Pas in 2030 voldoen alle overheidssites aan verplichte securitystandaarden
Wordt het huidige tempo aangehouden, dan voldoen pas in 2030 alle overheidsdomeinen aan de standaarden.
Overheidsdomeinen moeten al sinds 2021 voldoen aan een set standaarden voor informatiebeveiliging voor e-mail en websites. Volgens deze zogeheten 'adoptieafspraken' moet bijvoorbeeld bij alle overheidswebsites waar burgers of bedrijven gegevens in moeten vullen TLS in de vorm van HTTPS toegepast zijn. Domeinnamen waarmee overheidsorganisaties communiceren met burgers of bedrijven moeten verder DNSSEC gebruiken en e-mailspoofing moet bestreden worden door SPF, DKIM en DMARC toe te passen op alle domeinnamen, ook als ze geen gebruikmaken van e-mail.
Uit halfjaarlijkse metingen van Forum Standaardisatie blijkt al langer dat lang niet alle overheidsdomeinen daaraan voldoen. En dat vormt risico's, zeiden experts afgelopen november tegenover AG Connect. "Het probleem in dit geval is ook dat alle ministeries uiteindelijk deel uitmaken van één orgaan: De overheid. Dus als 1 onderdeel slecht beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd", vertelde directeur Dave Maasland van ESET Nederland destijds bijvoorbeeld.
Experts gaven bovendien aan dat het toepassen van dergelijke standaarden geen 'rocketscience' is. "Dit is echt het minimale wat je moet doen", aldus techonderzoeker Joran van Apeldoorn van Bits of Freedom. Ook politici waren kritisch en er volgden Kamervragen aan staatssecretaris Van Huffelen. In reactie op vragen van AG Connect en de vragen in de Tweede Kamer gaf zij aan meer aandacht te gaan vragen voor de implementatie van die standaarden. In december volgde een brief, waarin ze alle overheden opriep de standaarden zo snel mogelijk te implementeren. Per 1 juli wordt het gebruik van HTTPS en HSTS bij overheidswebsites bovendien wettelijk verplicht.
Groot deel voldoet nog steeds niet
Toch voldoet een groot deel van de overheidsdomeinen dus nog altijd niet aan de standaarden. Forum Standaardisatie voerde in januari dit jaar een meting uit onder 2.654 overheidsdomeinen, zo'n 70 meer dan bij de vorige meting in mei 2022. De organisatie stelt nu dat slechts 56% van de gemeten domeinnamen voldeed aan alle verplichte websitestandaarden en 50% aan de e-mailstandaarden. Ten opzichte van de vorige meting gaat het om een groei van slechts 3 en 6 procentpunten. "In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken", benadrukt de organisatie.
Uit de meting valt op dat met name gemeenschappelijke regelingen nog niet aan alle websitestandaarden voldoen: slechts 26% doet dat wel. Waterschappen (30 domeinen) en gemeenten (360 domeinen) doen het veel beter. Respectievelijk 90% en 86% voldoen aan alle webstandaarden. Bij de centrale overheid is dat 56% van de 1.866 domeinen en bij provincies 55% van de 22 domeinen.
Qua e-mailstandaarden doet de centrale overheid het weer beter. 63% voldoet daar aan alle internetstandaarden, terwijl dat bij waterschappen slechts 7% is. Van de gemeenten voldoet 30% en onder provincies is dat 19%.
Forum Standaardisatie keek verder voor het eerst naar de leveranciersafhankelijkheid in relatie tot het achterblijven op de adoptie. Daaruit blijkt bijvoorbeeld dat 44% van de mailservers niet ondertekend is met DNSSEC, waar de twee grootste mail-leveranciers - Microsoft Office 365 en Google Mail - samen een aandeel van 36 procentpunt hebben. "De beweging naar cloudoplossingen van deze leveranciers kan daarom leiden tot een afname in adoptiegraad, aangezien deze cloudoplossingen de verplichte standaarden niet volledig ondersteunen."
Adviezen voor adoptie
Wat Forum Standaardisatie betreft moet er dus meer vaart achter de implementatie gezet worden. Daartoe geeft de organisatie ook een aantal adviezen. Zo zou er per overheidsorganisatie een plan van aanpak gemaakt moeten worden, "om de streefbeeldafspraken effectief te laten landen in de uitvoering zodat de verplichte standaarden worden geïmplementeerd". Dit is ook de aanpak van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (het ministerie van Van Huffelen) en Economische Zaken en Klimaat, die een grote stijging in adoptie hebben laten zien sinds de afgelopen meting. Bij beide organisaties groeide de volledige adoptie van standaarden met 18 procentpunt. Hun aanpakken kunnen daarom als voorbeeld gezien worden, vindt Forum Standaardisatie.
Ook wordt geadviseerd om het aantal domeinen te beperken, zodat de adoptieopgave behapbaar blijft. "Samenvoeging van verschillende websites, of het vaker inzetten van subdomeinen in plaats van nieuwe domeinnamen, verkleint het digitale oppervlak waar de standaarden geïmplementeerd moeten worden. Het advies is in ieder geval om de registratie van nieuwe domeinnamen zoveel als mogelijk te beperken."
Verder is het belangrijk dat de ondersteuning van verplichte open standaarden onderdeel is van het leveranciersmanagement van individuele organisaties en dat leveranciers periodiek naar de planning voor ondersteuning van standaarden gevraagd worden. "Overweeg om over te stappen als een leverancier onvoldoende meebeweegt."
Tot slot wordt geadviseerd om de collectieve slagkracht van de overheid te gebruiken om grotere leveranciers en techgiganten naar de adoptie van verplichte standaarden te bewegen. Dat zou bijvoorbeeld kunnen via Strategisch Leveranciersmanagement Rijk.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee