Deze podcast is AI-gegeneerd.
De huidige stand van zaken
Uit recente metingen blijkt dat de helft van de overheidsdomeinen nog niet voldoet aan afgesproken internetveiligheidsstandaarden. Deze standaarden zijn bedoeld om digitale communicatie en uitwisseling van gegevens te beschermen tegen afluisteren, manipulatie, phishing en andere vormen van cybercriminaliteit. Hoewel er de afgelopen jaren verschillende afspraken en verplichtingen zijn opgesteld om de digitale veiligheid te waarborgen, wordt duidelijk dat veel overheidsinstanties nog achterblijven in de implementatie van deze essentiële maatregelen.
De bevindingen komen voort uit een halfjaarlijkse meting, waarbij ruim 12.000 domeinnamen van overheidsinstellingen zijn onderzocht. De uitkomst is zorgwekkend: 50 procent van de gecontroleerde domeinen voldoet niet aan de overeengekomen standaarden voor web- en e-mailbeveiliging. Dit betekent dat een groot deel van de publieke sector nog altijd kwetsbaar is voor aanvallen die de vertrouwelijkheid en integriteit van overheidscommunicatie kunnen aantasten.
Waarom moderne internetveiligheidsstandaarden?
De hedendaagse digitale infrastructuur van de overheid rust in grote mate op internetverbindingen, webservices en e-mailsystemen. Om de data van burgers, bedrijven en overheidsmedewerkers te beschermen, is het noodzakelijk om technische veiligheidsstandaarden te hanteren die voldoen aan de huidige dreigingsniveaus. Denk hierbij aan HTTPS, TLS-configuraties, DNSSEC, HSTS, DMARC, SPF en DKIM. Elk van deze technologieën en protocollen helpt om de identiteit van online diensten te verifiëren, verbindingen te versleutelen en misbruik van domeinnamen te voorkomen.
Het naleven van deze standaarden zorgt ervoor dat burgers met vertrouwen kunnen communiceren met overheidsinstanties, zonder bang te hoeven zijn dat hun gegevens worden onderschept of gemanipuleerd. Het is immers van wezenlijk belang dat gegevensuitwisseling tussen burger en overheid in een veilige omgeving plaatsvindt. Wanneer overheidsinstanties achterlopen met het implementeren van deze standaarden, ontstaan er niet alleen risico’s voor de overheid zelf, maar ook voor de samenleving als geheel.
Het belang van webstandaarden en versleuteling
Een belangrijk onderdeel van de veiligheidsmaatregelen ligt bij de beveiliging van websites en webapplicaties. Door standaarden als DNSSEC en HSTS toe te passen, wordt bijvoorbeeld voorkomen dat criminelen verkeer kunnen omleiden of manipuleren. HTTPS en een door het Nationaal Cyber Security Centrum geadviseerde TLS-configuratie dragen bij aan een versleutelde, vertrouwelijke verbinding tussen gebruiker en website.
De meting wijst uit dat het implementeren van deze webbeveiligingsstandaarden bij veel overheidsdomeinen te wensen overlaat. Dat is verontrustend, omdat een gebrek aan veilige verbindingen het risico op afluisteren en phishing aanzienlijk vergroot. Wanneer een bezoeker van een overheidswebsite niet zeker kan zijn dat de verbinding beveiligd is, opent dat de deur naar scenario’s waarbij criminelen gegevens kunnen onderscheppen of verkeer kunnen omleiden naar malafide websites.
E-mailverkeer: een kwetsbaar knooppunt
Niet alleen de webomgeving, maar ook het e-mailverkeer van de overheid staat onder druk. Moderne e-mailstandaarden, zoals DMARC, DKIM en SPF, zijn ontwikkeld om te verifiëren of een e-mail daadwerkelijk afkomstig is van de betreffende domeinnaam. Deze protocollen helpen bij het voorkomen van phishingaanvallen, waarbij criminelen zich voordoen als overheidsinstanties om burgers of bedrijven te misleiden.
Volgens de laatste meting voldoet slechts 49 procent van de onderzochte overheden aan de standaarden voor veilig en modern e-mailverkeer. Opvallend hierbij is dat de centrale overheid het beter doet dan decentrale overheden. Het verschil kan gedeeltelijk worden verklaard door het gebruik van dienstverleners die de standaarden correct toepassen. Bij lagere overheden, zoals gemeenten en waterschappen, is de implementatie vaak complexer, mede door de inzet van verschillende cloud- of hostingpartijen, waarbij niet altijd alle benodigde standaarden worden ondersteund.
Voorop- en achterlopers binnen de overheid
Hoewel de helft van de overheidsorganisaties achterblijft, zijn er ook positieve uitzonderingen. Waterschappen en gemeenten zijn, gemiddeld genomen, verder gevorderd met de implementatie van webbeveiligingsstandaarden dan provincies en de centrale overheid. Op e-mailgebied loopt de centrale overheid echter juist voorop. Dit laat zien dat prioritering, interne organisatie en leverancierskeuze een belangrijke rol spelen bij het tempo en de kwaliteit van de implementatie.
Er zijn bovendien ministeries die aantoonbare vooruitgang boeken. Zo hebben sommige departementen, zoals Infrastructuur en Waterstaat, Justitie en Veiligheid, Asiel en Migratie, en Volksgezondheid, Welzijn en Sport flinke stappen gezet. Dit toont aan dat, zodra hier serieus op wordt ingezet, het wel degelijk mogelijk is om binnen een afzienbare periode de beveiligingsstandaarden te halen.
Decentrale overheden en clouddiensten
Een belangrijk knelpunt bij veel decentrale overheden is hun afhankelijkheid van clouddiensten en externe leveranciers. Wanneer deze leveranciers niet alle vereiste standaarden ondersteunen, of wanneer het beheer van meerdere domeinnamen en diensten versnipperd is, wordt het lastig om aan alle veiligheidseisen te voldoen. Bovendien speelt mogelijk een gebrek aan bewustzijn een rol: als IT-beheerders en beleidsmakers zich niet volledig bewust zijn van de risico’s en de urgentie, blijft tijdige implementatie uit.
Door de complexiteit van hun domein- en infrastructuurbeheer hebben decentrale overheden vaker te maken met een lappendeken aan systemen, leveranciers en processen. Zonder heldere regie en afspraken met leveranciers bestaat het risico dat belangrijke veiligheidsmaatregelen te laat of niet volledig worden doorgevoerd, met als gevolg dat kwetsbaarheden voortduren.
Verplichte standaarden en hun naleving
Veel van de genoemde standaarden zijn wettelijk verplicht. Toch blijkt de wettelijke verplichting in de praktijk nog weinig invloed te hebben op de naleving. De afwezigheid van concreet toezicht en handhaving kan leiden tot een situatie waarin de naleving achterblijft, ondanks de duidelijke richtlijnen en afspraken. De vraag is hoe overheidsorganisaties kunnen worden aangespoord om deze standaarden sneller en effectiever te implementeren.
Het Forum Standaardisatie, dat deze metingen uitvoert en de publieke sector adviseert, roept op tot snelle actie. Het forum benadrukt dat naleving van deze standaarden niet alleen een wettelijke plicht is, maar ook een cruciale factor voor de betrouwbaarheid en het vertrouwen in digitale overheidsdiensten.
Aanbevelingen voor snelle actie
Om de achterstand in te lopen en de digitale veiligheid te verhogen, worden concrete aanbevelingen gegeven. Allereerst is het belangrijk om een duidelijke planning met een einddatum te maken. Overheidsinstanties die eerder succes boekten, hadden vaak een helder stappenplan, met vaste deadlines en duidelijke verantwoordelijkheden.
Daarnaast wordt geadviseerd om specifieke maatregelen te nemen op het gebied van e-mailbeveiliging en routing. Zo is er de oproep om RPKI (Resource Public Key Infrastructure) te implementeren vóór eind 2024. RPKI helpt bij het voorkomen van zogenaamde ‘route hijacks’, waarbij internetverkeer naar ongeautoriseerde netwerken wordt geleid. Het belang hiervan werd al in 2014 duidelijk, toen IP-adressen van de overheid werden gekaapt. Door tijdig met leveranciers in gesprek te gaan en druk uit te oefenen op tijdige implementatie van RPKI, kan deze dreiging worden verminderd.
DANE en IPv6 bij Microsoft Exchange Online
Een andere aanbeveling richt zich op het activeren van DANE en IPv6 bij gebruik van Microsoft Exchange Online (Office 365). DANE (DNS-based Authentication of Named Entities) zorgt voor een extra beveiligingslaag bij het verzenden van e-mails, waardoor man-in-the-middle-aanvallen worden voorkomen. Dit is van groot belang, aangezien in het verleden overheden al doelwit zijn geweest van dergelijke aanvallen, met als gevolg dat e-mailverkeer werd afgeluisterd of omgeleid.
Sinds eind oktober biedt Microsoft ondersteuning voor DANE op inkomende e-mail. Overheidsorganisaties die Exchange Online gebruiken, worden opgeroepen om DANE onmiddellijk te activeren. Bovendien is de overgang naar IPv6, een moderne internetprotocollaire standaard, essentieel om toekomstige groei van het internetverkeer op een veilige en schaalbare manier mogelijk te maken. IPv6 biedt niet alleen meer adressen, maar kan ook bijdragen aan efficiëntere en veiligere netwerkcommunicatie.
Regie over domeinnamen en leveranciers
Een structurele verbetering van de internetveiligheid bij de overheid vereist meer dan alleen het naleven van technische standaarden. Het gaat ook om beter beheer, heldere regie en het terugdringen van onnodige complexiteit. Een belangrijk advies is om het beheer van domeinnamen te stroomlijnen. Door minder domeinnamen te gebruiken – idealiter alleen diegenen die strikt noodzakelijk zijn – vermindert de beheerlast en het risico dat bepaalde domeinen over het hoofd worden gezien als het gaat om beveiligingsmaatregelen.
Daarnaast speelt leveranciersmanagement een cruciale rol. Overheden doen geregeld een beroep op externe IT-dienstverleners. Het is noodzakelijk dat zij deze leveranciers aanmoedigen en, waar nodig, onder druk zetten om te voldoen aan de afgesproken standaarden. Leveranciers die niet meewerken of te traag handelen, vormen een risico voor de totale veiligheid van de overheidsinfrastructuur. Door actief met leveranciers in gesprek te gaan, heldere contractuele afspraken te maken en de vinger aan de pols te houden, kan de overheid de naleving van de beveiligingsnormen versnellen.
Handhaving en toezicht als stok achter de deur
De wettelijke verplichtingen rondom de veiligheidsstandaarden zijn op zich helder, maar zonder actieve handhaving blijft de implementatie achter. Het Forum Standaardisatie pleit dan ook voor nadrukkelijk toezicht en handhaving. Dat kan betekenen dat er vanuit centrale instanties strengere controles worden uitgevoerd en dat het niet naleven van de standaarden consequenties heeft. Bijvoorbeeld door het opleggen van sancties, het inperken van budgetten of het verplicht stellen van verbeterplannen met deadlines.
Strenger toezicht kan overheidsinstellingen dwingen om veiligheid hoger op de agenda te plaatsen en gerichte actie te ondernemen. Dit is noodzakelijk, want uiteindelijk is de digitale veiligheid van overheidsdomeinen niet alleen een technische kwestie, maar ook een bestuurlijke verantwoordelijkheid, waarin toezicht en naleving hand in hand gaan.
Het belang van bewustwording en samenwerking
Naast technische verbeteringen is bewustwording binnen de overheid van groot belang. Door het hele ambtelijk en bestuurlijk apparaat heen moet duidelijk zijn dat het niet naleven van veiligheidsstandaarden aanzienlijke risico’s met zich meebrengt. Zodra bestuurders, beleidsmakers, IT-beheerders en leveranciers doordrongen zijn van de urgentie, wordt het gemakkelijker om prioriteit te geven aan digitale veiligheid.
Daarnaast kan samenwerking tussen verschillende overheidslagen, van gemeente tot rijk, bijdragen aan kennisdeling, uitwisseling van best practices en gezamenlijke aanpak van leveranciers. Door gezamenlijk op te trekken, kunnen overheden schaalvoordeel behalen, standaarden uniform implementeren en kennis bundelen om complexiteit te reduceren.
Binnen een half jaar voldoen
Het Forum Standaardisatie adviseert overheden om binnen zes maanden aan de verplichte standaarden te voldoen. Dit klinkt ambitieus, maar de voorbeelden van ministeries die het tempo recent hebben opgevoerd, laten zien dat het haalbaar is. Cruciaal is een gestructureerde aanpak: inzicht in de huidige status, een helder plan van aanpak, duidelijke deadlines, betrokkenheid van leveranciers en interne communicatie om alle stakeholders op één lijn te krijgen.
Met een gefaseerde aanpak kunnen de meest essentiële risico’s als eerste worden aangepakt. Bijvoorbeeld door prioriteit te geven aan het activeren van e-mailstandaarden om phishing te voorkomen, of door snel HTTPS en TLS te implementeren om ervoor te zorgen dat burgers veilig kunnen communiceren met overheidssites. Vervolgens kunnen meer geavanceerde standaarden, zoals DANE en RPKI, worden uitgerold om de beveiliging verder te versterken.
Naar een veiligere digitale overheid
Het uiteindelijke doel is een digitale overheid die haar informatiebeveiliging op orde heeft en voldoet aan de moderne standaarden. Dit leidt tot een betere bescherming van gevoelige informatie, meer vertrouwen bij burgers en bedrijven, en een verminderd risico op schadelijke cyberincidenten. Het naleven van veiligheidsstandaarden is niet alleen een technische kwestie, maar ook een randvoorwaarde voor een goed functionerende, betrouwbare en toekomstbestendige digitale overheid.
Door prioriteit te geven aan digitale veiligheid, leveranciers hierop te toetsen, domeinnamen te stroomlijnen en toe te werken naar volledige naleving van alle wettelijke standaarden, kan de overheid een stevig fundament leggen voor de jaren die komen. Het is een investering in een stabiel en veilig digitaal landschap waar burgers en bedrijven met een gerust hart gebruik van kunnen maken.
Bewustwording voor de toekomst
Nu de helft van de overheidsdomeinen nog niet aan de standaarden voldoet, is dit het moment om verandering te bewerkstelligen. De kans om kwetsbaarheden te reduceren, vertrouwen te versterken en de digitale infrastructuur op een hoger niveau te tillen, ligt nu voor het grijpen. Met gerichte actie, nauwe samenwerking en een scherpe blik op techniek én organisatie is het mogelijk om de achterstanden in te lopen.
De oproep van het Forum Standaardisatie is dan ook een wake-upcall voor de hele publieke sector. De overheid heeft een voorbeeldfunctie en moet laten zien dat zij digitale veiligheid serieus neemt. Door technische standaarden niet als bureaucratische verplichting, maar als strategische noodzaak te beschouwen, kan de overheid de huidige achterstand ombuigen naar een voorsprong, met de blik gericht op een digitaal veilige toekomst.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: forumstandaardisatie