ICT en Overheid The Next Generation Internet must be Safe

Transcriptie

1 ICT en Overheid The Next Generation Internet must be Safe Marijke Salters Bureau Forum Standaardisatie 24 april 2013

2 Aanleiding 2 Standaardiseren doe je niet alleen!

3 Standaarden voor Internet beveiliging 3

4 DNSSEC (veilig telefoonboek van internet) Koppelt domeinnaam aan ip-adres met handtekening. Effect: 1. Voorkomt misleiding door DNS 'cache pollution (zoals Dan Kaminsky -kwetsbaarheid sinds 2008) 2. Biedt fundament voor DANE (extra beveiliging SSL-certs) en DKIM ( authenticatie) Wie? Signing: Rijksoverheid.nl, Crisis.nl (>25 overheden), paypal.nl, >25% van alle.nl-domeinen, Rijksregistrar AZ/DPC Validating: SURFnet, T-mobile, RijksDNS 4

5 DKIM ( authenticatie / anti-phishing) Koppelt aan domeinnaam met handtekening. Effect: 1. Stelt ontvanger in staat om phishing-mails te filteren; 2. Vergroot de zekerheid van aflevering; 3. Geeft inzicht in misbruik van eigen domein (DMARC). Wie? ING, Rabobank, Hyves, Marktplaats, Wehkamp, XS4ALL, Gmail, Yahoo!, Hotmail 5 Masterclass op 28 maart (met ECP en ISOC)

6 Nieuwe ontwikkelingen: DMARC Als draft in behandeling bij de IETF Adoptie: 80% bescherming in US, 40% bescherming in Nederland Inzicht in phishing aanvallen per domein via XML dagrapportages Kopie van phishing s automatisch realtime in abuse box! 6

7 SAML (authenticatiegegevens) Ondersteund door eherkenning, DigiD, DigiD machtigen en MijnOverheid, wel verschillende profielen. Rol Forum: SAML op pas toe of leg uit -lijst sinds 2009 Forum-advies eherkenning: Harmonisatie SAML-profielen Rol van Forum bij eid-stelsel Relevante ontwikkelingen: Int profielen: Kantara egov SAML profile en SAML2INT Testen: SAML 2.0 Tracer en Debugger (Feide.no) STORK/SAML Interoperability Interest Group SAML en services zoals basisregistraties (Digikoppeling) Kwetsbaarheid: SAML Signature wrapping attack 7

8 Rol Forum en College Standaardisatie? 8

9 Interoperabiliteit omvat ook beveiliging Bron plaatjes: Presentatie Karel de Smet (Nictiz) d.d. 1 maart

10 Logius voorzieningen en beveiligingsstandaarden Logius en pas toe of leg uit -standaarden: SAML: ondersteund door DigiD, DigiD-machtigen en eherkenning ISO27001/27002: o eherkenning onlangs geaudit o Baseline Informatiebeveiliging Rijksdienst (BIR) DNSSEC: o wordt aan gewerkt i.s.m. Rijksregistrar AZ/DPC o onderzoek naar implementatie in RijksDNS opgestart DKIM: voor s van DigiD / MijnOverheid 10 Een standaard-oplossing voor DigiNotar?

11 Waarom spreken wij over the Next Generation Internet: Netwerksamenleving Enorme economische waarde Meer dan 2,3 miljard internetgebruikers Internetverkeer in 2011: 27,483 petabyte/maand Het netwerk dat zijn wij! 11 Standaardiseren doe je niet alleen!

12 Overheid is onderdeel van het netwerk Massale gegevensuitwisseling met burgers, bedrijven, overheden Bron plaatje: 12

13 Standaardisatie van koppelvlakken is cruciaal 13 Standaardiseren doe je niet alleen!

14 Oplossing: open standaarden Gelijk speelveld Interoperabiliteit Keuzevrijheid en geen uitsluiting Concurrentie op de standaard en niet om de standaard. 14 Standaardiseren doe je niet alleen!

15 Open standaarden zijn de norm! Beleid: Digitale Agenda.nl en inup Pas toe of leg uit -lijst Status: verplicht Nuttig, maar duwtje in rug nodig Sinds medio 2008 Eerste versie: 5 standaarden, nu: 28 standaarden Lijst met gangbare standaarden Status: aanbevolen Reeds breed geaccepteerd 15 Standaardiseren doe je niet alleen!

16 Voorbeelden van standaarden op PToLU-lijst Financieel SEPA (betalingsverkeer) XBRL (financiële rapportage) Beveiliging en netwerk NEN-ISO/IEC 27001&27002 (Code voor informatiebeveiliging) DNSSEC (veilig telefoonboek van internet) DKIM ( authenticatie / anti-phishing) IPv6 (internetadressen) SAML (authenticatiegegevens) Stelsel van basisregistraties en Ruimtelijke ordening StUF (administratieve overheidsgegevens) Digikoppeling (veilig berichtenverkeer) Aquo-standaard (watermanagement) Geo-standaarden (geografische informatie) 16 Standaardiseren doe je niet alleen!

17 Toetsingsprocedure Melding Status: -Verplicht ( pas toe of leg uit ) -Aanbevolen (gangbaar) Intake Expertonderzoek Lijst College besluit Forum adviseert Consultatie 17 Eenieder kan verzoek tot opname doen Criteria: - Open standaardisatieproces - Toegevoegde waarde - Draagvlak - Nut van opname Eenieder kan reageren op resultaat expertonderzoek

18 Pas toe of leg uit -regime Pas toe: bij aanschaf van ICT-systemen Leg uit: Alleen als zwaarwegende reden; Verantwoording via jaarverslag. Doelgroep: (semi) publieke organisaties Doel: gebruik van open standaarden 18 Standaardiseren doe je niet alleen!

19 Wat kan ik als opdrachtgever doen? -Resultaatverplichting 20 van I-NUP -Logius voorzieningen -Vandaag vragen stellen aan Martijn Groeneweg (Fishing scorecard) -Vandaag vragen stellen aan ons, Logius desk -Later contact opnemen via -Contact opnement met NCSC - Of bel mij: