Tegenvallend gebruik standaarden maakt kwetsbaar
Overheden maken te weinig werk van het implementeren van afgesproken informatieveiligheidstandaarden en dat maakt ze kwetsbaar. Afgesproken doelen voor eerdere jaren zijn nog niet gehaald. Tot die conclusie komt Forum Standaardisatie, dat elk half jaar de vorderingen onderzoekt. Het zorgt voor risico’s op bijvoorbeeld phishing, ransomware en ceo-fraude. Overheden moeten hun leveranciers blijven vragen om ondersteuning van alle standaarden.
Overheden maken te weinig werk van het implementeren van afgesproken informatieveiligheidstandaarden en dat maakt ze kwetsbaar. Afgesproken doelen voor eerdere jaren zijn nog niet gehaald. Tot die conclusie komt Forum Standaardisatie, dat elk half jaar de vorderingen onderzoekt. Het zorgt voor risico’s op bijvoorbeeld phishing, ransomware en ceo-fraude. Overheden moeten hun leveranciers blijven vragen om ondersteuning van alle standaarden.
Mondjesmaat
Waar mogelijk moeten overheden zelf standaarden implementeren om het internetverkeer zo veilig mogelijk te maken. Maar het gebruik van de verplichte standaarden voor de beveiliging van mail en websites groeit maar mondjesmaat, merkt Forum Standaardisatie. ‘Doordat afgesproken anti-phishingstandaarden nog niet zijn geadopteerd, komt valse e-mail, verstuurd uit naam van (bijv. bestuurders van) overheidsorganisaties, nog steeds bij burgers, bedrijven en ambtenaren aan.’
IPv6
De adoptie van IPv6 voor websites en e-mailsystemen ‘is het laatste halfjaar nagenoeg stilgevallen’. IP-adressen zijn, vergelijkbaar met postadressen, codes waarmee apparaten op internet en websites elkaar kunnen herkennen en communiceren. De nieuwe IPv6 is een langere code dan de oude IPv4, waardoor er meer combinaties zijn te maken en meer apparaten zijn te verbinden. Ook is IPv6 veiliger. Maar het groeitempo is nu te laag om, zoals afgesproken, dit jaar volledige adoptie te gaan halen.
Trend bereikbaarheid van websites en e-mail overheid over IPv6
Bron: Forum Standaardisatie
Authentificatie e-mails
‘Om phishingmails uit naam van overheidsorganisaties (inclusief bewindspersonen) te voorkomen, moet bijna een kwart van de halfjaarlijks gemeten domeinen nog een strikt DMARC-beleid instellen.’ DMARC is een manier om de authenticiteit van e-mails te verifiëren. ‘Overheden hadden dit voor eind 2019 al moeten regelen.'
Terugval in gebruik
Omdat het gebruik van clouddiensten van voornamelijk Amerikaanse bedrijven toeneemt, en die niet alle standaarden ondersteunen, is er een lichte terugval in het gebruik van e-mailvertrouwelijkheidstandaarden DNSSEC en DANE. Omdat IP-adressen moeilijk te onthouden zijn, vertaalt het domeinnaamsysteem (DNS) ze naar domeinnamen. ‘Helaas is het mogelijk die vertaling te dwarsbomen’, legt SIDN uit. DNSSEC voegt een digitale handtekening toe aan die informatie, zodat het niet in verkeerde handen valt. DANE bouwt daarop verder.
Leveranciers
‘Het is cruciaal dat overheden die nog niet voldoen aan de verplichtingen, hun leverancier blijven vragen om ondersteuning van alle standaarden. De afspraak was dat overheden uiterlijk eind 2019 ondersteuning hadden voor deze standaarden.’ Als grote leveranciers niet aan de wensen voldoen, is Forum Standaardisatie bereid het gesprek ‘te coördineren’. Verdient de leverancier te weinig medewerking dan moeten overheden overwegen over te stappen.
Standaarden voor het versleutelen van e-mailverkeer
Bron: Forum Standaardisatie
Politici én ambtenaren willen altijd én overal zelf het wiel uitvinden; dat scoort in de pers. Verder willen zij altijd dat iedere verandering in één keer in het hele land wordt toegepast.
Tal van drama dossiers hebben de afgelopen 10 jaar laten zien hoe desastreus dit gebrek aan een Professioneel Kritische Instelling uitwerkt. Alle transities van Rijk naar Gemeenten leiden onder deze beperkte kijk op operationeel management.