslaag (excl. IPv6 en excl. RPKI), zien we over de gehele breedte van de domeinnamenset een stijging in het aantal domeinen dat aan alle afspraken voldoet. Helaas is er tegelijkertijd een lichte afname te zien bij de provincies en gemeenschappelijke regelingen. Bij de provincies gaat het om een relatief kleine set aan domeinnamen.

Grafiek 9: Verschil webbeveiligingsstandaarden t.o.v. de februari 2024 meting per overheidscategorie
Categorie Centrale overheid Provincies Waterschappen Gemeenten Gemeenschappelijke regelingen
Percentage (%) 5% -1% 7% 1% -1%

De ministeries van Infrastructuur en Waterstaat en Justitie en Veiligheid, Asiel en Migratie laten een sterke verbetering zien. Het ministerie van Onderwijs, Cultuur en Weten­schap gaat voornamelijk achteruit vanwege verslechterde configuraties van HTTPS en HSTS.

Grafiek 10: Verschil webbeveiligingsstandaarden t.o.v. de februari 2024 meting per ministerie
Ministerie AZ BZK,VRO BZ Def EZ,KGG Fin I&W J&V,A&M LVVN OCW SZW VWS
Percentage (%) 6% 3% 4% -1% 3% 7% 15% 12% 7% -9% 7% 1%

1.4.2. Vergelijking e‑mailstandaarden

Bij de e‑mailbeveiligingsstandaarden is er buiten de centrale overheid geen noemenswaardige verbetering te zien ten opzichte van februari 2024.

Grafiek 11: Verschil e‑mailbeveiligingsstandaarden t.o.v. de februari 2024 meting per overheidscategorie
Categorie Centrale overheid Provincies Waterschappen Gemeenten Gemeenschappelijke regelingen
Percentage (%) 3% -1% 1% -4% -1%

Verder kijkende naar de veranderingen per ministerie, dan stijgen bijna alle ministeries licht. Het ministerie van ministerie van Volksgezondheid, Welzijn en Sport laat dubbele groeicijfers zien, dit komt voornamelijk uit een verbetering van de de SPF configuratie.

Grafiek 12: Verschil e‑mailbeveiligingsstandaarden t.o.v. de februari 2024 meting per ministerie
Ministerie AZ BZK,VRO BZ Def EZ,KGG Fin I&W J&V,A&M LVVN OCW SZW VWS
Percentage (%) -2% 2% 3% 1% 2% 1% 1% 3% 1% 1% -1% 11%

1.4.3. Conclusie

De vergelijking laat zien dat er sinds de vorige meting verbeteringen zijn doorgevoerd in de adoptie van de webstandaarden. De adoptie bij e‑mailbeveiligingsstandaarden is echter licht achteruit gegaan. Bij de kleine domeinnaamportfolio van de provincies is een significante stijging waar te nemen, zowel bij de web- als e‑mailbeveiligingsstandaarden.

Het is de hoop dat andere overheidsorganisaties dit voorbeeld volgen en inzetten op verbetering van de adoptiecijfers. De voorbeelden laten zien dat verbeteringen mogelijk en uitvoerbaar zijn.

2. Adoptie per websitebeveiligingsstandaard

Dit hoofdstuk toont de algehele adoptiegraad per websitebeveiligingsstandaard.

Hoofdstuk 6 en 7 gaan in meer detail in op de adoptiegraad van specifieke standaarden per respectievelijk overheidscategorie en ministerie.

Onderstaande statistieken tonen onder meer aan dat bij een kwart van de internetdomeinen de TLS- en HSTS‑configuraties niet op orde zijn. Overheden moeten HTTPS en HSTS toepassen conform de ICT-beveiligingsrichtlijnen voor webapplicaties, en configureren hun TLS-verbindingen conform de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het NCSC.

Grafiek 13: Adoptie per webbeveiligingsstandaard alle overheden (n=12198)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 91% 78% 82% 74%

3. Adoptie per e‑mailbeveiligingsstandaard

Dit hoofdstuk toont de algehele adoptiegraad per e‑mailbeveiligingsstandaard.

Hoofdstuk 6 en 7 gaan in meer detail in op de adoptiegraad van specifieke standaarden per respectievelijk overheidscategorie en ministerie.

3.1. E‑mailstandaarden voor bestrijding van phishing

Om phishingmails uit naam van overheidsorganisaties (inclusief bewindspersonen) te voorkomen, moet voor 18% van de internetdomeinen nog een strikt DMARC‑beleid worden ingesteld en 31% een strikte SPF. Veelal is te zien dat bij subdomeinen van decentrale overheden SPF in geheel niet aanwezig is. Als de SPF voor deze subdomeinen zo wordt ingesteld dat dit subdomein niet mag mailen, vervalt automatisch ook de DKIM controle en zal dit cijfer meestijgen met de SPF implementatie. Het streefbeeld was om dit eind 2019 voor elkaar te hebben.

Grafiek 14: Adoptie per 'anti‑phishing' standaard alle overheden (n=13094)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 63% 82% 69%

3.2. E‑mailstandaarden voor vertrouwelijk e‑mailverkeer

Bij nog 5% van de ontvangende e‑mailservers is de STARTTLS‑configuratie niet toekomstvast geconfigureerd. Overheden dienen hun TLS‑verbindingen te configureren op basis van de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het NCSC.

DANE is de minst toegepaste standaard uit de meting met een adoptiegraad van 47%. DNSSEC bij mailserverdomein en DANE zorgen in samenhang voor geauthentiseerde versleuteling van e‑mailtransport tussen de verzendende en ontvangende mailserver. Dit voorkomt dat een actieve aanvaller zomaar mailverkeer kan afluisteren.

De grootste implementatiedrempel voor DNSSEC en DANE is leveranciersondersteuning door met name clouddienstverleners. Het is belangrijk dat overheden die nog niet voldoen hun leverancier blijven vragen om ondersteuning van deze standaarden.

Grafiek 15: Adoptie per 'veilige e‑mailtransport' standaard alle overheden (n=3208)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 95% 82% 47%

4. Adoptie IPv6 voor websites en e‑mail

IPv6 is de open internetstandaard die iedere internetgebruiker nodig heeft om ook in de toekomst onbelemmerd gebruik te kunnen maken van internet. Er zijn verschillende goede redenen om voor IPv6 te kiezen, juist ook als overheid: groei en innovatie van internet, directere en snellere dienstverlening, en tegengaan van fraude.

De overheid heeft ook een voorbeeldfunctie om moderne internetstandaarden zoals IPv6 te gebruiken. Deze standaarden zorgen er namelijk voor dat het internet nu en in de toekomst voor iedereen wereldwijd veiliger en toegankelijker wordt waardoor ook nieuwe innovatie kan plaatsvinden. Brede ondersteuning van IPv6 binnen Nederland is ook belangrijk voor onze mondiale concurrentiepositie.

4.1. IPv6 voor webverkeer per overheidscategorie

De gemeenschappelijke regelingen scoren lager bij het gebruik van IPv6 voor webverkeer. De overheidsbrede afspraken hebben onvoldoende doorwerking gehad naar deze instanties, ondanks dat zij meestal gefinancierd worden vanuit de andere overheden.

Grafiek 16: Volledige IPv6 adoptie voor webverkeer per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(12198)
Waterschappen
(83)
Gemeenten
(1177)
Provincies
(73)
Gemeenschappelijke regelingen
(832)
Centrale overheid
(10033)
Percentage (%) 60% 87% 83% 75% 60% 57%

4.2. IPv6 voor webverkeer per ministerie

Positieve uitschieters zijn de ministeries van Algemene Zaken (87%), Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (79%) en Sociale Zaken en Werkgelegenheid (74%). Negatieve opvaller is het ministerie van Infrastructuur en Waterstaat (38%), waarvan de websites het minst bereikbaar zijn via IPv6.

Grafiek 17: Volledige IPv6 adoptie voor webverkeer per ministerie
Ministerie (aantal domeinnamen) AZ
(207)
BZK,VRO
(1386)
SZW
(503)
OCW
(913)
BZ
(322)
Fin
(293)
EZ,KGG
(794)
LVVN
(477)
J&V,A&M
(1425)
VWS
(1857)
Def
(164)
I&W
(1692)
Percentage (%) 87% 79% 74% 62% 61% 61% 60% 56% 50% 49% 45% 38%

4.3. IPv6 voor e‑mailverkeer per overheidscategorie

Ook bij het gebruik van IPv6 voor e‑mailverkeer zijn de gemeenschappelijke regelingen de hekkensluiter.

Grafiek 18: Volledige IPv6 adoptie voor e‑mailverkeer per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(3208)
Gemeenten
(496)
Waterschappen
(36)
Provincies
(28)
Centrale overheid
(2157)
Gemeenschappelijke regelingen
(491)
Percentage (%) 53% 63% 58% 57% 55% 36%

4.4. IPv6 voor e‑mailverkeer per ministerie

De ministeries van Onderwijs, Cultuur en Weten­schap (32%) en Algemene Zaken (33%) hebben ondanks een klein portfolio van domeinnamen waarop e‑mailverkeer mogelijk is een erg lage adoptiegraad.

De hoogste sores zijn voor de ministeries van Volksgezondheid, Welzijn en Sport (73%), Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (73%) en Economische Zaken, Klimaat en Groene Groei (67%) .

Grafiek 19: Volledige IPv6 adoptie voor e‑mailverkeer per ministerie
Ministerie (aantal domeinnamen) VWS
(515)
BZK,VRO
(197)
EZ,KGG
(301)
SZW
(73)
Fin
(64)
LVVN
(90)
Def
(30)
J&V,A&M
(356)
BZ
(40)
I&W
(279)
AZ
(15)
OCW
(197)
Percentage (%) 73% 73% 67% 56% 48% 48% 47% 40% 38% 35% 33% 32%

5. Adoptie RPKI voor websites en e‑mail

Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. In deze meting wordt enkel naar de publicerende Route Origin Authorisation (ROA) kant van RPKI gekeken.

De overheidsbrede afspraak is om RPKI voor het eind van 2024 te implementeren.

5.1. RPKI voor webverkeer per overheidscategorie

De waterschappen, gemeenten en centrale overheid gaan richting het behalen van de streefbeeldafspraak. De gemeenschappelijke regelingen en provincies hebben extra inzet nodig om de afspraak te behalen.

Grafiek 20: Volledige RPKI adoptie voor webverkeer per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(12198)
Waterschappen
(83)
Gemeenten
(1177)
Centrale overheid
(10033)
Provincies
(73)
Gemeenschappelijke regelingen
(832)
Percentage (%) 93% 95% 94% 93% 92% 88%

5.2. RPKI voor webverkeer per ministerie

Een aantal ministeries naderen de voltooing van de afspraak om voor het einde van 2024 op de IP‑adressen RPKI te gebruiken in het webverkeer. De grote achterblijver is het ministeries van Justitie en Veiligheid, Asiel en Migratie (71%). Bij het ministerie van Justitie en Veiligheid, Asiel en Migratie betreft het een paar niet ondertekende routes die zorgen voor een lagere score dan de overige ministeries.

Grafiek 21: Volledige RPKI adoptie voor webverkeer per ministerie
Ministerie (aantal domeinnamen) AZ
(207)
Fin
(293)
Def
(164)
I&W
(1692)
VWS
(1857)
LVVN
(477)
BZK,VRO
(1386)
SZW
(503)
EZ,KGG
(794)
BZ
(322)
OCW
(913)
J&V,A&M
(1425)
Percentage (%) 100% 97% 97% 97% 97% 96% 96% 96% 96% 95% 95% 71%

5.3. RPKI voor e‑mailverkeer per overheidscategorie

Het gebruik van RPKI voor e‑mailverkeer is voor alle overheidscategorieën al op behoorlijk niveau. De verschillen in adoptie tussen de overheidscategorieën zijn klein, al blijven ook hier de centrale overheid licht achter.

Grafiek 22: Volledige RPKI adoptie voor e‑mailverkeer per overheidscategorie
Categorie (aantal domeinnamen) Totaal
(3208)
Waterschappen
(36)
Gemeenten
(496)
Gemeenschappelijke regelingen
(491)
Provincies
(28)
Centrale overheid
(2157)
Percentage (%) 92% 97% 95% 93% 93% 91%

5.4. RPKI voor e‑mailverkeer per ministerie

De ministeries hebben bijna allemaal een zeer hoge adoptie van gemiddeld 91%. De significante achterblijver is wederom Justitie en Veiligheid, Asiel en Migratie (68%) waar een paar niet ondertekende routes zorgt voor een lagere score dan de overige ministeries.

Grafiek 23: Volledige RPKI adoptie voor e‑mailverkeer per ministerie
Ministerie (aantal domeinnamen) EZ,KGG
(301)
VWS
(515)
Fin
(64)
Def
(30)
SZW
(73)
BZK,VRO
(197)
I&W
(279)
AZ
(15)
BZ
(40)
LVVN
(90)
OCW
(197)
J&V,A&M
(356)
Percentage (%) 98% 98% 97% 96% 96% 95% 95% 93% 92% 91% 91% 68%

6. Adoptie per overheidscategorie

De volgende paragrafen tonen de adoptiestatistieken per beveiligingsstandaard per overheidscategorie.

6.1. Centrale overheid

Grafiek 24: Adoptie per webbeveiligingsstandaard centrale overheid (n=10033)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 91% 77% 81% 72%
Grafiek 25: Adoptie per 'anti‑phishing' standaard centrale overheid (n=10858)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 65% 85% 73%
Grafiek 26: Adoptie per 'veilige e‑mailtransport' standaard centrale overheid (n=2157)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 95% 88% 59%

6.2. Provincies

Grafiek 27: Adoptie per webbeveiligingsstandaard provincies (n=73)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 89% 92% 90% 85%
Grafiek 28: Adoptie per 'anti‑phishing' standaard provincies (n=76)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 54% 72% 47%
Grafiek 29: Adoptie per 'veilige e‑mailtransport' standaard provincies (n=28)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 100% 68% 9%

6.3. Waterschappen

Grafiek 30: Adoptie per webbeveiligingsstandaard waterschappen (n=83)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 98% 75% 97% 96%
Grafiek 31: Adoptie per 'anti‑phishing' standaard waterschappen (n=84)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 55% 86% 42%
Grafiek 32: Adoptie per 'veilige e‑mailtransport' standaard waterschappen (n=36)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 99% 70% 20%

6.4. Gemeenten

Grafiek 33: Adoptie per webbeveiligingsstandaard gemeenten (n=1177)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 95% 83% 94% 92%
Grafiek 34: Adoptie per 'anti‑phishing' standaard gemeenten (n=1210)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 51% 76% 44%
Grafiek 35: Adoptie per 'veilige e‑mailtransport' standaard gemeenten (n=496)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 96% 76% 35%

6.5. Gemeenschappelijke regelingen

Grafiek 36: Adoptie per webbeveiligingsstandaard gemeenschappelijke regelingen (n=832)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 81% 73% 80% 57%
Grafiek 37: Adoptie per 'anti‑phishing' standaard gemeenschappelijke regelingen (n=866)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 53% 55% 55%
Grafiek 38: Adoptie per 'veilige e‑mailtransport' standaard gemeenschappelijke regelingen (n=491)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 94% 59% 17%

7. Adoptie per ministerie

7.1. Totaalbeeld websites (incl. IPv6 en incl. RPKI)

Onderstaande cijfers laten zien in welke mate de verschillende ministeries – inclusief de instanties die onder hun beleidsverantwoordelijkheid vallen – alle afgesproken websitestandaarden voor veilig en modern webverkeer toepassen (inclusief IPv6 en RPKI).

Grafiek 39: Volledige adoptie van alle webstandaarden per ministerie
Ministerie (aantal domeinnamen) AZ
(207)
BZK,VRO
(1386)
SZW
(503)
BZ
(322)
Fin
(293)
VWS
(1857)
EZ,KGG
(794)
I&W
(1692)
Def
(164)
LVVN
(477)
J&V,A&M
(1425)
OCW
(913)
Percentage (%) 88% 74% 68% 57% 54% 53% 43% 39% 38% 38% 33% 30%

Over het algemeen hebben ministeries met een klein webportfolio, zoals het ministerie van Algemene Zaken, een hoge mate van adoptie. De ministeries van Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening en Sociale Zaken en Werkgelegenheid, zowel met een groot als relatief beperkt portfolio, scoren hoger dan gemiddeld.

7.2. Totaalbeeld e‑mail (incl. IPv6 en incl. RPKI)

Onderstaande cijfers laten zien in welke mate de verschillende ministeries – inclusief de instanties die onder hun beleidsverantwoordelijkheid vallen – alle afgesproken e‑mailstandaarden voor veilig en modern e‑mailverkeer toepassen (inclusief IPv6 en RPKI).

Grafiek 40: Volledige adoptie van alle e‑mailstandaarden per ministerie
Ministerie (aantal domeinnamen) AZ
(255)
SZW
(529)
BZK,VRO
(1507)
BZ
(333)
LVVN
(501)
I&W
(1768)
VWS
(1929)
OCW
(970)
EZ,KGG
(935)
Def
(175)
Fin
(414)
J&V,A&M
(1542)
Percentage (%) 93% 73% 72% 68% 66% 59% 56% 56% 55% 46% 37% 33%

Vergelijkbaar met de adoptie van websitestandaarden, zien we dat ministeries met een beperkt portfolio, of actieve sturing op toepassing van standaarden, over het algemeen een hogere adoptiegraad bereiken.

De volgende paragrafen tonen de adoptiestatistieken per beveiligingsstandaard per ministerie.

7.3. Ministerie van Algemene Zaken

Grafiek 41: Adoptie per webbeveiligingsstandaard ministerie van Algemene Zaken (n=207)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 100% 97% 99% 100%
Grafiek 42: Adoptie per 'anti‑phishing' standaard ministerie van Algemene Zaken (n=255)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 95% 100% 98%
Grafiek 43: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Algemene Zaken (n=15)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 97% 96% 50%

7.4. Ministerie van Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening

Grafiek 44: Adoptie per webbeveiligingsstandaard ministerie van Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (n=1386)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 96% 91% 93% 90%
Grafiek 45: Adoptie per 'anti‑phishing' standaard ministerie van Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (n=1507)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 76% 96% 79%
Grafiek 46: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Binnenlandse Zaken en Koninkrijks­relaties, Volkshuisvesting en Ruimtelijke Ordening (n=197)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 96% 92% 61%

7.5. Ministerie van Buitenlandse Zaken

Grafiek 47: Adoptie per webbeveiligingsstandaard ministerie van Buitenlandse Zaken (n=322)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 83% 77% 86% 82%
Grafiek 48: Adoptie per 'anti‑phishing' standaard ministerie van Buitenlandse Zaken (n=333)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 78% 89% 76%
Grafiek 49: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Buitenlandse Zaken (n=40)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 97% 82% 40%

7.6. Ministerie van Defensie

Grafiek 50: Adoptie per webbeveiligingsstandaard ministerie van Defensie (n=164)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 90% 56% 58% 57%
Grafiek 51: Adoptie per 'anti‑phishing' standaard ministerie van Defensie (n=175)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 63% 66% 77%
Grafiek 52: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Defensie (n=30)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 89% 79% 36%

7.7. Ministerie van Economische Zaken, Klimaat en Groene Groei

Grafiek 53: Adoptie per webbeveiligingsstandaard ministerie van Economische Zaken, Klimaat en Groene Groei (n=794)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 92% 69% 76% 63%
Grafiek 54: Adoptie per 'anti‑phishing' standaard ministerie van Economische Zaken, Klimaat en Groene Groei (n=935)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 63% 83% 78%
Grafiek 55: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Economische Zaken, Klimaat en Groene Groei (n=301)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 95% 84% 66%

7.8. Ministerie van Financiën

Grafiek 56: Adoptie per webbeveiligingsstandaard ministerie van Financiën (n=293)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 84% 74% 79% 75%
Grafiek 57: Adoptie per 'anti‑phishing' standaard ministerie van Financiën (n=414)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 57% 84% 82%
Grafiek 58: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Financiën (n=64)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 96% 93% 53%

7.9. Ministerie van Infrastructuur en Waterstaat

Grafiek 59: Adoptie per webbeveiligingsstandaard ministerie van Infrastructuur en Waterstaat (n=1692)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 89% 69% 80% 68%
Grafiek 60: Adoptie per 'anti‑phishing' standaard ministerie van Infrastructuur en Waterstaat (n=1768)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 66% 87% 75%
Grafiek 61: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Infrastructuur en Waterstaat (n=279)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 90% 86% 47%

7.10. Ministerie van Justitie en Veiligheid, Asiel en Migratie

Grafiek 62: Adoptie per webbeveiligingsstandaard ministerie van Justitie en Veiligheid, Asiel en Migratie (n=1425)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 89% 72% 71% 62%
Grafiek 63: Adoptie per 'anti‑phishing' standaard ministerie van Justitie en Veiligheid, Asiel en Migratie (n=1542)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 44% 77% 57%
Grafiek 64: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Justitie en Veiligheid, Asiel en Migratie (n=356)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 95% 87% 46%

7.11. Ministerie van Landbouw, Visserij, Voedsel­zekerheid en Natuur

Grafiek 65: Adoptie per webbeveiligingsstandaard ministerie van Landbouw, Visserij, Voedsel­zekerheid en Natuur (n=477)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 81% 80% 76% 48%
Grafiek 66: Adoptie per 'anti‑phishing' standaard ministerie van Landbouw, Visserij, Voedsel­zekerheid en Natuur (n=501)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 72% 86% 77%
Grafiek 67: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Landbouw, Visserij, Voedsel­zekerheid en Natuur (n=90)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 96% 83% 48%

7.12. Ministerie van Onderwijs, Cultuur en Weten­schap

Grafiek 68: Adoptie per webbeveiligingsstandaard ministerie van Onderwijs, Cultuur en Weten­schap (n=913)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 87% 53% 59% 52%
Grafiek 69: Adoptie per 'anti‑phishing' standaard ministerie van Onderwijs, Cultuur en Weten­schap (n=970)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 65% 75% 71%
Grafiek 70: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Onderwijs, Cultuur en Weten­schap (n=197)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 90% 79% 31%

7.13. Ministerie van Sociale Zaken en Werkgelegenheid

Grafiek 71: Adoptie per webbeveiligingsstandaard ministerie van Sociale Zaken en Werkgelegenheid (n=503)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 97% 94% 94% 85%
Grafiek 72: Adoptie per 'anti‑phishing' standaard ministerie van Sociale Zaken en Werkgelegenheid (n=529)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 78% 95% 86%
Grafiek 73: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Sociale Zaken en Werkgelegenheid (n=73)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 97% 87% 56%

7.14. Ministerie van Volksgezondheid, Welzijn en Sport

Grafiek 74: Adoptie per webbeveiligingsstandaard ministerie van Volksgezondheid, Welzijn en Sport (n=1857)
Webstandaard DNSSEC TLS NCSC web HTTPS redirect HSTS
Percentage (%) 94% 88% 90% 85%
Grafiek 75: Adoptie per 'anti‑phishing' standaard ministerie van Volksgezondheid, Welzijn en Sport (n=1929)
E‑mailstandaard DKIM DMARC‑configuratie (quarantaine of reject) SPF‑configuratie (~all of -all)
Percentage (%) 64% 84% 67%
Grafiek 76: Adoptie per 'veilige e‑mailtransport' standaard Ministerie van Volksgezondheid, Welzijn en Sport (n=515)
E‑mailstandaard STARTTLS configuratie conform NCSC richtlijn DNSSEC bij mailserverdomain DANE
Percentage (%) 98% 93% 81%

8. Achtergrond

Sinds 2015 biedt het Platform Internetstandaarden de mogelijkheid om via de website Internet.nl domeinen te toetsen op het gebruik van verschillende moderne internetstandaarden, waaronder een aantal informatieveiligheidstandaarden en IPv6, die op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie staan. In datzelfde jaar is Forum Standaardisatie gestart om met behulp van Internet.nl een halfjaarlijkse meting van de adoptiegraad van informatieveiligheidsstandaarden voor overheidsdomeinen (web en e‑mail) uit te voeren.

Die metingen hebben ertoe geleid dat het Nationaal Beraad in februari 2016 de ambitie uitsprak bepaalde standaarden versneld te willen adopteren. Dit betekent concreet dat voor deze standaarden niet langer het tempo van ‘pas toe of leg uit’ wordt gevolgd (d.w.z. wachten op een volgend investeringsmoment en dan de standaarden implementeren), maar dat actief wordt ingezet op implementatie van de standaarden op de kortere termijn.

Na de eerste interbestuurlijke afspraak zijn er door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) aanvullende streefbeeldafspraken met verschillende uiterlijke implementatiedeadlines gemaakt. Van websites en e‑mail van de overheid wordt vereist dat deze na het verlopen van de deadlines aan de standaarden en juiste configuratie voldoet.

Onderdeel van de afspraken is dat Forum Standaardisatie de voortgang van de adoptie meet en inzichtelijk maakt. De halfjaarlijkse Meting Informatieveiligheidstandaarden is ook onderdeel van de jaarlijkse Monitor Open Standaarden.

8.1. Om welke standaarden gaat het

Het Nationaal Beraad en het OBDO hebben streefbeeldafspraken gemaakt met betrekking tot de volgende standaarden:

Uiterlijke implementatie­datum Standaarden
Eind 2017
  • HTTPS en TLS: beveiligde verbindingen van website ‘met gevoelige gegevens’
  • DNSSEC: integriteit domeinnaam‑gegevens
  • SPF: echtheidswaarmerk ter preventie mailspoofing
  • DKIM: echtheidswaarmerk ter preventie mailspoofing
  • DMARC: beleid en rapportage ter preventie mailspoofing
Eind 2018
Eind 2019
Eind 2021
  • IPv6 (naast IPv4): moderne internetadressering van overheidswebsites en e‑maildomeinen van e overheid
Eind 2024
  • RPKI: beveiliging van internetroutering

8.2. Om welke internetdomeinen gaat het

In totaal zijn in deze meting 12198 internetdomeinen van overheidsorganisaties getoetst, bestaande uit:

De lijst betreft een selectie van alle overheidsdomeinnamen. De lijst is niet volledig en kan dat ook niet zijn omdat er binnen de overheid geen eenduidig overzicht is van domeinnamen. De gemeten internetdomeinen zijn bij lange na niet alle domeinen waar het OBDO direct en indirect voor verantwoordelijk is. Een 100%-score op de gemeten domeinen garandeert geenszins dat hiermee alle overheidsdomeinen beschermd zijn.

De organisaties zijn zelf verantwoordelijk voor de volledigheid, juistheid en actualiteit van de gegevens die zijn opgenomen in de drie genoemde registers.

8.2.1. Waarom wordt anwb.nl gemeten?

De Koninklijke Nederlandse Toeristenbond ANWB en anwb.nl staat in het Register van Overheidsorganisaties vanwege een wettelijke grondslag, het afgeven van het internationaal rijbewijs.

8.3. Hoe wordt gemeten

De meting wordt uitgevoerd middels een bulktoets via de API van Internet.nl. Voor de webstandaarden wordt het hoofddomein getoetst, zowel zonder als met het subdomein www. (dus: forumstandaardisatie.nl én www.forumstandaardisatie.nl), omdat het gebruikelijk is dat de website daarop bereikbaar is. Voor de maildomeinen wordt primair getoetst zonder enig voorvoegsel omdat dat doorgaans gebruikt wordt als e‑maildomein (dus: @forumstandaardisatie.nl), maar ook wordt gekeken of andere subdomeinen (zoals www, dus @www.forumstandaardisatie.nl) goed zijn geconfigureerd met SPF en DMARC. Dit is toegevoegd omdat het vaak wordt vergeten dat voor élk A en/of AAAA‑record er een SPF record moet worden geplaatst. DMARC vereist namelijk SPF óf DKIM, als er géén SPF‑record aanwezig is, de combinatie SPF none en DKIM fail kan alsnog voor een succesvolle bezorging zorgen.

Op Internet.nl is eenvoudig te testen of een website of e‑mail een aantal moderne internetstandaarden ondersteunen, ook de standaarden waarover streefbeeldafspraken zijn gemaakt zijn onderdeel van de test. De score die een domeinnaam op Internet.nl kan halen (namelijk max. 100%) heeft een directe relatie met het resultaat uit deze meting, aangezien deze meting alle standaarden bevat die de Internet.nl score kunnen beïnvloeden.

De website Internet.nl is een initiatief van het Platform Internetstandaarden. In het platform participeren verschillende partners uit de internetgemeenschap (zoals Internet Society, RIPE NCC, SIDN en SURFnet) en Nederlandse overheid (Forum Standaardisatie, het Ministerie van Economische Zaken en Klimaat, en NCSC). Het uitgangspunt is dat Internet.nl de adviezen van Forum Standaardisatie en NCSC met betrekking tot de Internetstandaarden volgt.

De meting geeft geen inzicht in het risiconiveau van een bepaald domein. Zo is het aannemelijk dat de aantrekkelijkheid van misbruik hoger is bij domeinen van grote uitvoerders (zoals phishing met aanmaningen) dan bij domeinen van kleine gemeenten.

8.4. Wat wordt niet gemeten

In de meting wordt alleen gekeken naar de toepassing van standaarden op domeinnamen. Er wordt in de meting (nog) niet gekeken naar de validatie op de standaarden. Dat betekent dat de volgende zaken niet worden gemeten:

  • validatie van DNSSEC door de DNS‑resolver van een overheidsorganisatie;
  • validatie van de DMARC-, DKIM- en SPF‑kenmerken door ontvangende mailservers van een overheidsorganisatie;
  • validatie van DANE‑kenmerken door verzendende mailservers van een overheidsorganisatie;
  • validatie van RPKI door het netwerk van een overheidsorganisatie.

Voor optimale bescherming is het van belang dat ook validatie op standaarden wordt toegepast door overheden.

8.5. Over de standaarden

Er worden zowel web- als mailstandaarden gemeten. Hieronder per standaard een korte uitleg over wat deze doet. Overigens is meer (technische) informatie over wat er wordt getoetst te vinden op Internet.nl.

8.5.1. Webstandaarden

Wij meten het gebruik van de beveiligingsstandaarden en IPv6 voor het web ook op domeinen die alleen gebruikt worden voor mail, wanneer deze domeinnamen doorverwijzen naar een ander domein. Ook bij deze doorverwijzingen moeten de standaarden juist worden toegepast om burgers te beschermen. Als doorverwijzingen worden toepast dan moeten ook de doorverwijzende domeinen met HTTPS beveiligd zijn, anders is de beginschakel niet veilig en daarmee is ook de gehele keten onveilig. Dit geldt ook wanneer een zogenaamde ‘parking page’ wordt getoond. Alleen als een geregistreerd domein geen webpagina bevat, dan is HTTPS niet nodig (en niet mogelijk).

Standaard Beschrijving
DNSSEC

Domain Name System (DNS) is het registratiesysteem van namen en bijbehorende internetnummers en andere domeinnaaminformatie. Het is vergelijkbaar met een telefoonboek. Dit systeem kan worden bevraagd om namen naar nummers te vertalen en omgekeerd.

Er is getest of de domeinnaam ondertekend is met DNSSEC, zodat de integriteit van de DNS‑informatie is beschermd. De streefbeeldafspraak was om hier vóór 2018 aan te voldoen.

TLS cf. NCSC

Als een bezoeker een onbeveiligde HTTP‑verbinding heeft met een website, dan kan een kwaadwillende eenvoudig gegevens onderweg afluisteren of aanpassen, of zelfs het contact volledig overnemen.

TLS behoort bovendien zodanig geconfigureerd te zijn dat deze voldoet aan de aanbevelingen van het Nationaal Cyber Security Center (NCSC). Zodat de vertrouwelijkheid, de authenticiteit en integriteit van een bezoek aan een website is gegarandeerd. De streefbeeldafspraak was om hier vóór 2019 aan te voldoen.

HTTPS redirect

Er wordt getest of een webserver bezoekers automatisch doorverwijst van HTTP naar HTTPS op dezelfde domeinnaam óf dat deze ondersteuning biedt voor alleen HTTPS en niet voor HTTP. Op Internet.nl heet deze subtest 'HTTPS Redirect'. De streefbeeldafspraak was om hier vóór 2019 aan te voldoen.

HSTS

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi‑hotspot- een browser kan omleiden naar een valse website.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen zoveel mogelijk afgedwongen. De streefbeeldafspraak was om hier vóór 2019 aan te voldoen.

IPv6 web

Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT‑systemen op het Internet mogelijk. Er wordt getest of alle nameservers (minimaal twee) en tenminste één webserver een IPv6-adres hebben en bereikbaar zijn. Er wordt ook getest of de IPv6 website gelijk lijkt aan de IPv4 website. De streefbeeldafspraak was om hier vóór 2022 aan te voldoen.

RPKI web

Met RPKI kan de rechtmatige houder van een blok IP‑adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen die onrechtmatige routering negeren. Het netwerk valt terug op het 'oude' onbeveiligde routering als RPKI wegvalt.

Getest wordt of alle route‑aankondigingen naar de IP‑adressen van de webservers en nameservers overeenkomen met de gepubliceerde RPKI Route Origin Authorisation (ROA).

8.5.2. E‑mailstandaarden

Wij meten het gebruik van anti‑phishing standaarden ook op domeinen waarvan een organisatie geen e‑mail verstuurt. Dit is relevant omdat ook die domeinen worden misbruikt (burgers weten vaak niet dat deze domeinen niet door de organisatie worden gebruikt), en juist domeinen waarvandaan niet gemaild wordt, makkelijk kunnen worden geblokkeerd met behulp van SPF en DMARC (met respectievelijk de policies -all en p=reject).

Standaard Beschrijving
DMARC policy

Met DMARC kan een e‑mailprovider kenbaar maken hoe andere (ontvangende) mailservers om dienen te gaan met de resultaten van de SPF- en/of DKIM-controles van ontvangen e‑mails. Dit gebeurt door het publiceren van een DMARC‑beleid in het DNS‑record van een domein.

Zolang er geen beleid is ingesteld weet de ontvanger nog niet wat te doen met verdachte e‑mail. De configuratie moet op orde zijn. (NB: Actieve policies zijn ~all en -all voor SPF, en p=quarantine en p=reject voor DMARC)

Er wordt gecontroleerd of de syntax van de DMARC‑record correct is en of deze een voldoende strikte policy bevat. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.

DKIM

Met DKIM kunnen e‑mailberichten worden gewaarmerkt. De ontvanger van een e‑mail kan op die manier controleren of een e‑mailbericht écht van de afzender afkomstig is en of het bericht onderweg ongewijzigd is gebleven.

Getest wordt of de domeinnaam DKIM ondersteunt. Voor niet‑mailende domeinen waar dit goed is ingesteld heeft DKIM geen toegevoegde waarde. In de meting wordt dan geen score meegenomen voor DKIM. De streefbeeldafspraak was om hier voor 2018 aan te voldoen.

SPF policy

SPF heeft als doel spam te verminderen. SPF controleert of een verzendende mailserver die e‑mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen.

Getest wordt of de syntax van de SPF‑record geldig is en of deze een voldoende strikte policy bevat om misbruik van het domein door phishers en spammers tegen te gaan. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.

STARTTLS cf. NCSC

STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e‑mailservers op basis van certificaten met TLS te beveiligen.

Net zoals bij HTTPS kan er bij STARTTLS gebruik worden gemaakt van verschillende versies van het TLS en verschillende versleutelingsstandaarden (ciphers). Aangezien niet alle versies en combinaties als voldoende veilig worden beschouwd, is het belangrijk om hierin de juiste keuze te maken en ook regelmatig te controleren of de gebruikte instellingen nog veilig zijn.

Getest wordt of STARTTLS is geconfigureerd zoals door het NCSC is aanbevolen. De streefbeeldafspraak was om hier vóór 2020 aan te voldoen.

DANE

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e‑mailserver de authenticiteit van een ontvangende e‑mailserver kan controleren en het kan het gebruik van TLS bovendien afdwingen.

Getest wordt of de nameservers van de mailservers één of meer TLSA‑records voor DANE bevatten. De streefbeeldafspraak was om hier voor 2020 aan te voldoen.

DNSSEC mx

DNSSEC is een randvoorwaarde voor het instellen van DANE. Daarom wordt getest of de domeinnamen van de mailservers (MX) ondertekend zijn met DNSSEC. Dit in het kader van de streefbeeldafspraak om voor 2020 STARTTLS en DANE te ondersteunen.

IPv6 e‑mail

Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT‑systemen op het Internet mogelijk. Er wordt getest of alle nameservers (minimaal twee) van het e‑maildomein en alle mailservers (MX) een IPv6-adres hebben en bereikbaar zijn. De streefbeeldafspraak was om hier vóór 2022 aan te voldoen.

RPKI e‑mail

Met RPKI kan de rechtmatige houder van een blok IP‑adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen die onrechtmatige routering negeren. Het netwerk valt terug op het 'oude' onbeveiligde routering als RPKI wegvalt.

Getest wordt of alle route‑aankondigingen naar de IP‑adressen van de e‑mailservers en de nameserver van de e‑mailserver overeenkomen met de gepubliceerde RPKI Route Origin Authorisation (ROA).