Management

Security
cyber

Overheden kwetsbaar door tegenvallend gebruik standaarden

Afgesproken doelen voor eerdere jaren niet behaald.

3 december 2021

Afgesproken doelen voor eerdere jaren niet behaald.

Overheden maken te weinig werk van het implementeren van afgesproken informatieveiligheidstandaarden en dat maakt ze kwetsbaar. Afgesproken doelen voor eerdere jaren zijn nog niet gehaald. Tot die conclusie komt Forum Standaardisatie, dat elk half jaar de vorderingen onderzoekt. Het zorgt voor risico’s op bijvoorbeeld phishing, ransomware en ceo-fraude. Overheden moeten hun leveranciers blijven vragen om ondersteuning van alle standaarden.

Waar mogelijk moeten overheden zelf standaarden implementeren om het internetverkeer zo veilig mogelijk te maken. Maar het gebruik van de verplichte standaarden voor de beveiliging van mail en websites groeit maar mondjesmaat, merkt Forum Standaardisatie. ‘Doordat afgesproken anti-phishingstandaarden nog niet zijn geadopteerd, komt valse e-mail, verstuurd uit naam van (bijv. bestuurders van) overheidsorganisaties, nog steeds bij burgers, bedrijven en ambtenaren aan.’

Adoptie IPV6

De adoptie van IPv6 voor websites en e-mailsystemen ‘is het laatste halfjaar nagenoeg stilgevallen’. IP-adressen zijn, vergelijkbaar met postadressen, codes waarmee apparaten op internet en websites elkaar kunnen herkennen en communiceren. De nieuwe IPv6 is een langere code dan de oude IPv4, waardoor er meer combinaties zijn te maken en meer apparaten zijn te verbinden. Ook is IPv6 veiliger. Maar het groeitempo is nu te laag om, zoals afgesproken, dit jaar volledige adoptie te gaan halen.

Trend bereikbaarheid van websites en e-mail overheid over IPv6

standaarden.

 

Bron: Forum Standaardisatie

‘Om phishingmails uit naam van overheidsorganisaties (inclusief bewindspersonen) te voorkomen, moet bijna een kwart van de halfjaarlijks gemeten domeinen nog een strikt DMARC-beleid instellen.’ DMARC is een manier om de authenticiteit van e-mails te verifiëren. ‘Overheden hadden dit voor eind 2019 al moeten regelen.'

Omdat het gebruik van clouddiensten van voornamelijk Amerikaanse bedrijven toeneemt, en die niet alle standaarden ondersteunen, is er een lichte terugval in het gebruik van e-mailvertrouwelijkheidstandaarden DNSSEC en DANE. Omdat IP-adressen moeilijk te onthouden zijn, vertaalt het domeinnaamsysteem (DNS) ze naar domeinnamen. ‘Helaas is het mogelijk die vertaling te dwarsbomen’, legt SIDN uit. DNSSEC voegt een digitale handtekening toe aan die informatie, zodat het niet in verkeerde handen valt. DANE bouwt daarop verder.

Leveranciers ondersteunen

‘Het is cruciaal dat overheden die nog niet voldoen aan de verplichtingen, hun leverancier blijven vragen om ondersteuning van alle standaarden. De afspraak was dat overheden uiterlijk eind 2019 ondersteuning hadden voor deze standaarden.’ Als grote leveranciers niet aan de wensen voldoen, is Forum Standaardisatie bereid het gesprek ‘te coördineren’. Verdient de leverancier te weinig medewerking dan moeten overheden overwegen over te stappen.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.