Monitor Open Standaarden
2019
Download het volledige rapport (PDF)
Monitor Open Standaarden
2019
Download het volledige rapport (PDF)
Voorwoord
Interview met Michiel Steltman
Directeur van de stichting Digitale Infrastructuur Nederland en lid van het Forum Standaardisatie.
Het Forum Standaardisatie beheert een lijst met open standaarden voor de publieke sector, de zogenaamde ‘pas toe of leg uit’- lijst. Worden die standaarden gebruikt in de praktijk?
Ja. De Monitor Open Standaarden laat zien dat het gebruik ieder jaar toeneemt. En dat is ook de bedoeling van de ‘pas toe of leg uit’- lijst. Maar het gaat wel erg langzaam. Te langzaam soms. Dat geldt zeker voor een aantal beveiligingsstandaarden zoals met name de strikte DMARC policy die phishing tegengaat, de voornaamste oorzaak van cyber incidenten. Daarom dringt het Forum Standaardisatie naar aanleiding van de laatste Monitor ook hard aan bij bestuurders om vooral deze strikte DMARC policy zo snel mogelijk te implementeren.
Is het gebruik van open standaarden dan wel zo belangrijk?
Ja. Om verschillende redenen, in het algemeen voor interoperabiliteit en leveranciersonafhankelijkheid. Maar ook voor informatieveiligheid zoals bij het digitale berichtenverkeer. Het toepassen van beveiligingsstandaarden is basishygiëne. Informatieveiligheid is nergens optioneel, die adoptie zou dus 100% moeten zijn. Worden deze standaarden niet toegepast dan staat de deur open voor cybercriminelen, zoals in april 2020 weer eens pijnlijk duidelijk werd in het nieuws. RTL nieuws constateerde onbeveiligde emailadressen bij RIVM en Rijksoverheid, de Betaalvereniging kwam met het bericht dat in 2019 phishing en bankpasfraude toegenomen zijn en de Algemene Rekenkamer kwam met een rapport waaruit blijkt dat de grenscontrole op Schiphol niet genoeg beveiligd is.
Als het zo belangrijk is, waarom is het gebruik van open standaarden dan niet wettelijk verplicht voor de hele publieke sector maar alleen voor overheidsorganisaties? En waarom wordt niet strenger op naleving toegezien?
Terechte vragen. Maar je hebt niet genoeg pagina’s in je magazine voor de uitleg waarom dat niet zo is. Volgende vraag.
Wat moet ik doen?
Kijk naar de Monitor Open Standaarden 2019 en ga na of jouw organisatie onderzocht is.
Check regelmatig je web- en emailadressen via www.internet.nl
Ben je IT bestuurder, CIO, CTO, aanbestedingsjurist, inkoper, ICT-architect, of heb je - op wat voor manier dan ook- invloed op de ICT in je organisatie? Weet dan welke open standaarden relevant zijn. Gebruik hiervoor structureel de Beslisboom Open Standaarden.
Implementeer in elk geval met spoed de strikte DMARC policy en de andere e-mailbeveiligingsstandaarden als dat nog niet gebeurd is. De checklist van SIDN is hiervoor erg handig.
De streefbeeldafspraken
In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) is afgesproken om met behulp van moderne internetveiligheidstandaarden websites en e-maildomeinen beter te beveiligen.
Onderdeel hiervan is ook de juiste configuratie van deze standaarden. Hiervoor lopen nu drie streefbeeldafspraken met verschillende deadlines. De huidige meting toont de stand van zaken met betrekking tot de adoptie van de standaarden medio 2019. De individuele testresultaten op de 548 domeinnamen zijn terug te vinden in deze PDF.
Realisatiedatum
Welke standaard geadopteerd
Uiterlijk EIND 2017
TLS/HTTPS: authenticiteit en beveiligde verbindingen van websites
DNSSEC: domeinnaambeveiliging
SPF: anti-phishing van e-mail
DKIM: anti-phishing van e-mail
DMARC: anti-phishing (rapportages)
ALLE overheidswebsites
uiterlijk EIND 2018
HTTPS, HSTS en TLS conform de NCSC richtlijn (v1.0): beveiligde verbindingen van websites
Uiterlijk EIND 2019
STARTTLS en DANE: encryptie tegen afluisteren van e-mailverkeer.
SPF en DMARC: het instellen van strikte policies voor deze e-mailstandaarden.
scroll
Interview met Michiel Steltman
Als het zo belangrijk is, waarom is het gebruik van open standaarden dan niet wettelijk verplicht voor de hele publieke sector maar alleen voor overheidsorganisaties? En waarom wordt niet strenger op naleving toegezien?
Het Forum Standaardisatie beheert een lijst met open standaarden voor de publieke sector, de zogenaamde ‘pas toe of leg uit’- lijst. Worden die standaarden gebruikt in de praktijk?
Ja. De Monitor Open Standaarden laat zien dat het gebruik ieder jaar toeneemt. En dat is ook de bedoeling van de ‘pas toe of leg uit’- lijst. Maar het gaat wel erg langzaam. Te langzaam soms. Dat geldt zeker voor een aantal beveiligingsstandaarden zoals met name de strikte DMARC policy die phishing tegengaat, de voornaamste oorzaak van cyber incidenten. Daarom dringt het Forum Standaardisatie naar aanleiding van de laatste Monitor ook hard aan bij bestuurders om vooral deze strikte DMARC policy zo snel mogelijk te implementeren.
Is het gebruik van open standaarden dan wel zo belangrijk?
Ja. Om verschillende redenen, in het algemeen voor interoperabiliteit en leveranciersonafhankelijkheid. Maar ook voor informatieveiligheid zoals bij het digitale berichtenverkeer. Het toepassen van beveiligingsstandaarden is basishygiëne. Informatieveiligheid is nergens optioneel, die adoptie zou dus 100% moeten zijn. Worden deze standaarden niet toegepast dan staat de deur open voor cybercriminelen, zoals in april 2020 weer eens pijnlijk duidelijk werd in het nieuws. RTL nieuws constateerde onbeveiligde emailadressen bij RIVM en Rijksoverheid, de Betaalvereniging kwam met het bericht dat in 2019 phishing en bankpasfraude toegenomen zijn en de Algemene Rekenkamer kwam met een rapport waaruit blijkt dat de grenscontrole op Schiphol niet genoeg beveiligd is.
Terechte vragen. Maar je hebt niet genoeg pagina’s in je magazine voor de uitleg waarom dat niet zo is. Volgende vraag.
Wat moet ik doen?
Kijk naar de Monitor Open Standaarden 2019 en ga na of jouw organisatie onderzocht is.
Check regelmatig je web- en emailadressen via www.internet.nl
Ben je IT bestuurder, CIO, CTO, aanbestedingsjurist, inkoper, ICT-architect, of heb je - op wat voor manier dan ook- invloed op de ICT in je organisatie? Weet dan welke open standaarden relevant zijn. Gebruik hiervoor structureel de Beslisboom Open Standaarden.
Implementeer in elk geval met spoed de strikte DMARC policy en de andere e-mailbeveiligingsstandaarden als dat nog niet gebeurd is. De checklist van SIDN is hiervoor erg handig.
Voorwoord
Directeur van de stichting Digitale Infrastructuur Nederland en lid van het Forum Standaardisatie.
scroll