Veel overheidsinstellingen blijven in gebreke bij het gebruik van veilige standaarden voor websites en e-mail. Op bepaalde onderdelen loopt de achterstand zelfs op. Dit stelt Forum Standaardisatie op basis van het halfjaarlijkse onderzoek naar de toepassing van standaarden.
Het lukt weinig instanties te voldoen aan de nieuwe richtlijnen die het Nationaal Cyber Security Centrum (NCSC) heeft gesteld voor beveiligde e-mailverbindingen. Vooral de nieuwe ict-beveiligingsrichtlijnen voor Transport Layer Security (TLS)-protocol stellen betrokken instellingen voor problemen. Net zoals bij https is er bij StartTLS gebruik te maken van verschillende versies van het TLS-protocol en verschillende versleutelingsstandaarden. Het is daarbij belangrijk de juiste combinaties te gebruiken en regelmatig te controleren of de instellingen nog veilig zijn.
Overheidsinstellingen zouden hier voor eind december aan moeten voldoen. Maar bij de peiling in september bleek nog maar 42 procent van de domeinen zo ver te zijn. Het aantal e-mailsystemen dat de standaard StartTLS op de juiste wijze toepast, was vergeleken met afgelopen maart met 45 procentpunten gedaald. Het percentage van de websites dat een en ander solide geconfigureerd toepast, daalde in die periode voor beveiligde websiteverbindingen met vijftien procentpunten naar 78 procent.
Fragiel
De nieuwe richtlijnen van vorig jaar zijn een aanscherping van de regels uit 2014. De update was nodig omdat digitale dreigingen verder toenemen. ‘De ontwikkeling van aanvalstechnieken staat niet stil. Van verschillende instellingen is bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling’, aldus het NCSC. Een veilige TLS-configuratie is belangrijk voor het beveiligen van verbindingen op internet. Met een kwetsbare verbinding lopen organisaties het risico dat internetverkeer kan worden afgeluisterd of gemanipuleerd. De richtlijnen van het NCSC helpen toekomstvaste TLS-configuraties te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen.
Volgens Forum Standaardisatie zijn onveilige configuraties van standaarden die e-mailphishing kunnen voorkomen, een ander belangrijk aandachtspunt. E-mail is namelijk vatbaar voor ‘spoofing’, een trucje waarbij iemand een e-mail kan verzenden met elk willekeurig e-mailadres als afzender. Zo kunnen internetcriminelen mails verzenden namens organisaties die daar geen weet van hebben, vaak met phishing als doel. Hoewel moderne internetstandaarden spoofing kunnen voorkomen, gebruiken lang niet alle overheidsorganisaties deze standaarden. Namens ruim een derde van de belangrijkste e-maildomeinen van de overheid kunnen criminelen nu nog vervalste e-mails versturen. Dit kan omdat de internetstandaard Dmarc niet overal strikt genoeg is geïmplementeerd. Dmarc staat sinds 2015 op de lijst verplichte standaarden voor overheidsorganisaties. De standaard had vóór eind 2019 bij alle overheidsorganisaties strikt moeten zijn toegepast.
WIldgroei
Forum Standaardisatie die de overheid adviseert over het gebruik van ict-standaarden, maakt zich ook zorgen over de wildgroei aan internetdomeinen. Alleen al de rijksoverheid heeft er inmiddels al negenduizend tegen 3.500 in 2013. Uit metingen blijkt dat verplichte standaarden op secundaire internetdomeinen gemiddeld minder goed worden toegepast dan op primaire internetdomeinen. Volgens het Forum vraagt de wildgroei aan internetdomeinen om meer regie en daarmee grip op de aanwezigheid van de overheid op internet. Slecht geconfigureerde internetdomeinen komen met allerlei risico’s. Er ligt voor de digitale overheid een uitdaging om te werken aan betere beheersing van internetdomeinen.
It en overheid is nou eenmaal al meerdere malen gebleken geen gelukkig huwelijk te vormen…