ICT en Overheid The Next Generation Internet must be Safe

ICT en Overheid The Next Generation Internet must be Safe

Marijke Salters Bureau Forum Standaardisatie 24 april 2013

Aanleiding

2

Standaardiseren doe je niet alleen!

Standaarden voor Internet beveiliging

3

Logius en open standaarden

DNSSEC (veilig “telefoonboek” van internet) Koppelt domeinnaam aan ip-adres met handtekening.

Effect: 1. Voorkomt misleiding door DNS 'cache pollution‘ (zoals ‘Dan Kaminsky’-kwetsbaarheid sinds 2008) 2. Biedt fundament voor DANE (extra beveiliging SSL-certs) en DKIM (e-mailauthenticatie) Wie? • Signing: Rijksoverheid.nl, Crisis.nl (>25 overheden), paypal.nl, >25% van alle .nl-domeinen, Rijksregistrar AZ/DPC • Validating: SURFnet, T-mobile, RijksDNS

4

Logius en open standaarden

DKIM (e-mailauthenticatie / anti-phishing) Koppelt e-mail aan domeinnaam met handtekening. Effect: 1. Stelt ontvanger in staat om phishing-mails te filteren; 2. Vergroot de zekerheid van aflevering; 3. Geeft inzicht in misbruik van eigen domein (DMARC). Wie? ING, Rabobank, Hyves, Marktplaats, Wehkamp, XS4ALL, Gmail, Yahoo!, Hotmail Masterclass op 28 maart (met ECP en ISOC) 5

Logius en open standaarden

Nieuwe ontwikkelingen: DMARC • • • •

6

Als draft in behandeling bij de IETF Adoptie: 80% bescherming in US, 40% bescherming in Nederland Inzicht in phishing aanvallen per domein via XML dagrapportages Kopie van phishing e-mails automatisch realtime in abuse box!

Logius en open standaarden

SAML (authenticatiegegevens) Ondersteund door eHerkenning, DigiD, DigiD machtigen en MijnOverheid, wel verschillende profielen. Rol Forum: • SAML op ‘pas toe of leg uit’-lijst sinds 2009 • Forum-advies eHerkenning: Harmonisatie SAML-profielen • Rol van Forum bij eID-stelsel Relevante ontwikkelingen: • Int profielen: Kantara eGov SAML profile en SAML2INT • Testen: SAML 2.0 Tracer en Debugger (Feide.no) • STORK/SAML Interoperability Interest Group • SAML en services zoals basisregistraties (Digikoppeling) • Kwetsbaarheid: SAML Signature wrapping attack 7

Logius en open standaarden

Rol Forum en College Standaardisatie?

8

Logius en open standaarden

Interoperabiliteit omvat ook beveiliging

Bron plaatjes: Presentatie Karel de Smet (Nictiz) d.d. 1 maart 2010

9

Logius en open standaarden

Logius voorzieningen en beveiligingsstandaarden Logius en ‘pas toe of leg uit’-standaarden:  SAML: ondersteund door DigiD, DigiD-machtigen en eHerkenning  ISO27001/27002: o eHerkenning onlangs geaudit o Baseline Informatiebeveiliging Rijksdienst (BIR)  DNSSEC: o wordt aan gewerkt i.s.m. Rijksregistrar AZ/DPC o onderzoek naar implementatie in RijksDNS opgestart  DKIM: voor e-mails van DigiD / MijnOverheid

10

Een standaard-oplossing voor DigiNotar?

Waarom spreken wij over the Next Generation Internet: Netwerksamenleving • Enorme economische waarde • Meer dan 2,3 miljard internetgebruikers • Internetverkeer in 2011: 27,483 petabyte/maand

Het netwerk dat zijn wij! 11

Standaardiseren doe je niet alleen!

Overheid is onderdeel van het netwerk… Massale gegevensuitwisseling met burgers, bedrijven, overheden

Bron plaatje: http://www.logius.nl/organisatie/jaaroverzicht/jaaroverzicht-2011/

12

Logius en open standaarden

Standaardisatie van koppelvlakken is cruciaal

13

Standaardiseren doe je niet alleen!

Oplossing: open standaarden • Gelijk speelveld

• Interoperabiliteit • Keuzevrijheid en geen uitsluiting

“Concurrentie op de standaard en niet om de standaard.” 14

Standaardiseren doe je niet alleen!

Open standaarden zijn de norm! • Beleid: Digitale Agenda.nl en iNUP

• ‘Pas toe of leg uit’-lijst Status: ‘verplicht’ Nuttig, maar duwtje in rug nodig Sinds medio 2008 Eerste versie: 5 standaarden, nu: 28 standaarden • Lijst met gangbare standaarden Status: ‘aanbevolen’ Reeds breed geaccepteerd

15

Standaardiseren doe je niet alleen!

Voorbeelden van standaarden op PToLU-lijst Financieel • SEPA (betalingsverkeer) • XBRL (financiële rapportage) Beveiliging en netwerk • NEN-ISO/IEC 27001&27002 (Code voor informatiebeveiliging) • DNSSEC (veilig “telefoonboek” van internet) • DKIM (e-mailauthenticatie / anti-phishing) • IPv6 (internetadressen) • SAML (authenticatiegegevens) Stelsel van basisregistraties en Ruimtelijke ordening • StUF (administratieve overheidsgegevens) • Digikoppeling (veilig berichtenverkeer) • Aquo-standaard (watermanagement) • Geo-standaarden (geografische informatie)

16

Standaardiseren doe je niet alleen!

Toetsingsprocedure Lijst

Status: -Verplicht (‘pas toe of leg uit’) -Aanbevolen (gangbaar)

College besluit Forum adviseert Melding

Intake

Eenieder kan verzoek tot opname doen 17

Expertonderzoek

Consultatie

Criteria: - Open standaardisatieproces - Toegevoegde waarde - Draagvlak Logius en open standaarden - Nut van opname

Eenieder kan reageren op resultaat expertonderzoek

‘Pas toe of leg uit’-regime  Pas toe: bij aanschaf van ICT-systemen  Leg uit: • Alleen als zwaarwegende reden; • Verantwoording via jaarverslag.

 Doelgroep: (semi) publieke organisaties  Doel: gebruik van open standaarden

18

Standaardiseren doe je niet alleen!

Wat kan ik als opdrachtgever doen? -Resultaatverplichting 20 van I-NUP -Logius voorzieningen -Vandaag vragen stellen aan Martijn Groeneweg (Fishing scorecard) -Vandaag vragen stellen aan ons, Logius desk -Later contact opnemen via [email protected] -Contact opnement met NCSC - Of bel mij: 0655713611

19

Logius en open standaarden