Beheer

Security
Alexandra van Huffelen

Van Huffelen: Overheid moet goede voorbeeld geven met securitystandaarden

Staatssecretaris vreest voor phising vanwege niet nageleefde standaarden.

Alexandra van Huffelen © Rijksoverheid,  Martijn Beekman
2 december 2022

Staatssecretaris vreest voor phising vanwege niet nageleefde standaarden.

Ruim duizend overheidsdomeinen voldoen nog niet aan verplicht gestelde securitystandaarden, zo werd half november bekend. Dat leidde tot kritiek van onder meer D66 en VVD en burgerrechtenorganisatie Bits of Freedom. Staatssecretaris Alexandra van Huffelen van Digitalisering laat nu in antwoord op vragen van AG Connect weten dat de overheid hier het goede voorbeeld in moet geven. "Ik zie het als mijn taak om ervoor te zorgen dat alle partijen voldoen aan de standaarden." De Wet Digitale Overheid moet daaraan bij gaan dragen. Ook gaat ze structureel om aandacht blijven vragen voor dit onderwerp.

Forum Standaardisatie - een adviescommissie met deskundigen uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap - meet twee keer per jaar in hoeverre een set internetdomeinen van de overheid voldoen aan informatieveiligheidsstandaarden van de 'pas toe of leg uit'-lijst, voor zowel e-mail als websites. In november bleek dat van de ruim 2.500 gecontroleerde domeinnamen slechts 53% aan alle verplichte websitestandaarden voldeed. 44% voldeed aan de e-mailstandaarden. Dat terwijl de deadlines voor het voldoen aan deze standaarden al in 2019 en 2021 verliepen.

Van Huffelen benadrukt nu tegenover AG Connect dat het wel de bedoeling is dat aan de afspraken voldaan is. "De internetdomeinen van de overheid moeten aan al deze standaarden voldoen, en deze moeten ook nog correct geconfigureerd zijn om mee te tellen in het percentage dat geheel voldoet." De toepassing van deze standaarden is echter vooral de verantwoordelijkheid van iedere overheidsorganisatie zelf. "Dat kan ook als reden hebben dat de standaarden onjuist zijn geconfigureerd", aldus de straatssecretaris.

Grote risico's

Volgens beveiligingsbedrijf ESET Nederland en burgerrechtenorganisatie Bits of Freedom kunnen de risico's van het niet aan de standaarden voldoen groot zijn. "Het probleem in dit geval is ook dat alle ministeries uiteindelijk onderdeel uitmaken van één orgaan: De overheid. Dus als één onderdeel slecht beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd", zei ESET Nederland-directeur Dave Maasland daar bijvoorbeeld over. 

Ook Van Huffelen erkent de risico's: "Helaas leert de ervaring dat ransomware-aanvallen regelmatig via phishing e-mails tot stand komen waarvoor enkele informatieveiligheidstandaarden bestaan die dergelijke frauduleuze mails moeten blokkeren."

Tweede Kamerleden Lisa van Ginneken (D66) en Queeny Rajkowski (VVD) reageerden tegenover AG Connect dan ook kritisch op de resultaten van de metingen. “Dit is zeer kwalijk, zeker ook omdat de standaarden vrij basale zaken vragen, zoals betrouwbare websiteverbindingen en goede beveiliging tegen misbruik via e-mail. Dit is geen rocketscience”, aldus Van Ginneken tegenover AG Connect. Zij stelde naar aanleiding van de berichtgeving van AG Connect ook Kamervragen aan Van Huffelen en aan de minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius.

Rajkowski uitte ook kritiek tegenover AG Connect. "In de Kamer hameren we er constant op hoe belangrijk het is dat je cybersecurity sterk staat zodat criminelen of andere kwaadwillenden buiten de deur gehouden kunnen worden. De overheid zou hierin het goede voorbeeld moeten geven en het is pijnlijk dat dit niet voldoende gebeurt.”

Wettelijke grondslag volgt

Van Huffelen is het met Rajkowski eens dat de overheid het goede voorbeeld moet geven. "Ik zie het als mijn taak om ervoor te zorgen dat alle partijen voldoen aan de standaarden", zegt ze tegenover AG Connect. "Om die reden heb ik in de aanstaande Wet Digitale Overheid een grondslag gecreëerd om – nader te bepalen – open standaarden wettelijk aan overheidsorganisaties te verplichten. We gaan er volgens op toezien dat ze zich aan de regels houden. Op die manier wil ik ervoor zorgen dat burgers veilig en vertrouwd online zaken kunnen doen met overheid."

Wanneer die wetgeving in werking treedt, is nog niet bekend. Maar een eerste Algemene Maatregel van Bestuur moet al wel per 1 januari 2023 in werking treden. Met die maatregel worden overheidsorganisaties wettelijk verplicht om HTTPS en HSTS te gebruiken op hun website. Het blijft echter primair de verantwoordelijkheid van de overheidsorganisaties zelf om de standaarden toe te passen. "Ik zie het als mijn taak om daarop toezicht te organiseren en verken momenteel de wijze waarop we dit kunnen organiseren voor het brede onderwerp cybersecurity, zoals ik ook heb aangekondigd in de Werkagenda Waardengedreven Digitaliseren van 4 november jongstleden", aldus Van Huffelen.

Adoptie kan lastiger zijn door leverancier

De adoptie van de standaarden kan soms ingewikkeld zijn, zo vertelt de staatssecretaris, bijvoorbeeld vanwege de manier waarop ICT bij een organisatie is ingeregeld. "Zo is bijvoorbeeld de adoptie (en ‘strenge’ configuratie) van de anti-email-phishing standaard DMARC ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en  enquêtes). Ook zijn veel organisaties afhankelijk van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv6 en geen DANE." Overheden moeten hun leverancier dan ook aanspreken op tekortkomingen "en zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt". 

Toch is adoptie ook bij een ingewikkeldere implementatie "zeker mogelijk, getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht", aldus Van Huffelen. "Ik verwacht dan ook van alle organisaties dat ze aan de regels voldoen."

Van Huffelen vraagt extra aandacht

Om hier meer nadruk op te leggen gaat Van Huffelen meer aandacht vragen voor de implementatie van informatieveiligheidsstandaarden. Dit doet ze in een brief aan medeoverheden en rijksoverheidsorganisaties, waarin ook gesproken wordt over cookies op overheidswebsites. De brief is momenteel in de maak en wordt aangeboden aan de Vereniging van Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen, de CIO Rijk, de Manifestgroep en Klein Lef.

"In die brief zal ik de diverse overheden aanspreken op hun verantwoordelijkheid om zich te houden aan de gemaakte afspraken. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed, is het van belang de dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning. Overheden zal ik daarnaast verzoeken om de ontvangen leveranciersplanningen ter informatie te delen met het Forum Standaardisatie." Ook is Forum Standaardisatie bereid om "desgewenst" het gesprek met grotere leveranciers die nog niet voldoen te coördineren.

Van Huffelen zegt tot slot dat ze zelf structureel aandacht blijft vragen voor "het belang én toepassing van de informatieveiligheidsstandaarden". 

2
Reacties
Jasper Bakker 05 december 2022 09:02

@MICHEL DE ROOIJ Klik even op de (twee) linkjes in die zin die je daar aanhaalt. Die leiden naar meer informatie, over IPv6 en DANE bij de bewuste cloudmailprovider (Microsoft 365).

Michel de Rooij 03 december 2022 17:25

"Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv6 en geen DANE."

Hoe oud is dat onderzoek? Onjuiste conclusies op basis van achterhaalde informatie.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.