Overheid voldoet pas in 2030 aan informatieveiligheidstandaarden

Overheid voldoet pas in 2030 aan informatieveiligheidstandaarden

Zeker 4 op de 10 overheidsdomeinnamen in 2030 voldoen niet aan de dan verplichte informatieveiligheidstandaarden voor websites en e-mail. Zonder aanvullende actie voldoen alle overheidswebsites in het huidige groeitempo pas in 2030 aan de afspraken. Dit is inclusief de recente gerichte aanpak bij de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK). Dat zegt Forum Standaardisatie in een rapport.

Die laat zien dat snellere adoptie wel degelijk mogelijk is. Forum Standaardisatie roept achterblijvers dan ook op haast te maken. Van de gemeten domeinnamen voldoet momenteel 56% aan alle verplichte websitestandaarden en 50% aan de e-mailstandaarden. Over beide soorten standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 al verliep. Ten opzichte van de vorige meting is de groei in volledige adoptie van deze standaarden over de gehele overheid respectievelijk 3 en 6 procentpunt. Dat is dus onvoldoende.

Gerichte aanpak werkt

De ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK) laten ten opzichte van de vorige meting een grote stijging in adoptie zien. De gerichte aanpak van deze ministeries, gebaseerd op de aanpak van de ministeries van Volksgezondheid, Welzijn en Sport (VWS) en Algemene Zaken (AZ), is bruikbaar als voorbeeld van een effectieve aanpak. Bij een aantal lokale overheden is een volledige adoptie inclusief nog niet verplichte standaarden te zien. Dit betreft de gemeenten Aalten, Bergen (L), Bergen op Zoom, Bronckhorst, Doesburg, Doetinchem, Staphorst en Zuidplas.

Het Forum Standaardisatie adviseert aan iedere overheidsorganisatie om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast is het advies om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter inkrimping van het domeinnaamportfolio.

In december deed de staatssecretaris BZK per brief, via de koepelorganisaties, een oproep aan alle overheden om zo snel mogelijk de informatieveiligheidstandaarden te implementeren. Het gebruik van HTTPS en HSTS voor een beveiligde verbinding met overheidswebsites is vanaf 1 juli van dit jaar wettelijk verplicht.

Grote achterblijvende leveranciers

Nieuw in deze meting is de meting van leveranciersafhankelijkheid in relatie tot het achterblijven op adoptie. Daaruit blijkt dat 34% van de mailservers een nameserver van Microsoft Office 365 gebruikt zonder IPv6 ondersteuning. Van de mailservers is 44% niet ondertekend met DNSSEC. De twee grootste mailleveranciers Microsoft Office 365 en Google Mail hebben hierin samen een aandeel van 36 procentpunt. De beweging naar cloudoplossingen van deze leveranciers kan daarom leiden tot een afname in adoptiegraad, aangezien deze cloudoplossingen de verplichte standaarden niet volledig ondersteunen.

Het advies is dan ook om de ondersteuning van verplichte open standaarden onderdeel te maken van het leveranciersmanagement van individuele overheidsorganisaties. Gebruik daarnaast de collectieve slagkracht van de overheid om grotere leveranciers en techgiganten te bewegen naar adoptie van alle verplichte standaarden, bijvoorbeeld via Strategisch Leveranciersmanagement (SLM) Rijk. In dat kader hebben ministeries van Justitie en Veiligheid (JenV) en Binnenlandse Zaken en Koninkrijksrelaties (BZK) op 22 mei een reactie naar Microsoft gestuurd over de gebrekkige ondersteuning van DANE en IPv6. Deze briefwisseling is geïnitieerd door SLM Rijk en Forum Standaardisatie.

Lees ook: