Veel overheidsdomeinen voldoen niet aan afgesproken veiligheidsstandaarden
Veel domeinnamen van de overheid voldoen nog altijd niet aan de afgesproken online veiligheidsstandaarden, waaronder HTTPS en HSTS die wettelijk zijn verplicht. Dat stelt het Forum Standaardisatie op basis van onderzoek onder bijna elfduizend overheidsdomeinen. De organisatie waarschuwt dat de gebrekkige toepassing van de standaarden onnodig risico's met zich meebrengt voor de overheid en gebruikers van overheidsdiensten.
Een onderdeel van de standaarden zijn 'anti-phishing' en 'veilige e-mailtransport' standaarden. Slechts vier op de de tien e-maildomeinnamen voldoet aan deze afgesproken standaarden. Forum Standaardisatie merkt op dat zonder het gebruik van de standaarden e-mail kan worden afgeluisterd via een man-in-the-middle-aanval. Iets wat in 2020 plaatsvond bij de Tsjechische overheid. "Hierbij is op te merken dat dit soort incidenten vermoedelijk vaker voorkomt, maar niet altijd zal worden ontdekt en publiekelijk wordt gemaakt", aldus het Forum.
Voor een aanzienlijk deel is de achterblijvende toepassing van de standaarden te verklaren doordat grote cloudproviders het DANE-protocol nog niet toepassen. Het gaat met name om Microsoft dat inmiddels door meer dan dertig procent van de overheden wordt gebruikt. Vanuit de overheid wordt al een aantal jaar bij Microsoft aangedrongen op implementatie die nu gepland zou staan voor medio dit jaar.
"Om phishingmails uit naam van overheidsorganisaties (inclusief bewindspersonen) te voorkomen, moet voor 18 procent van de internetdomeinen nog een strikt DMARC-beleid worden ingesteld en 32 procent een strikte SPF. Veelal is te zien dat bij subdomeinen van decentrale overheden SPF in geheel niet aanwezig is. Als de SPF voor deze subdomeinen zo wordt ingesteld dat dit subdomein niet mag mailen, vervalt automatisch ook de DKIM controle en zal dit cijfer meestijgen met de SPF implementatie. Het streefbeeld was om dit eind 2019 voor elkaar te hebben", laat het Forum verder weten.
Net als bij de vorige meting concludeert Forum Standaardisatie dat geen van de streefbeeldafspraken voor de overheid als geheel gehaald is. "Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen alle individuele overheidsorganisaties. De op 1 juni 2023 van kracht zijnde Wet digitale overheid die de standaarden HTTPS en HSTS middels een Algemene Maatregel van Bestuur wettelijk verplicht laat nog geen significante verandering in de adoptie van deze standaarden zien."
En dan moeten ze alsnog al die andere domeinen toch beveiligen.
Omhangen van domeinen klinkt technisch simpel, maar is organisatorisch soms een ramp.
Overheden verbieden nieuwe domeinen aan te maken, dat zou wel helpen. Het zijn echt paddenstoelen momenteel.
Sterker nog, sinds gisteren beschikbaar als 'Public Preview', zie:
https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257
Niet wettelijk verplicht. Het zijn afspraken. En het al erg genoeg dat die niet worden nagekomen.
Niet wettelijk verplicht. Het zijn afspraken. En het al erg genoeg dat die niet worden nagekomen.
Bronnen: https://wetten.overheid.nl/jci1.3:c:BWBR0048156&hoofdstuk=2&artikel=3&z=2023-07-01&g=2023-07-01 en https://zoek.officielebekendmakingen.nl/stb-2023-179.html
Er zit veel bagger onder de serverboeren. Gaat enkel maar om contracten verkopen en als ze zelf in gebreke staan, incassos sturen.
Als je dan HSTS gebruikt, dan schiet je jezelf ook nog in je voet als je een dikke vinger opsteekt.
HSTS heeft toch niks te maken met IP adressen?
Nee de overheid heeft een mooi voornemen, en streeft het ook na, binnen hun mogelijkheden. En dat is goed. Een wettelijke verplichting maakt niet uit, ze betalen dan gewoon een boete, dat verandert verder niets aan de zaak. We mogen al blij zijn met het stipje op de horizon. Of ligt het net daarboven? Lastig te zien vanaf die afstand.
HSTS heeft toch niks te maken met IP adressen?
Helemaal niets, alleen met het weigeren om via http te verbinden voor die domeinnaam. HSTS gaat bij een verhuizing alleen mis als de nieuwe server nog geen https gebruikt. Maar dan lijkt het me goed dat je geen verbinding krijgt totdat er een certificaat geïnstalleerd wordt.
Niet wettelijk verplicht. Het zijn afspraken. En het al erg genoeg dat die niet worden nagekomen.
Bronnen: https://wetten.overheid.nl/jci1.3:c:BWBR0048156&hoofdstuk=2&artikel=3&z=2023-07-01&g=2023-07-01 en https://zoek.officielebekendmakingen.nl/stb-2023-179.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
