HTTPS en HSTS vanaf deze zomer verplicht voor websites alle (semi-)overheidsorganisaties
DNSSEC lijkt de volgende wettelijk verplichte standaard te worden
Afgelopen voorjaar heeft de Eerste Kamer de nieuwe 'Wet digitale overheid' (Wdo) aangenomen. Daarmee heeft de overheid nu (eindelijk) de mogelijkheid om de toepassing van moderne internetstandaarden bij (semi-)overheidsinstanties verplicht te stellen. Via het 'Besluit beveiligde verbinding met overheidswebsites en -webapplicaties' geldt deze verplichting vanaf 1 juli voor de webbeveiligingsstandaarden HTTPS en HSTS, en wel volgens de richtlijnen zoals aangegeven door NCSC [1, 2].
Te vrijblijvend
Reden voor deze wettelijke verplichtstelling is dat eerder beleid en gemaakte afspraken uiteindelijk niet tot de volledige adoptie van deze (en andere) beveiligingsstandaarden hebben geleid. HTTPS en HSTS staan al sinds mei 2017 op de 'pas toe of leg uit'-lijst (ptolu) van Forum Standaardisatie, en TLS nog veel langer. Dat betekent dat overheidsorganisaties al jaren min-of-meer verplicht zijn om hun (publieke) websites met HTTPS en HSTS te beveiligen.
In 2018 zijn binnen het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) aanvullende Streefbeeldafspraken voor HTTPS en HSTS gemaakt, wat betekent dat deze 2 standaarden eind 2018 op alle overheidssites toegepast hadden moeten worden.
Kosten verwaarloosbaar
Uit de laatste 'Meting Informatieveiligheidstandaarden overheid begin 2023' van Forum Standaardisatie blijkt echter dat die ambitie zelfs nu nog niet gehaald wordt: begin dit jaar was nog steeds een kwart van alle TLS- en HSTS-configuraties niet op orde.
En dat terwijl de kosten voor het aanzetten – zeker vergeleken met de implementatie van sommige andere verplichte beveiligingsstandaarden – uiterst beperkt zijn. In de Toelichting op het Besluit staat dat Forum Standaardisatie eerder een inschatting heeft gemaakt van de benodigde investeringen. Zij kwamen toen op een bedrag van 0 tot 400 euro per website per jaar, afhankelijk van je huidige infrastructuur, je leverancier en welk type servercertificaat je kiest.
"De verplichting voor HTTPS en HSTS komt voort uit eerder beleid," aldus een woordvoerder van de Directie Digitale Samenleving, Directoraat-generaal Digitalisering en Overheidsorganisatie, van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). "In 2017 werden HTTPS en HSTS al op de 'pas toe of leg uit'-lijst geplaatst en in 2023 wettelijk verplicht. De standaarden dragen eraan bij dat de burger online veilig met de overheid kan communiceren. Ze worden onder andere in de 'pas toe of leg uit'-lijst en streefbeeldafspraken opgenomen, of zoals nu wettelijk verplicht, zodat overheden de standaarden gebruiken."
Nog 10 jaar te gaan
Volgens de laatste Meting Informatieveiligheidstandaarden voldoet 40 procent van de overheidsdomeinnamen nog niet aan de verplichte beveiligingsstandaarden voor websites en e-mail. Forum Standaardisatie schat in dat overheidssites in het huidige groeitempo (dat wil zeggen: zonder aanvullende maatregelen) pas over 10 jaar aan de adoptie-afspraken voldoen. Dat kan natuurlijk niet – zeker niet als je bedenkt dat ondertussen gestaag nieuwe standaarden en best practices worden ontwikkeld.
Meer verplichtingen volgen
In de Toelichting op het Besluit geeft de regering al aan zich regulier te zullen beraden op de vraag voor welke andere standaarden een verplichting nodig is. Daarbij zullen ook de reacties op de consultatieronde worden meegenomen, dus is het goed te weten dat DNSSEC in die reacties het meest genoemd werd. Bovendien had DNSSEC volgens de geldende Streefbeeldafspraken eind 2017 (!) al op alle overheidsdomeinen geïmplementeerd moeten zijn.
"Behalve HTTPS en HSTS zijn uiteraard ook andere veiligheidsstandaarden van belang en voor verschillende standaarden bestaan nu al verplichtingen in de vorm van 'pas toe of leg uit' en 'streefbeeldafspraken'," aldus de woordvoerder van BZK. "Binnen BZK wordt gekeken of en voor welke andere standaarden een wettelijke verplichting passend is."