Halfjaarlijkse meting Informatieveiligheidsstandaarden BFS Begin 2017

Vergelijkbare documenten
Halfjaarlijkse meting Informatieveiligheidstandaarden Forum Standaardisatie. = Begin 2018 =

Bijlage FS B1: NB-domeinen zonder gemeenten Bijlage FS B2: gemeentedomeinen

Gevraagd besluit Aan het Forum wordt gevraagd om in te stemmen met het advies om aan het OBDO de volgende punten voor te leggen:

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Overheidsbreed Beleidsoverleg Digitaal Overheid

FS FORUM STANDAARDISATIE 19 oktober 2016 Agendapunt 4. Open standaarden, adoptie Stuknummer 4. Oplegnotitie adoptie

Rapportage DMARC/SPF/DKIM impactanalyse t.b.v. Forum Standaardisatie

Intentieverklaring Veilige Coalitie

FS FORUM STANDAARDISATIE 15 maart 2016 Agendapunt 6. Open standaarden, adoptie Stuknummer 6. Oplegnotitie adoptie

FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2: Open standaarden, lijsten Stuk 2A: Advies opname DMARC en SPF op de pas toe of leg uit -lijst

Impactanalyse DMARC/DKIM/SPF. In opdracht van Forum Standaardisatie

Geadviseerd wordt om STARTTLS en DANE in combinatie op te nemen op de lijst met open standaarden met de status pas toe of leg uit.

FORUM STANDAARDISATIE 20 april 2016 Agendapunt 2E. Forum-advies STARTTLS en DANE Stuknummer 2E Forum-advies STARTTLS en DANE

FORUM STANDAARDISATIE 11 oktober 2017

Opname TLS 1.2 op de lijst voor pas toe of leg uit. Stuurgroep Standaardisatie Datum: 2 april 2014 Versie 1.0

FS FORUM STANDAARDISATIE 16 december 2014 Agendapunt 6. Open standaarden, adoptie Stuk 6. Oplegnotitie

b. Input voor voornoemde - nog op te stellen - oplegger, met duiding en maatregelen 1.

FS A. Forum Standaardisatie. Adoptieadvies DNSSEC

Expertadvies functioneel toepassingsgebieden internet veiligheidstandaarden

authenticatie

Monitor Open standaardenbeleid - rapportage 2016

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

VIAG THEMADAG State of the art internet beveiliging

Aanbiedingsformulier Overheidsbreed Beleidsoverleg Digitaal Overheid

FS B. FORUM STANDAARDISATIE 13 december Agendapunt 4. Open standaarden, adoptie Stuknummer 4B: Notitie monitor 2017, duiding en acties

A. Expertadvies adoptie-evaluatie SAML B. Notitie van eid over verwerking adviespunten C. Opzet monitor open standaarden-beleid 2014

FS A. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5A. Intake-advies DMARC.

Duiding en acties Monitor Open standaarden 2017

FORUM STANDAARDISATIE

Stuurgroep open standaarden Datum: 22 augustus 2013 Versie 1.0 Update status van opvolging College-adviezen per standaard

ICT en Overheid The Next Generation Internet must be Safe

14. FS FORUM STANDAARDISATIE 28 oktober 2014 Agendapunt 05. Open standaarden, adoptie Stuk 05. Oplegnotitie. Bijlagen:

Monitor Open standaarden: rapportage 2018

Opname WPA2-Enterprise op de lijst voor pas toe of leg uit

Forum Standaardisatie. Expertadvies DMARC. Datum 12 februari 2015

Meting informatieveiligheidstandaarden maart Datum 24 april 2019 Status Versie 1.01

Toets ideaaltypische syntactische structuur

FS D VERDUIDELIJKING FUNCTIONEEL TOEPASSINGSGEBIEDEN. Eindrapport

Stuurgroep open standaarden

Halfjaarlijkse meting Informatieveiligheidsstandaarden Forum Standaardisatie. = September 2018 =

Adoptie-aanpak. 6 april 2012 FS A

FS FORUM STANDAARDISATIE 25 februari 2015 Agendapunt 3:Adoptie open standaarden Stuknummer 3: Oplegnotitie adoptie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Registrar Scorecard H2 2018

Forum Standaardisatie via Regieraad Interconnectiviteit. B. Meting informatieveiligheid standaarden begin 2017

FS A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces

Rapport ICTU met detail-informatie per open standaard

FORUM STANDAARDISATIE 11 oktober 2017

Wie verstuurt er namens jouw domein ?

FS FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

Monitor Open standaardenbeleid: rapportage 2017

Security, standaarden en architectuur

Duiding en maatregelen Monitor Open standaarden 2018

MAILPLUS & DMARC. Wat is DMARC en hoe stel ik het in voor MailPlus?

FS FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 3:Adoptie open standaarden Stuknummer 3: Oplegnotitie adoptie

Beveilig verbindingen van mailservers

Agenda. Over de gevaren van phishing en de urgentie van e- mailbeveiliging

Agendapunt: 8B Betreft: Keuze verkenningen Forum Standaardisatie Datum: 28 november 2017 Versie 1.0

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Stuurgroep Standaardisatie Datum: 13 mei 2016 Versie 1.0

Monitor Open standaarden: rapportage 2017

Bescherm domeinnamen tegen phishing

Conceptversie standaard sjabloon voor adoptieaanpak per open standaard

FS FORUM STANDAARDISATIE 11 oktober Agendapunt 3. Open standaarden, lijsten. Stuurgroep open standaarden

FS FORUM STANDAARDISATIE 08 maart Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

Wijziging versiebeheer van Digikoppeling op de pas toe of leg uit lijst

Hoffmann Cyber Security Onderzoek. Nederlandse organisaties kwetsbaar voor phishing aanvallen

Nationaal Beraad via Regieraad Interconnectiviteit

Wijziging versiebeheer van Digikoppeling (stelselstandaard voor betrouwbaar berichtenverkeer) op de pas toe of leg uit lijst

FORUM STANDAARDISATIE woensdag 10 oktober 2018

Moderne standaarden Veiliger

CIP/Ruud de Bruijn 28 mei 2014

Rapportage e half jaar Swietelsky Rail Benelux B.V.

Opname S/MIME 3.2 (standaard voor aanvullende beveiliging van ) op de lijst met open standaarden

8. Status aanvullend expertonderzoek CMIS (contentmanagement systeem standaard)

Opname DKIM op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Opname HTTPS & HSTS als verplichte standaard op de lijst met open standaarden

Waarom komt mijn niet aan?

Zorgbrede aanpak voor veiliger mailen

Stuurgroep open standaarden Datum: 22 augustus 2012 Versie 1.0

Verslag update monitoringsgegevens Bestrijdingsmiddelenatlas 2016

PIANOo-congres 2017 Vragen om open standaarden bij inkopen Wob Rombouts (Inkoop3.0)

Forum Standaardisatie. Expertadvies functioneel toepassingsgebieden internet- en beveiligingsstandaarden

Ludwig Oberendorff Datum: 6 juni 2014 Versie 1.0 Betreft: Verslag doeltreffendheid en effecten College en

Forum Standaardisatie. Samenvatting expertadvies DANE. Datum 12 februari 2014

Aanmelding TLS 1.3 voor de pas toe of leg uit -lijst

Opname COINS-standaard (uitwisselingsformaat voor bouwinformatie) op de lijst met open standaarden

FS FORUM STANDAARDISATIE 8 juni 2016 Agendapunt 3. Open standaarden, lijsten Stuknummer 3. Oplegnotitie lijsten. Van: Aan: Bijlagen:

Bureau Forum Standaardisatie Datum: Versie 1.0 Overzicht reacties openbare consultatieronde DMARC

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 25 april 2019

notitie FORUM STANDAARDISATIE 12 juni 2019 Agendapunt 2A Voorgangsrapportage T1 (januari-april) 1019 Ter kennisname

Opname DNSSEC op de lijst voor pas toe of leg uit. Datum: 10 april 2012 Versie 1.0

FORUM STANDAARDISATIE FS

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Officiële uitgave van het Koninkrijk der Nederlanden sinds De Minister van Economische Zaken, Landbouw en Innovatie,

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Het Almeerse basisonderwijs

Norm ICT-beveiligingsassessments DigiD

Transcriptie:

FS 170419.3B Halfjaarlijkse meting Informatieveiligheidsstandaarden BFS Begin 2017 Achtergrond Sinds 2015 biedt het Platform Internet Standaarden 1 de mogelijkheid om via de website internet.nl domeinen te toetsen op het gebruik van internet- en beveiligingsstandaarden die op de pas toe of leg uit -lijst van Forum Standaardisatie staan. In datzelfde jaar is Forum Standaardisatie gestart met een halfjaarlijkse meting van overheidsdomeinen op het voldoen aan deze standaarden. Die metingen hebben ertoe geleid dat het Nationaal Beraad in februari 2016 de ambitie uitsprak deze standaarden versneld te willen adopteren. 2 Dit betekent concreet dat voor deze standaarden niet het tempo van pas-toe-of-leg-uit wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren), maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn 3. Voorliggende notitie bevat de resultaten van de meest recente meting van begin 2107 Om welke standaarden gaat het Het Nationaal Beraad heeft bovengenoemde afspraken gemaakt met betrekking tot de volgende standaarden 4 : DNSSEC: Domeinnaambeveiliging TLS 5 : Beveiligde verbinding DKIM: Anti-Phishing SPF: Anti-Phishing DMARC 6 : Anti-Phishing (rapportages) Om welke domeinen gaat het In totaal zijn in deze meting 548 domeinen getoetst, bestaande uit: Domeinen die horen bij de deelnemers van het Nationaal Beraad De domeinen die horen bij voorzieningen van de Generieke Digitale Infrastructuur. De 25 best bezochte domeinen van Rijksoverheden (en uitvoerders) De domeinen van de andere partijen die direct of indirect vertegenwoordigd zijn in het Nationaal Beraad, zoals: o uitvoerders (de Manifestpartijen) o gemeenten o provincies en waterschappen o partijen die behorend tot Klein LEF Bij de eerdere metingen werd bij de presentatie alleen het onderscheid tussen gemeenten en nietgemeenten gemaakt. Bij deze meting wordt eerst het totaal gepresenteerd en vervolgens de scores van de volgende overheden: Rijk, uitvoerders, provincies, waterschappen en gemeenten. Hoe wordt gemeten De meting geeft de stand van zaken weer op de peildatum in januari (gemeenten) en februari(overige domeinen) 2017. De meting laat zien of een domein de gemeten standaarden ondersteunt. De meting 1 Platform Internet Standaarden is een gezamenlijk initiatief van Forum Standaardisatie, het Ministerie van Economische zaken en het Nederlandse internet gemeenschap. Zie https://internet.nl/about/ 2 http://www.binnenlandsbestuur.nl/digitaal/nieuws/nationaal-beraad-wil-sneller-moderne-e.9540822.lynkx 3 Onderdeel van deze afspraak is dat Forum Standaardisatie de voortgang van de adoptie meet en inzichtelijk maakt. Om die reden is de halfjaarlijkse meting vanaf dit jaar onderdeel van de Monitor Open standaarden beleid. 4 Zie: https://www.forumstandaardisatie.nl/lijst-open-standaarden/in_lijst/verplicht-pas-toe-leg-uit 5 Voor TLS geldt dat het Nationaal Beraad de ambitie uitsprak deze tenminste voor die domeinen toe te passen waar burgers en bedrijven mogelijk privacy -gevoelige gegevens invoeren (een zogenaamde transactiesite). Overheden worden opgeroepen om dergelijke domeinen, die nog niet getoetst worden, bij Forum Standaardisatie te melden, zodat deze onderdeel kunnen worden van de halfjaarlijkse toetsing. 6 DMARC is positief getoetst maar nog niet opgenomen op de pas-toe-of-leg-uit lijst. DMARC hangt echter dermate sterk samen met de toepassing van DKIM en SPF, dat het Nationaal Beraad besloot DMARC alvast onderdeel te maken van de versnelde adoptie set. 1

geeft geen inzicht in het risiconiveau van een bepaald domein. Zo is het aannemelijk dat de aantrekkelijkheid van misbruik hoger is bij domeinen van grote uitvoerders (zoals phishing met aanmaningen) dan bij domeinen van kleine gemeenten. Ten aanzien van de meting van specifieke standaarden merken wij het volgende op: Wij maken een onderscheid tussen TLS en TLS conform NCSC In het eerste geval wordt gebruik gemaakt van TLS en in het tweede geval is TLS bovendien zodanig geconfigureerd dat deze voldoet aan de aanbevelingen van het Nationaal Cyber Security Center (NCSC) 7. Wij maten het gebruik van TLS op alle (website)domeinen omdat wij onvoldoende informatie hebben over individuele domeinen om te weten of er op een website vertrouwelijke gegevens worden uitgewisseld. Bij gemeenten meten wij het gebruik van TLS alleen op het hoofddomein, omdat wij geen inzicht hebben in de overige domeinen die een gemeente voor verschillende doeleinden gebruikt. Wij roepen u daarom op om ons te wijzen op aanvullende transactiedomeinen die aanvullend gemeten zouden moeten worden. Wij meten het gebruik van e-mailbeveiligingsstandaarden (met name SPF) ook op domeinen waarvan een organisatie geen e-mail verstuurt. Dit is relevant omdat ook die domeinen worden misbruikt (burgers weten vaak niet dat ze niet (meer) worden gebruikt), en juist domeinen waarvandaan niet gemaild wordt, makkelijk kunnen worden geblokkeerd met SPF. TLS: Als een domein bereikbaar is via ipv6 dan wordt de toepassing van TLS getoetst via IPv4 én IPv6. De slechtste configuratie bepaald de eindscore. De gemeten 548 domeinen zijn bij lange na niet alle domeinen waar het Nationaal Beraad direct en indirect voor verantwoordelijk is. Een 10 score op deze domeinen garandeert geenszins dat hiermee alle overheidsdomeinen beschermt zijn tegen bijvoorbeeld phising. In bijlage 1 worden alle individuele scores op de vijf genoemde standaarden weergegeven. Bij deze rapportage wordt de score van de webstandaarden DNSSEC en TLS weergegeven zoals getoetst op het www. Domein De mailstandaarden zijn getoetst op hetzelfde domein zonder www.. (PM volgt nog, momenteel vindt toetsing van de conceptresultaten plaats bij o.a. gemeenten) 7 Zie https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.html 2

Resultaten Gemiddelde adoptiegraad begin 2017 63% 37% Niet geadoptieerd Geadopteerd Gemiddelde adoptiegraad medio 2015 Gemiddelde adoptiegraad eind 2015 Gemiddelde adoptiegraad medio 2016 34,8 % 65,2 % 42,2 57,8 49,4 50,6 Totaalscore per standaard 10 9 8 7 6 61% 87% 8 54% 53% 54% 68% 5 44% 44% 4 3 2 1 17% 7% 26% 28% 32% 21% 14% 25% 19% DNSSEC TLS TLS conform NCSC DKIM SPF DMARC Figuur 1. Adoptiegraad van de standaarden over alle getoetste domeinen. 3

- De Toepassing van alle standaarden is het afgelopen half jaar gegroeid. - De groei is met name bij TLS beperkt, maar tegelijk is de adoptiegraad van TLS het hoogst van alle standaarden (87%) - Het aantal keer dat TLS conform de richtlijnen van het NCSC wordt toegepast is het afgelopen halve jaar flink toegenomen, maar heeft tegelijk nog een aardige weg te gaan. - De toepassing van DMARC blijft achter bij de overige standaarden, al is de groei over het afgelopen halfjaar aangetrokken t.o.v. het jaar daarvoor. Hoe scoren de verschillende domeinen? Zoals gezegd wordt er in deze rapportage voor het eerst een onderscheid gemaakt tussen de overheden: Rijk, uitvoerders, provincies, waterschappen en gemeenten. De verschillende overheidslagen hebben begin 2017 allemaal een andere gemiddelde adoptiegraad. Bovendien verschilt de gemiddelde groei t.o.v. de Medio 2016 meting flink. Gemiddelde adoptiegraad Begin 2017 Gemeenten 65% Waterschappen 49% Provincies 53% Uitvoerders 56% Rijk 6 1 2 3 4 5 6 7 8 9 10 Figuur 2. De gemiddelde adoptiegraad van alle vijf de standaarden per overheidslagen. - Begin 2017 is de gemiddelde adoptiegraad bij gemeenten het hoogst. - Het Rijk (begin 2016 nog koploper) is een goede tweede. - De waterschappen scoren gemiddeld het slechtst. 4

Groei sinds Medio 2016 Gemiddelde groei over het afgelopen half jaar Gemeenten 18% Waterschappen 11% Provincies 8% Uitvoerders 1 Rijk 5% 2% 4% 6% 8% 1 12% 14% 16% 18% 2 Figuur 3: De groei van de gemiddelde adoptiegraad over de afgelopen 6 maanden - Gemeenten hebben begin 2017 niet alleen de hoogste gemiddelde adoptie. Het verschil t.o.v. de Medio 2016 meting is ook het grootst. Dit komt mogelijk door de aandacht die VNG/KING en IBD gemeenten in de tweede helft van vorig jaar aan deze standaarden gegeven hebben. - Waar de gemiddelde adoptiegraad van het Rijk op 6 ligt en daarmee alleen de gemeenten voor moet laten gaan, is de groei van de gemiddelde adoptie bij het Rijk het afgelopen half jaar wederom vertraagd. - Gezien de gemiddelde adoptiegraad van de overheden begin 2017 en waargenomen groei over de laatste zes maanden, is een flinke versnelling nodig om eind 2017 het streefbeeld te kunnen halen dat het Nationaal Beraad zichzelf als ambitie heeft gesteld. 5

Verwachting voor eind 2017 Net als bij voorgaande rapportages hebben we de groei over de afgelopen periode genomen en deze geëxtrapoleerd naar eind 2017. Extrapolatie gemiddelde groei naar eind 2017 10 10 9 8 76% 7 71% 65% 6 56% 5 49% 4 3 2 1 Begin 2017 Eind 2017 Rijk Uitvoerders Provincies Waterschappen Gemeenten Figuur 4: Extrapolatie gemiddelde groei verschillende overheden. - Als de groei over het afgelopen halfjaar wordt doorgezet in 2017, hebben alleen de gemeenten gemiddeld genomen kans om aan het streefbeeld van het Nationaal Beraad te voldoen eind 2017. - Voor de overige overheidslagen geldt dat deze gemiddeld blijven steken tussen de 7 (Rijk) en 76% (Uitvoerders) gemiddelde adoptiegraad. - Bij gelijkblijvende groei wordt het Rijk in 2017 aan alle kanten ingehaald door de overige overheidslagen. Adoptie van IV standaarden per overheidslaag Over de extrapolatie Onderstaande grafieken laten zien hoe het gebruik van de verschillende standaarden naar verwachting zal toenemen in 2017 als de groei die we maten over het laatste halve jaar doorzet. Deze groei verschilt flink per overheidsdomein en wordt daarom afzonderlijk voor het Rijk, uitvoerders, provincies, gemeenten en waterschappen weergegeven. Bij iedere extrapolatie worden de belangrijkste bevindingen vermeld. 6

Rijk 10 9 8 7 6 5 4 3 2 1 DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 10 9 8 7 6 5 4 3 2 1 85% 75% 68% 61% 59% Rijk DNSSEC TLS TLS conform NCSC DKIM SPF DMARC Medio 2016 Begin 2017 Medio 2017 Eind 2017 - Geen van de standaarden staat eind 2017 op 10 - De groei is heel beperkt - De groei is over alle standaarden ongeveer gelijk (TLS doet het iets beter) 7

Uitvoerders 10 9 8 7 6 5 4 3 2 1 DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 10 9 96% 9 Uitvoerders 8 7 6 5 4 3 2 1 52% 46% 33% DNSSEC TLS TLS conform NCSC DKIM SPF DMARC Medio 2016 Begin 2017 Medio 2017 Eind 2017 - Het gebruik van TLS is momenteel al heel groot en haalt, bij gelijke groei, al voor het midden van 2017 de 10 - De groei tussen de verschillende standaarden verschilt flink - De mailstandaarden blijven achter t.o.v. de webstandaarden - Begin 2017 gebruikten minder domeinen DKIM dan in medio 2016 (scheelt één domein). Hier is geen duidelijke verklaring voor en betreft waarschijnlijk een tijdelijke teruggang. Het zorgt echter wel voor een negatieve extrapolatie. 8

Provincies 10 9 8 7 6 5 4 3 2 1 DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 10 9 8 7 6 5 4 3 2 1 83% 77% 71% 41% Provincies DNSSEC TLS TLS conform NCSC DKIM SPF DMARC Medio 2016 Begin 2017 Medio 2017 Eind 2017 - Geen van de standaarden staat eind 2017 op 10 - De uitgangspositie van de verschillende standaarden verschilt flink. - Het gebruik van DKIM is niet toegenomen en zal daarom bij deze extrapolatie ook niet toenemen. 9

Waterschappen 10 9 8 7 6 5 4 3 2 1 DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 10 9 8 7 6 5 4 3 2 Waterschappen 74% DNSSEC 63% TLS 56% 51% TLS conform NCSC DKIM SPF DMARC 1 Medio 2016 Begin 2017 Medio 2017 Eind 2017 - Het gebuik van TLS zal, bij gelijke groei, naar verwachting voor eind 2017 op 10 zitten - Bovendien zal het aantal domeinen dat TLS veilig continueert volgens de aanbevelingen van het NCSC ook voor eind 2017 de 10 bereiken. - Het verschil in de uitgangspositie van de verschillende standaarden is bij de waterschappen het grootst. 10

Gemeenten 10 9 8 7 6 5 4 3 2 1 DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 10 9 8 7 6 5 4 3 91% Gemeenten DNSSEC TLS TLS conform NCSC DKIM SPF DMARC 2 1 Medio 2016 Begin 2017 Medio 2017 Eind 2017 - Als gemeenten dezelfde groei doorzetten die zij het afgelopen half jaar hadden, dan zullen bijna alle standaarden eind 2017 volledig gebuikt worden. - Voor de webstandaarden geldt ene verwachting van 10 - Voor de mailstandaarden geldt dat alleen DMARC naar verwachting iets achter blijft, maar met een verwachte adoptie van 91% is dat nog altijd ruim meer dan bij de andere overheden. 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback