Pas in 2030 voldoen alle overheidssites aan verplichte securitystandaarden
Vier op de tien overheidsdomeinen voldoen nog altijd niet aan de verplichte informatieveiligheidsstandaarden voor website en e mail. Dat stelt Forum Standaardisatie op basis van een meting in januari dit jaar. Daarmee is het aantal domeinen dat wel voldoet nauwelijks gegroeid, ondanks Kamervragen, kritiek van experts en een oproep van staatssecretaris Van Huffelen van Digitalisering een half jaar terug. Wordt het huidige tempo aangehouden, dan voldoen pas in 2030 alle overheidsdomeinen aan de standaarden.
Overheidsdomeinen moeten al sinds 2021 voldoen aan een set standaarden voor informatiebeveiliging voor e-mail en websites. Volgens deze zogeheten adoptieafspraken moet bijvoorbeeld bij alle overheidswebsites waar burgers of bedrijven gegevens in moeten vullen TLS in de vorm van HTTPS toegepast zijn. Domeinnamen waarmee overheidsorganisaties communiceren met burgers of bedrijven moeten verder DNSSEC gebruiken en e-mailspoofing moet bestreden worden door SPF, DKIM en DMARC toe te passen op alle domeinnamen, ook als ze geen gebruikmaken van e-mail.
Uit halfjaarlijkse metingen van Forum Standaardisatie blijkt al langer dat lang niet alle overheidsdomeinen daaraan voldoen. En dat vormt risico s, zeiden experts afgelopen november tegenover AG Connect. Het probleem in dit geval is ook dat alle ministeries uiteindelijk deel uitmaken van een orgaan: De overheid. Dus als 1 onderdeel slecht beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd, vertelde directeur Dave Maasland van ESET Nederland destijds bijvoorbeeld.
Experts gaven bovendien aan dat het toepassen van dergelijke standaarden geen rocketscience is. Dit is echt het minimale wat je moet doen, aldus techonderzoeker Joran van Apeldoorn van Bits of Freedom. Ook politici waren kritisch en er volgden Kamervragen aan staatssecretaris Van Huffelen. In reactie op vragen van AG Connect en de vragen in de Tweede Kamer gaf zij aan meer aandacht te gaan vragen voor de implementatie van die standaarden. In december volgde een brief, waarin ze alle overheden opriep de standaarden zo snel mogelijk te implementeren. Per 1 juli wordt het gebruik van HTTPS en HSTS bij overheidswebsites bovendien wettelijk verplicht.
Verder lezen bij de bron- Voorwaarden burgers en zorgverleners bij delen gegevens - 14 mei 2024
- Tot 10 miljoen boete voor onaangepaste cyberbeveiliging - 14 mei 2024
- Hoe AI de SOC expert te hulp schiet - 13 mei 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Voorwaarden burgers en zorgverleners bij delen gegevens | Verder lezen | |
Tot 10 miljoen boete voor onaangepaste cyberbeveiliging | Verder lezen | |
Hoe AI de SOC expert te hulp schiet | Verder lezen | |
Kinderporno opsporen met detectiesoftware op mobiel: experts tegen EU wetsvoorstel | Verder lezen | |
Zoom scherpt privacybeleid voor Europese gebruikers verder aan als resultaat van samenwerking met SURF | Verder lezen | |
Applicatiebeveiliging in Nederland schiet flink tekort | Verder lezen | |
Nederlandse cyberexperts waarschuwen voor aanval gijzelsoftware | Verder lezen | |
Betaaldienst Klarna moet toch hogere boete betalen voor overtreden AVG | Verder lezen | |
Avast krijgt Tsjechische AVG boete van 14 miljoen voor doorverkopen van data | Verder lezen | |
Dit zijn geleerde lessen uit XZ kwetsbaarheid | Verder lezen |