Standaarden voor informatieveiligheid zijn verplicht en beschikbaar maar toch gebruikt de overheid ze te weinig. Dat maakt ze volgens het Forum Standaardisatie kwetsbaar.
Dit Forum Standaardisatie onderzoekt elk half jaar het gebruik van verplichte standaarden voor de beveiliging van websites en e-mail bij overheidsorganisaties. Dat gebruik groeide in het afgelopen halfjaar bescheiden en kwam gemiddeld uit op 2%. Ondanks gestage groei in de afgelopen jaren, zijn de streefbeeldafspraken uit 2017, 2018 en 2019 nog niet gehaald.
Nepmails blijven mogelijk
Overheden implementeren bijvoorbeeld te weinig anti-phishing-standaarden. Dat betekent dat valse e-mails, uit naam van bijvoorbeeld overheidsorganisaties, nog steeds bij burgers, bedrijven en ambtenaren aankomen. Met alle risico’s op ransomware, ceo-fraude, phishing en desinformatie van dien.
Om phishingmails uit naam van overheidsorganisaties te voorkomen, moet bijna een kwart van de domeinen waar het onderzoek naar keek, nog een strikt DMARC-beleid instellen. Overheden hadden dit voor eind 2019 al moeten regelen.
Cloudmail
De informatieveiligheid kent ook bij de e-mailvertrouwelijkheidstandaarden DNSSEC en DANE (versleuteling van e-mailtransport) zelfs een lichte terugval. Oorzaak daarvan is toenemend gebruik van clouddiensten. Probleem is dat die voornamelijk in handen zijn van Amerikaanse (moeder)bedrijven, die deze standaarden nog niet ondersteunen.
Het Forum Standaardisatie stelt dan ook dat het cruciaal is dat overheden die nog niet voldoen aan de verplichtingen rond informatieveiligheid, hun leverancier moeten blijven vragen om ondersteuning van alle standaarden. De afspraak was dat overheden uiterlijk eind 2019 ondersteuning hadden voor deze standaarden.
Microsoft werkt voor haar cloudmaildienst Exchange Online aan de implementatie van DNSSEC en DANE. Statistieken van SIDNlabs tonen aan dat Microsoft bezig is met de uitrol van DANE voor uitgaande mail. Ondersteuning voor inkomende mail laat langer op zich wachten. Dit staat gepland voor eind 2022. Tot die tijd hebben overheden dus een verhoogd risico op afluisteren van e-mailverkeer.
Onlangs had Forum Standaardisatie een gesprek met Google Nederland waarin ook de ondersteuning van DANE in Google Workspace opnieuw ter sprake kwam. Forum Standaardisatie heeft daarnaast contact met andere veelvoorkomende dienstverleners van cloudmail voor de overheid.
Encryptie niet overal toekomstvast
De TLS-configuratie is bij bijna een kwart van de e-mailservers. Bij één op de tien overheidswebsites is dit niet toekomstvast geconfigureerd. Overheden moeten hun TLS-verbindingen configureren op basis van de ICT-beveiligingsrichtlijnen voor Transport Layer Security van het NCSC.
De IPv6-adoptie voor websites en e-mailsystemen viel het laatste halfjaar zelfs bijna stil. Het groeitempo komt te kort om het streefbeeld van 100% adoptie uiterlijk eind dit jaar te halen. Dit was in april 2020 in het OBDO afgesproken.
Sinds september is er wel wat beweging. Zo heeft rijksdienstverlener SSC-ICT haar netwerk aangepast om IPv6-verkeer te kunnen verwerken. Denk aan DNS-servers, webservers en mailservers. Hierdoor zijn veel rijksorganisaties dit jaar nog benaderbaar via IPv6.
Overheidsorganisaties aan zet
Implementatie van standaarden is primair een verantwoordelijkheid van individuele overheden. Zij moeten de standaarden zelf implementeren waar mogelijk. Als een overheidsorganisatie het IT-beheer heeft uitbesteed moeten ze de dienstverlener formeel verzoeken om ondersteuning van de standaarden en ook vragen om een concrete planning.
Als de huidige leverancier te weinig medewerking verleent, zouden overheden moeten denken aan overstappen naar eentje die wel voldoet aan de afgesproken standaarden.
Lees ook:
- Thuiswerken en cybersecurity: zo gaat dat goed samen
- Interesse in nieuws over data, privacy of cyberveiligheid?
