Het College Standaardisatie heeft vier nieuwe standaarden op de ‘pas toe of leg uit’-lijst geplaatst. Het betreft DNSSEC en DKIM die zich richten op de beveiliging van internet- en e-mailcommunicatie tussen overheid, bedrijfsleven en burger. Daarnaast gaat het om standaarden waarmee milieutechnische bodeminformatie (SIKB0101) en bouwprocesinformatie (VISI) kan worden uitgewisseld. Ook zijn nieuwe versies van de standaarden voor bewerkbare documenten (ODF1.2) en voor duurzaam toegankelijke documenten (PDF/A-2) opgenomen. Tot slot is voor het eerst een standaard, namelijk WSRP, van de lijst verwijderd.
Het Forum en het College Standaardisatie zeggen de standaarden in de toetsingsprocedures met tientallen experts vanuit de overheid en het bedrijfsleven te hebben beoordeeld. Naast de nieuwe opnames is er voor het eerst sinds de oprichting van het Forum en College Standaardisatie een standaard van de lijst verwijderd. Het betreft de WSRP-standaard die het hergebruik van webcomponenten mogelijk maakt. Volgens het college is de (internationale) ontwikkeling van WSRP gestagneerd en het draagvlak voor de standaard. Wel stelt zij de ontwikkeling van alternatieven, zoals OpenSocial, in de gaten te blijven houden.
Pas toe of leg uit
De vier nieuwe standaarden op de ‘pas toe of leg uit'-lijst zijn DNSSEC, DKIM, SIKB en VISI. Voor alle standaarden op deze lijst geldt het zogenaamde 'pas toe of leg uit'-regime. Dat wil zeggen dat (semi-)overheidsorganisaties die actief zijn in het toepassingsgebied van de standaarden, verplicht zijn om deze aan te schaffen als zij investeren in nieuwe systemen en software. Organisaties die hier van afwijken moeten daarover via hun jaarverslag gemotiveerd verantwoording afleggen. Deze verantwoordingsverplichting is vastgelegd in de Rijksbegrotingvoorschriften van het ministerie van Financiën.
Voor meer informatie over de nieuwe standaarden: www.forumstandaardisatie.nl
Als aanmelder van de DKIM standaard ben ik blij dat deze op de genoemde lijst is opgenomen. Immers, de overheid wordt gezien als betrouwbare communicatie partner, maar recente incidenten (http://www.security.nl/artikel/42278/1/Nederlandse_bedrijven_doelwit_valse_KLPD-mail.html en http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/themaoverstijgend/nieuws/belastingdienst_waarschuwt_voor_valse_emails) zorgen ervoor dat het imago van de overheid schade kan leiden.
Niet dat DKIM (www.dkim.nl) dit probleem direct oplost. Maar het is wel een van de essentiele bouwstenen, waarmee een begin gemaakt kan worden met het terugdringen van het ‘phishing’ probleem. DMARC (dmarc.org), dat gebruik maakt van o.a. DKIM, kan daarbij een belangrijk hulpmiddel worden.
Ik roep daarom alle overheden op om werk te gaan maken van authenticatie voor uitgaande mail (DKIM, SPF), zodat vervolgens gewerkt kan gaan worden aan autorisatie middels ‘policies’ (DMARC, ADSP).