VIAG THEMADAG State of the art internet beveiliging
Marijke Salters Bureau Forum Standaardisatie 27 juli 2014
Aanleiding
2
Standaardiseren doe je niet alleen!
Dus actueel
3
Logius en open standaarden
Standaarden voor Internet beveiliging
4
Logius en open standaarden
DNSSEC (veilig “telefoonboek” van internet) Koppelt domeinnaam aan ip-adres met handtekening.
Effect: 1. Voorkomt misleiding door DNS 'cache pollution‘ (zoals ‘Dan Kaminsky’-kwetsbaarheid sinds 2008) 2. Biedt fundament voor DANE (extra beveiliging SSL-certs) en DKIM (e-mailauthenticatie) Wie? • Signing: Rijksoverheid.nl, Crisis.nl (>25 overheden), paypal.nl, >25% van alle .nl-domeinen, Rijksregistrar AZ/DPC • Validating: SURFnet, T-mobile, RijksDNS Filmpje
5
Logius en open standaarden
Voorbeeld Gemeenten controleren echtheid internetadres Heerlen, Den Bosch en Woerden hebben DNSSEC Door SIDN in samenwerking met Forum Standaardisatie http://phishingscorecard.com/nl/overheid.php Zorgt voor de beveiliging van domeinnamen. De standaard biedt de gebruiker de mogelijkheid om te controleren of hij wordt ‘doorverbonden’ met het juiste internetnummer. Sinds juni 2012 staat DNSSEC op de ‘pas toe of leg uit’-lijst van Forum en College Standaardisatie en heeft daarmee een ‘verplichte’ status gekregen voor overheden en semi-publieke instellingen. Inmiddels zijn bijna 1,5 miljoen .nl-domeinnamen, waaronder die van meer dan 30 overheden, ondertekend. De gemeenten Heerlen en Den Bosch zijn ook bezig met de andere kant, namelijk de controle op de geldigheid van de DNSSEC-handtekening van opgevraagde domeinnamen. DNSSEC 6
Logius en open standaarden
DKIM (e-mailauthenticatie / anti-phishing) Koppelt e-mail aan domeinnaam met handtekening. Overheid als betrouwbare afzender Effect: 1. Stelt ontvanger in staat om phishing-mails te filteren; 2. Vergroot de zekerheid van aflevering; 3. Geeft inzicht in misbruik van eigen domein (DMARC). Wie? ING, Rabobank, Hyves, Marktplaats, Wehkamp, XS4ALL, Gmail, Yahoo!, Hotmail Belastingdienst, Den Bosch, rijksoverheid.nl en Mijnoverheid.nl 7
Logius en open standaarden
Nieuwe ontwikkelingen: DMARC • • •
8
Adoptie: 80% bescherming in US, 40% bescherming in Nederland Inzicht in phishing aanvallen per domein via XML dagrapportages Kopie van phishing e-mails automatisch realtime in abuse box!
Logius en open standaarden
Rol Forum en College Standaardisatie?
9
Logius en open standaarden
Beveiliging en interoperabiliteit
Bron plaatjes: Presentatie Karel de Smet (Nictiz) d.d. 1 maart 2010
10
Logius en open standaarden
Onderhanden werk:
1. Beveiliging in samenhang: • NEN/ISO 27001/27002 strategisch
• Baselines IB (BIR/BIG/BIWA/IBI) tactisch
• DNSSEC, DKIM, SAML, Digikoppeling, TLS operationeel
2. Folder voor bestuur in relatie tot Clausontwikkeling samen met Taskforce BID
3. Handreiking betrouwbaarheidsniveaus 11
Logius en open standaarden
Logius voorzieningen en beveiligingsstandaarden Logius en ‘pas toe of leg uit’-standaarden: SAML: ondersteund door DigiD, DigiD-machtigen en eHerkenning ISO27001/27002: o eHerkenning onlangs geaudit o Baseline Informatiebeveiliging Rijksdienst (BIR) DNSSEC: o wordt aan gewerkt i.s.m. Rijksregistrar AZ/DPC o implementatie in RijksDNS opgestart DKIM: voor e-mails van DigiD / MijnOverheid
12
Een standaard-oplossing voor DigiNotar?
Mogelijk Internet.nl: Netwerksamenleving • Enorme economische waarde • Meer dan 2,3 miljard internetgebruikers • Internetverkeer in 2011: 27,483 petabyte/maand
Het netwerk dat zijn wij! 13
Standaardiseren doe je niet alleen!
Overheid is onderdeel van het netwerk… Massale gegevensuitwisseling met burgers, bedrijven, overheden
Bron plaatje: http://www.logius.nl/organisatie/jaaroverzicht/jaaroverzicht-2011/
14
Logius en open standaarden
Standaardisatie van koppelvlakken is cruciaal
15
Standaardiseren doe je niet alleen!
Oplossing: open standaarden • Gelijk speelveld
• Interoperabiliteit • Keuzevrijheid en geen uitsluiting
“Concurrentie op de standaard en niet om de standaard.” 16
Standaardiseren doe je niet alleen!
Open standaarden zijn de norm! • Beleid: Digitale Agenda.nl en iNUP
• ‘Pas toe of leg uit’-lijst Status: ‘verplicht’ Nuttig, maar duwtje in rug nodig Sinds medio 2008 Eerste versie: 5 standaarden, nu: 28 standaarden • Lijst met gangbare standaarden Status: ‘aanbevolen’ Reeds breed geaccepteerd
17
Standaardiseren doe je niet alleen!
Voorbeelden van standaarden op PToLU-lijst Financieel • SEPA (betalingsverkeer) • XBRL (financiële rapportage) Beveiliging en netwerk • NEN-ISO/IEC 27001&27002 (Code voor informatiebeveiliging) • DNSSEC (veilig “telefoonboek” van internet) • DKIM (e-mailauthenticatie / anti-phishing) • IPv6 (internetadressen) • SAML (authenticatiegegevens) Stelsel van basisregistraties en Ruimtelijke ordening • StUF (administratieve overheidsgegevens) • Digikoppeling (veilig berichtenverkeer) • Aquo-standaard (watermanagement) • Geo-standaarden (geografische informatie)
18
Standaardiseren doe je niet alleen!
Toetsingsprocedure Lijst
Status: -Verplicht (‘pas toe of leg uit’) -Aanbevolen (gangbaar)
College besluit Forum adviseert Melding
Intake
Eenieder kan verzoek tot opname doen 19
Expertonderzoek
Consultatie
Criteria: - Open standaardisatieproces - Toegevoegde waarde - Draagvlak Logius en open standaarden - Nut van opname
Eenieder kan reageren op resultaat expertonderzoek
‘Pas toe of leg uit’-regime Pas toe: bij aanschaf van ICT-systemen Leg uit: • Alleen als zwaarwegende reden; • Verantwoording via jaarverslag.
Doelgroep: (semi) publieke organisaties Doel: gebruik van open standaarden
20
Standaardiseren doe je niet alleen!
Wat kan ik als opdrachtgever doen? -Resultaatverplichting 20 van I-NUP -Logius voorzieningen -Nu vraag stellen aan ons -Later contact opnemen via
[email protected] -Contact opnemen met NCSC
Wat kan ik als leverancier IT bedrijf doen? -Zo snel mogelijk implementeren, of door uw provider laten implementeren -Nu vraag stellen aan ons -Later contact opnemen via
[email protected] -Contact opnemen met NCSC 21
Logius en open standaarden
EN ja hoor……
22
Logius en open standaarden
