Alle overheden moeten eind 2019 de e-mailbeveiliging op orde hebben en maatregelen tegen afluisteren en phishing hebben uitgerold. Daar heeft het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op advies van Forum Standaardisatie mee ingestemd.
De nieuwe afspraak volgt op de overheidsbrede streefbeeldafspraak die eind 2017 afliep. Deze laatste afspraak ging over de implementatie van DNSSEC, TLS en DMARC+DKIM+SPF. Maatregelen die gebruikers respectievelijk tegen malafide websites beschermen, van versleutelde verbindingen gebruik laten maken en phishingmails tegengegaan. Inmiddels maakt 80 procent van de overheidsdomeinen hier gebruik van.
Als onderdeel van de nieuwe streefbeeldafspraak moeten alle overheden voor eind 2019 de beveiligingsmaatregelen STARTTLS en DANE hebben geïmplementeerd, alsmede strikte instellingen voor DMARC en SPF hebben doorgevoerd. STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. "Door STARTTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren", aldus Forum Standaardisatie.
Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen. Via DMARC kunnen organisaties voorkomen dat anderen e-mails namens het e-maildomein van de organisatie versturen. DMARC maakt gebruik van SPF. Via het Sender Policy Framework (SPF) kunnen providers controleren of een e-mail ook daadwerkelijk van het opgegeven e-mailadres afkomstig is.
Alle genoemde standaarden staan ook op de 'pas toe of leg uit'-lijst die overheden verplicht om bij aanschaf van nieuwe ict-systemen te kiezen voor deze standaarden. Forum Standaardisatie blijft meten hoe ver overheden met de implementatie van de maatregelen zijn en zal dit aan het OBDO rapporteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.