Forum Standaardisatie roept op tot meer dwingende sturing op domeinnamen en het beter integreren van open standaarden in het leveranciersmanagement. In februari van dit jaar heeft Forum Standaardisatie onderzoek gedaan naar de stand van zaken rond de afgesproken internetveiligheidstandaarden bij internetdomeinnamen van de overheid. Uit de meting blijkt dat de toepassing van de afgesproken en verplichte veiligheidsstandaarden nog steeds achterblijft bij (mede)overheden.
Onderzoek onder 10.000 domeinnamen
Er zijn 10.943 domeinnamen gecontroleerd. Een verdubbeling ten opzichte van de vorige meting. Dit komt door het toevoegen van het Register Internetdomeinen Overheid (RIO). Hierin staan de domeinen en domeinregistraties van de Rijksoverheid. De domeinnamen van decentrale overheden ontbreken grotendeels. Hierdoor is er nog geen volledig overzicht van alle overheidsdomeinnamen.
Veilig e-mailtransport belangrijk
Onderdeel van de open standaarden zijn de ‘anti‑phishing’ standaarden en ‘veilige e‑mailtransport’ standaarden. Slechts 4 van de 10 e-maildomeinnamen voldoen hieraan. Dit is voor een groot deel te verklaren doordat grote cloudproviders, zoals Microsoft, het DANE protocol nog niet toepassen.
Gebruik beveiligde internetroutering (RPKI) 91 procent
Resource Public Key Infrastructure (RPKI) is een standaard die helpt te voorkomen dat internetverkeer wordt omgeleid naar de systemen van een niet-geautoriseerd netwerk. Logius beheert de uitgave van IPv6-adressen aan overheidsorganisaties. Daarbij geldt voor nieuwe aanvragen de verplichting tot het instellen van RPKI. Dit draagt bij aan de implementatie van RPKI bij overheidswebsites (92 procent) en e-maildomeinnamen (91 procent).
Adviezen voor betere beveiliging
Op basis van de uitkomsten van het onderzoek adviseert Forum Standaardisatie overheden als volgt:
- Maak een afspraak over de aansluiting van decentrale overheden op het centrale Register Internetdomeinen Overheid (RIO).
- Stop de groei van het aantal domeinnamen en krimp in waar mogelijk.
- Inventariseer het gebruik van Microsoft Office 365 Exchange Online. Combineer de configuratie van zowel DANE als IPv6.
- Maak open standaarden onderdeel van leveranciersmanagement. Vraag leveranciers om ondersteuning van standaarden. Verdere implementatie van RPKI.
Meer informatie
- Meting Informatieveiligheidstandaarden overheid begin 2024
- Nauwelijks groei internetveiligheidstandaarden overheid, behalve voor internetroutering (nieuwsbericht Forum Standaardisatie)
