Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen

Veel overheidsdomeinen voldeden in februari van dit jaar niet aan de afgesproken veiligheidsstandaarden. Dat blijkt uit de recentste inventarisatie van het Forum Standaardisatie. De organisatie roept op tot 'meer dwingende sturing'.

Forum Standaardisatie controleerde bij zijn meting in februari 10.943 domeinnamen van overheidsinstellingen, een verdubbeling ten opzichte van de vorige meting. Van die groep voldoen slechts vier op de tien e-maildomeinen aan de afgesproken standaarden. De standaarden zijn bedoeld om websites en inboxen beter te beschermen tegen bijvoorbeeld phishing- en man-in-the-middleaanvallen. Die zijn door de overheid afgesproken in zogenaamde 'streefbeeldafspraken', waarbij met name het leg-uitprincipe uit een pas-toe-of-leg-uitbeleid niet gelden.

Zeker bij provincies en waterschappen voldoen nog weinig e-maildomeinen aan de gemaakte afspraken: slechts achttien procent doet dat wel. Bij de centrale overheid is dit aantal het hoogste, namelijk 48 procent. Volgens Forum Standaardisatie blijft een aanzienlijk deel achter doordat grote cloudproviders het dane-protocol nog niet toepassen. Dit geldt onder meer voor Microsoft, dat door ruim dertig procent van de overheden gebruikt wordt.

Ook voor internetdomeinen zijn afspraken gemaakt. Uit de meting blijkt dat slechts 54 procent van de domeinen die ook bij de vorige meting werden gecontroleerd, aan alle gemaakte afspraken - ook die over rpki en ipv - voldoen. Dat is een stijging van vijf procentpunt ten opzichte van de vorige meting. Wel past 91 procent van de overheidsdomeinen beveiligde internetroutering, oftewel rki, toe. Daarmee wordt voorkomen dat internetverkeer wordt omgeleid naar systemen van een niet-geautoriseerd netwerk.

De metingen laten volgens Forum Standaardisatie zien dat geen van de streefbeeldafspraken voor de overheid gehaald zijn: "Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen alle individuele overheidsorganisaties." Ook wetgeving lijkt nog niet het gewenste effect te hebben. Op 1 juni 2023 werd de Wet digitale overheid van kracht, die de standaarden Https en HSTS verplicht stellen. Maar die wet laat nog 'geen significante verandering in de adoptie van deze standaarden zien'.

Forum Standaardisatie roept daarom op tot meer dwingende sturing op domeinnamen en het beter integreren van open standaarden in het leveranciersmanagement. De organisatie adviseert daarnaast om de groei van het aantal domeinnamen bij de overheid te stoppen en om het gebruik van Microsoft Office 365 Exchange Online te inventariseren. Tot slot raadt Forum Standaardisatie aan om open standaarden onderdeel te maken van leveranciersmanagement.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 18-07-2024 13:36
19 • submitter: wildhagen

18-07-2024 • 13:36

19

Submitter: wildhagen

Lees meer

Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik
Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik Nieuws van 19 maart 2025
Helft van overheidsdomeinen voldoet niet aan wettelijke beveiligingsstandaarden
Helft van overheidsdomeinen voldoet niet aan wettelijke beveiligingsstandaarden Nieuws van 20 december 2024
Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL
Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL Nieuws van 29 oktober 2024
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels Nieuws van 26 september 2024
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes Nieuws van 29 augustus 2024
Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden
Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden Nieuws van 15 augustus 2024
'Helft van de lokale overheden bewaart gegevens langer dan mag van de wet'
'Helft van de lokale overheden bewaart gegevens langer dan mag van de wet' Nieuws van 25 juli 2024
AP: Nederlandse gemeenten hebben slecht in beeld welke algoritmes ze gebruiken
AP: Nederlandse gemeenten hebben slecht in beeld welke algoritmes ze gebruiken Nieuws van 18 juli 2024
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen Nieuws van 29 februari 2024
Nederlandse overheid neemt eigen Mastodon-instance in gebruik
Nederlandse overheid neemt eigen Mastodon-instance in gebruik Nieuws van 12 juli 2023
'Nederlandse overheid voldoet pas in 2030 aan verplichte websecuritystandaarden'
'Nederlandse overheid voldoet pas in 2030 aan verplichte websecuritystandaarden' Nieuws van 7 juni 2023
Nederlandse overheden moeten verplicht security.txt gaan gebruiken
Nederlandse overheden moeten verplicht security.txt gaan gebruiken Nieuws van 30 mei 2023
Nederlands overheid verplicht rpki-certificaten op alle overheidssystemen
Nederlands overheid verplicht rpki-certificaten op alle overheidssystemen Nieuws van 5 april 2023
Meer producten en artikelen
Politiek en recht Overheid Security

Reacties (19)

-Moderatie-faq
19
19
13
2
0
6
Wijzig sortering

Sorteer op:

Weergave:
Railgunner 18 juli 2024 14:19
Volgens Forum Standaardisatie blijft een aanzienlijk deel nog achter doordat grote cloudproviders het dane-protocol nog niet toepassen. Dit geldt onder meer voor Microsoft, dat door ruim dertig procent van de overheden gebruikt wordt.
Toevallig heeft Microsoft gisteren (eindelijk) aangekondigd dat DANE er aan komt. Het is mogelijk om je domein via opt-in aan te melden. Zie bericht Announcing Public Preview of Inbound SMTP DANE with DNSSEC for Exchange Online.
x5serv @Railgunner18 juli 2024 22:33
Vandaag getest maar kreeg de melding dat het commando “ Enable-DnssecForVerifiedDomain” niet beschikbaar was. Binnenkort nog maar eens proberen.
djwice @x5serv18 juli 2024 23:07
Staat dnssec aan op je root domein?
GarBaGe 18 juli 2024 13:44
Misschien moet er een nieuwe overheidsorganisatie komen voor het beheer en onderhoud van domeinen voor de overheid.
Yzord @GarBaGe18 juli 2024 13:49
Waarom? Ik mag aannemen dat die er allang is. Dat clubje moet gewoon zijn werk eens doen ipv een nieuwe organisatie ervoor op te trekken.
bzzzt @Yzord18 juli 2024 14:05
Ik denk dat je dat gruwelijk overschat. Volgens mij mogen overheden hun website hosting zelf inkopen dus is er een enorme wildgroei geweest in domeinen van overheidsdiensten.
Was een tijd geleden ook een item op Lubach over: YouTube: Waarom heeft de overheid zoveel websites | De avondshow met Arjen Lu...

Daarnaast zijn er natuurlijk ook veel hosted diensten die overheden inkopen. Die zouden uiteindelijk aan de eisen moeten voldoen maar zo lang niemand daar hard stennis over schopt blijft dat waarschijnlijk op nivo 10 jaar geleden hangen..
Terr-E @GarBaGe18 juli 2024 15:36
Is er al; De Dienst Publiek en Communicatie (DPC) (agentschap van het ministerie van Algemene Zaken (AZ))
Frame164 18 juli 2024 13:58
Hoe is dit bij de bedrijven waar de tweakers-forummers werken?
djiwie @Frame16418 juli 2024 17:38
Vermoedelijk hetzelfde aangezien het grootste deel inmiddels ook bij een grote cloud provider draait?

Is in ieder geval voor mijn bedrijf de reden dat we DANE niet kunnen supporten. (Ik ben al blij dat de mail nu ook IPv6 compatible is bij Microsoft)
cbravo2 @Frame16419 juli 2024 09:02
9 van de 10 medewerkers kent Forum Standaardisatie niet... De rest zegt dat er een exceptie is voor alles wat niet mag.
DdeM 18 juli 2024 14:21
DANE is nog een proposed standard, dus dat dat nog niet breed toegepast wordt is niet zo vreemd lijkt me.
ocn @DdeM18 juli 2024 14:30
Veel standaarden blijven voor eeuwig hangen in die status.

DNSSEC https://datatracker.ietf.org/doc/rfc4033/
TLS v1.3 https://datatracker.ietf.org/doc/rfc8446/

Zegt dus helemaal niks dat het de status 'proposed standard' heeft. https://www.ietf.org/process/rfcs/#statuses

[Reactie gewijzigd door ocn op 22 juli 2024 13:42]

jb044 18 juli 2024 13:50
Moet zeggen dat ik soms de indruk heb dat ze iedere maand weer een nieuwe aanvullende standaard verzinnen die e-mail nu toch echt veilig gaat maken, snap wel een beetje dat de wat grotere toko moeite heeft om dat allemaal bij te benen.

Aan de andere kant snap ik niet dat overheid zo verknocht is aan MS die wat dat betreft geen goede track record heeft en dan ook nog vaak een cloud service wat je als overheid niet moet willen, tenzij onder strikte voorwaarden. Slechte zaak!

Enne net ff een snelle internet.nl test gedaan, scoor 97% en dat is alleen omdat DANE voor mij niet praktisch is want hobby werk en dus lets encrypt :)
wica 18 juli 2024 14:39
Maar 10.943? In augustus was dit bij een bijeenkomst van het Forum Standaardisatie nog iets van 18000.. Kan moeilijk geloven dat dit met ruim 8000 gezakt is, in die paar maanden.

Dit ging enkel over domeinen en subdomein waar een website opdraait voor burgers!
Alle andere online diensten en hun daarbij behorende (sub)domeinen, worden voor het gemak maar even buiten beschouwing gelaten, dat is namelijk een factor zoveel meer, die niet voldoen aan de standaarden.

Hoe ontstaat dit?
Project managers, zien een domein als uithangbord, voor wat ze hebben gedaan.
Projecten die uitbesteed worden, bij externe bureautjes, hebben vaak ook hun eigen website.
Maar afhankelijk van welke vorm van "subsidie" ze krijgen voor het project. Is de website wel of niet de verantwoording van een Ministerie.
Of men vind het gewoon te lastig, om via de officiele manier een subdomein aan te vragen. Want dan wordt idd "pas-toe-of-leg-uitbeleid" gehanteerd.

Oplossing.
Sinds 2010 hebben we we https://rijksoverheid.nl een project binnen O.N.S. 2.0 om alle overheids websites, onder 1 domein te brengen en de zelfde huisstijl. Wat goed is voor de herkenbaarheid.
Echter is hier niet echt op gehandhaafd.
De oplossing is, dit weer te gaan handhaven.

Oplossing volgens o.a. Forum Standaardisatie.
Er is een onderzoek gedaan, onder de ambtenaren of *.gov.nl of *.overheid zou gebruikt moeten worden als "top" level voor de Nederlandse overheid.
Ik heb een heel sterk vermoeden, dan het *.overheid gaat worden. Daar een groot gedeelte van de ondervraagde ambtenaren, een totaal ander beeld heeft bij gov.nl *zucht*

Maar het probleem zit hem in de handhaving, zolang dat niet gebeurd of verwaterd. Heeft geen enkele oplossing nog nut of zin.

Ps. ik hou mij al sinds 2008 bezig met (R)overheid en domeinnamen en denk dat dit probleem de komende 20 jaar nog niet opgelost is.
ramonfincken @wica19 juli 2024 08:54
.overheid zou impliceren dat België dit niet mag gebruiken?
CPV 18 juli 2024 16:07
Tja, wetten opstellen en ze zelf ook naleven is wel een beetje veel gevraagd.
Ik zie hier regelmatig politieauto's over het fietspad rijden, zonder sirene of zwaailicht, maar alleen omdat het een stuk korter is dan de officiële route.
djiwie @CPV18 juli 2024 17:36
Politie heeft vrijstelling van het RVV dus zij mogen dat. Ook zonder sirenes en zwaailicht.
CPV @djiwie18 juli 2024 19:28
Voor zover ik weet, mogen ze dat alleen als het nodig is.
Ik heb hier sterk de indruk dat ze het doen omdat ze geen zin hebben om om te rijden.
djiwie @CPV18 juli 2024 21:12
Dat kan, maar weet je natuurlijk nooit zeker. Maar je kunt altijd een klacht indienen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq