Overheid voldoet pas in 2030 aan informatieveiligheidstandaarden
Uit de nieuwste meting blijkt dat 4 op de 10 overheidsdomeinnamen nog niet voldoen aan de verplichte informatieveiligheidstandaarden voor websites en e-mail. Zonder aanvullende actie voldoen alle overheidswebsites in het huidige groeitempo pas in 2030 aan de afspraken. Dit is inclusief de recente gerichte aanpak bij de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK). Die laat zien dat snellere adoptie wel degelijk mogelijk is. Forum Standaardisatie roept achterblijvers op deze goede voorbeelden te volgen.
Afspraken in huidig tempo pas in 2030 behaald
Van de gemeten domeinnamen voldeed 56% aan alle verplichte websitestandaarden en 50% aan de e-mailstandaarden. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 is verlopen. Ten opzichte van de vorige meting is de groei in volledige adoptie van deze standaarden over de gehele overheid respectievelijk 3 en 6 procentpunt. In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken.
Gerichte aanpak werkt
De ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken en Klimaat (EZK) laten ten opzichte van de vorige meting een grote stijging in adoptie zien. De gerichte aanpak van deze ministeries, die is gebaseerd op de aanpak van de ministeries van Volksgezondheid, Welzijn en Sport (VWS) en Algemene Zaken (AZ), kan worden gebruikt als voorbeeld van een effectieve aanpak. Bij een aantal lokale overheden is een volledige adoptie inclusief nog niet verplichte standaarden te zien. Dit betreft de gemeenten Aalten, Bergen (L), Bergen op Zoom, Bronckhorst, Doesburg, Doetinchem, Staphorst en Zuidplas.
Het Forum Standaardisatie adviseert aan iedere overheidsorganisatie om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast is het advies van het Forum Standaardisatie aan iedere overheidsorganisatie om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter inkrimping van het domeinnaamportfolio. In december deed de staatssecretaris BZK per brief, via de koepelorganisaties, een oproep aan alle overheden om zo snel mogelijk de informatieveiligheidstandaarden te implementeren. Het gebruik van HTTPS en HSTS voor een beveiligde verbinding met overheidswebsites wordt per 1 juli van dit jaar wettelijk verplicht. Dit is er op gericht dat ook de achterblijvers deze verplichte standaarden implementeren.
Grote achterblijvende leveranciers
Nieuw in deze meting is dat er ook gekeken is naar de leveranciersafhankelijkheid in relatie tot het achterblijven op adoptie. Bij 34% van de mailservers wordt een nameserver van Microsoft Office 365 gebruikt zonder IPv6 ondersteuning. Van de mailservers is 44% niet ondertekend met DNSSEC, de twee grootste mailleveranciers Microsoft Office 365 en Google Mail hebben hierin samen een aandeel van 36 procentpunt. De beweging naar cloudoplossingen van deze leveranciers kan daarom leiden tot een afname in adoptiegraad, aangezien deze cloudoplossingen de verplichte standaarden niet volledig ondersteunen.
Het advies van Forum Standaardisatie is om de ondersteuning van verplichte open standaarden onderdeel te maken van het leveranciersmanagement van individuele overheidsorganisaties. Gebruik daarnaast de collectieve slagkracht van de overheid om grotere leveranciers en techgiganten te bewegen naar adoptie van alle verplichte standaarden, bijvoorbeeld via Strategisch Leveranciersmanagement (SLM) Rijk. In dat kader hebben ministeries van Justitie en Veiligheid (JenV) en Binnenlandse Zaken en Koninkrijksrelaties (BZK) op 22 mei een reactie naar Microsoft gestuurd over de gebrekkige ondersteuning van DANE en IPv6. Deze briefwisseling is geïnitieerd door SLM Rijk en Forum Standaardisatie.