Uit de laatste meting van Forum Standaardisatie blijkt dat ongeveer de helft van alle overheidsdomeinen niet voldoet aan de informatieveiligheidstandaarden. Dit, terwijl internetstandaarden voor websites en e-mail verplicht zijn voor overheidsorganisaties. Bijvoorbeeld beveiligingsstandaarden voor vertrouwelijk webverkeer en IPv6 voor de bereikbaarheid van online-diensten.
Forum Standaardisatie meet op verzoek van het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) elk half jaar hoeveel overheidsdomeinen voldoen aan de verplichte standaarden. De meting van mei 2022 is verbreed ten opzichte van de vorige keren. Waar eerder met een selectie van ongeveer 550 domeinnamen gemeten werd, meette de adviescommissie ditmaal met ruim 2.500 domeinen. In de meting wordt naast de informatieveiligheidstandaarden ook de bereikbaarheid via IPv6 gemeten.
Van de gemeten domeinen voldeed 53 procent aan alle verplichte websitestandaarden. E-mailstandaarden bleven verder achter. Slechts 44 procent van die domeinen voldeden aan de afspraken. Over beide sets standaarden zijn in het OBDO adoptieafspraken gemaakt, waarvan de deadlines (respectievelijk eind 2019 en 2021) inmiddels zijn verlopen.
Achterlopen
Voor de uitbreiding van het aantal gemeten domeinnamen zijn lijsten gebruikt waar voornamelijk domeinnamen van de centrale overheid op staan. Bij decentrale overheden lijkt regie op domeinnamen achter te lopen, waardoor er alleen primaire domeinennamen (hoofddomeinen, bijvoorbeeld ‘amsterdam.nl’) zijn meegenomen in de meting, terwijl het aannemelijk is dat decentrale overheden ook veel andere domeinnamen hebben. Voor de centrale overheid is daardoor een veel grotere set gemeten domeinnamen dan voor decentrale overheden. Het Forum adviseert alle overheidsorganisaties om de regie op hun domeinen te verbeteren en meer overzicht te krijgen.
Gemeenschappelijke regelingen blijven duidelijk achter qua adoptie van de verplichte standaarden. In deze organisaties werken gemeenten onderling en/of met andere overheden samen. Hieruit blijkt dat de verantwoordelijkheid voor adoptie van verplichte standaarden bij veel van deze samenwerkingen niet goed is belegd. Het Forum adviseert gemeenschappelijke regelingen op dit punt duidelijk afspraken te maken.
Paar andere resultaten
– Gemeenten en waterschappen lopen in de meting voorop in adoptie van websitestandaarden, respectievelijk 89 procent en 87 procent van de onderzochte domeinnamen;
– De centrale overheid is aanvoerder bij de volledige adoptie van e-mailstandaarden, namelijk 55 procent van de domeinen daar;
– De adoptie van e-mailstandaarden blijft achter vergeleken met de adoptie van websitestandaarden.
– Op rijksniveau zijn er grote verschillen tussen de ministeries. Het ministerie van Algemene Zaken scoort het best en kan als voorbeeld dienen voor de andere ministeries.
Slordig artikel. Het zijn niet de domeinnamen die niet aan standaarden voldoen. Een domeinnaam gaat niet over veiligheid of ip6.
Het gaat om de domeinen of beter: nog de diensten/protocollen die erin gebruikt worden.
Daarnaast zou ik wel eens hetzelfde onderzoek willen zien, maar dan voor het bedrijfsleven. Wijzen naar de overheid dat die het niet goed, maar er (door alle compatibiliteit) ook te veel geld aan uitgeeft doet is me te makkelijk.
Mailserver rDNS kontroleren.
DNS records voor IPv4 en IPv6 aanleggen – omleiden naar ofwel met-www ofwel zonder-www.
DNS record aanleggen voor E-Mail (MX)
DNS records aanlegen voor SPF – DMARC – DKIM
Per externe dienst kontroleren dat alle instellingen just zijn.
Dank Google moeten alle beheerders die zich met mailservers bezig houden dit voor alle domains kontroleren en in orde brengen.
Dat dat niet overal gebeurt is te verwachten.
Was beter geweest wanneer je deze info in je artikel verwerkt had Rik.
@Hens Baltesen Het Forum Standaardisatie communiceert zelf dat het om domeinnamen gaat: https://www.forumstandaardisatie.nl/nieuws/bredere-aanpak-meting-informatieveiligheidstandaarden-legt-achterblijvers-bloot
Verder voert het Forum een meeting uit i.o.v. de overheid, dus het is geen kwestie van ‘wijzen naar de overheid’. Maar een onderzoek naar het bedrijfsleven kan zeker interessant zijn.
Forum Standaardisatie roept ook iets over de administratieve regie op alle geregistreerde domeinnamen want een onderzoek naar de wel betaalde maar niet gebruikte domeinnamen lijkt me gezien bezuinigingen wel interessant want het is geld van de burger waar we het over hebben:
https://www.forumstandaardisatie.nl/publicaties/regie-op-internetdomeinen
De organisatorische aspecten zijn natuurlijk niet zo interessant als de technische maar de bevindingen over lifecycle van websites is een interessante want hoeveel ‘verweesde websites’ zijn er als gevolg van projecten? De website is het digitale equivalent geworden van het eerdere drukwerk in de communicatie wat na verloop van tijd bij het oud papier kwam waardoor je automatisch in de vergetelheid verdween. Verder is het wel grappig dat de opmerking over een slordig redactioneel stuk een reactie uitlokt van de redactie, verwijzing naar een link geeft het probleem met de regie op de content aan.
@Rik Sanders Het feit dat het Forum Standaardisatie dat zegt wil nog niet zeggen dat het correct is. Kennelijk hebben ze daar slechte tekstschrijvers of slechte onderzoekers. Als het onderzoek zo slordig is als de tekst, dan moet er misschien wat extra zout bij.
Een journalist zou eigenlijk ook al meteen moeten opvallen dat dit niet kan. Het is een taalkundige miskleun. Het is eigenlijk net zo raar alsdat je zou zeggen dat de namen van scholen beter moeten worden beveiligd als je bedoeld dat de gebouwen en/of de gebruikers ervan beter beveiligd moeten worden.
Ik merk op dat er inderdaad vooral op DNS records wordt gecontroleerd in dit onderzoek. Dus het is wel degelijk gerelateerd aan “domeinnamen”. Dit wordt ook in het overheidsartikel zo gebruikt.
In het onderzoek wordt echter vooral gerept over “internetdomeinen” wat breder is dan de specifiekere “domeinnaam”. Een DNS record bevat natuurlijk meer dan alleen de naam – bijvoorbeeld een AAAA veld voor IPv6.
Maar goed, het is dus ook geen volledige test op de veiligheid van de dienst aan de hand van bijvoorbeeld OWASP zoals hierboven wordt gesuggereerd (zie H7 van het volledige rapport).
@Hens Baltesen Het lijk mij vooral een semantische discussie tussen rekkelijken en preciezen. Forum Standaardisatie gebruikt het allebei, ook elders trouwens, al hanteert het in zijn rapport overheidsdomeinen. Ik heb de tekst daarom her en der aangepast.
@Oudlid Je link toegevoegd
@Jan ik mis de link tussen wat ik had moeten melden en de strekking van de meting van het Forum. Kun je toelichten?
Wat betreft de rekkelijken en preciezen is het wel handig om dezelfde taal te spreken en zo’n forum voor standaardisatie zal dus precies moeten zijn in de definities. Nu kunnen we op alle slakken zout gaan leggen of ons richten op de grote lijn door het advies over een betere regie breder te zien door naar het doel in plaats van het middel te kijken. Ik ga er namelijk van uit dat een website vooral om de communicatie gaat en de regie daarop gaat om de informatie. Alle communicatiemedewerkers bij de overheid ten spijt laat de regie op de informatie namelijk nog altijd veel te wensen over.
Het is goed om bekende beveiligingsstandaarden na te leven maar het is volgens mij nog beter om te beginnen bij een classificatie van de informatie. Zo hanteert een CMS een houdbaarheidsdatum voor artikelen, het principe van oud papier en vergetelheid aangaande de oude koeien in de sloot is iets dat ze niet kennen bij Computable terwijl de nieuwe wet iets zegt over een billijke vergoeding aangaande de exploitatie van een mening.
@Oudlid Dat heet een archief en gaat bij ons terug tot 1968.
Da’s mooi Rik maar door wetgeving veranderen ook de regels voor archivering, het is geen 1968 meer. Zo is het vrijelijk bewaren en het aanpassen van de informatie niet een deugdelijke wijze van preserveren. Zie je eigen reactie op 23 november 2022 om 14:11 over het her en daar aanpassen waardoor websites niet de meest betrouwbare bron van informatie zijn. We zullen er maar vanuit gaan dat het dezelfde Rik Sanders is als van 22 november 2022 om 09:14 want onweerlegbaarheid van papieren bewijs doet het vaak beter als we kijken naar stilzwijgende en eenzijdige wijzigingen van de voorwaarden. Let dus even op de metadata in documenten want niet alles is wat het lijkt te zijn, de bevoegdheid die van een mening een voorwaarde maakt gaat om een proces welke je ‘verbaal’ vast kunt leggen.
Maar inderdaad moet ook de informatie op websites gearchiveerd worden alleen mag je door AVG/GDPR niet alles bewaren of toegankelijk maken. De ‘Rutte doctrine’ welke persoonsgegevens los maakt van een mening in de notulen heeft zo zijn voordelen.