Rijksinspectie Digitale Infrastructuur trapt internetstrategie af met BGP/RPKI en IPv6
Adoptie, standaardisatie en certificering open internetstandaarden
De Rijksinspectie Digitale Infrastructuur (RDI) werd in 2023 lid van het Platform Internetstandaarden, meest bekend van de Internet.nl-testportaal. Daarmee zoekt de toezichthouder aansluiting bij de andere Nederlandse stakeholders die de toepassing van open (geharmoniseerde) internetstandaarden bevorderen.
"Als technisch toezichthouder willen we ook meer betrokken zijn bij de standaardisatie en certificering ten behoeve van interoperabiliteit. Voor radio en apparaten doen we dat al heel lang. Het is cruciaal dat we samen met andere stakeholders eenzelfde positie opbouwen voor digitale standaarden in de Nederlandse markt."
Sterk gegroeid takenpakket
"Het takenpakket van de RDI is de afgelopen jaren erg veranderd," vertelt Jasper Nagtegaal, directeur Digitale Weerbaarheid. Die nieuwe rol komt tot uitdrukking in de nieuwe organisatiestructuur en de nieuwe naam van de RDI, tot vorig jaar bekend als het Agentschap Telecom. "Wij waren altijd vooral gericht op het beheer en gebruik van het radiospectrum. Dat gaat bijvoorbeeld om de veiling en gunning van frequenties – het radiospectrum is een schaars goed – en de controle op interferentie (verstoringen) door elektrische apparatuur. Ook het toezicht op de Wet informatie-uitwisseling boven- en ondergrondse netwerken (WIBON, voorheen WION) ligt traditioneel bij ons."
"De afgelopen jaren is daar enorm veel bijgekomen: van telecom en MNO's (Odido, Vodafone en KPN) tot digitale radio. Daarnaast zijn we verantwoordelijk voor het toezicht op Europese regelgeving, waaronder eIDAS en NIS(2) [Wbni], net als de nieuwe Cyber Resilience Act en AI Act. Ook het 'Digital Europe'-programma raakt ons."
3 geneste hoofdthema's
Dat uitgebreide portfolio aan toezichtstaken heeft de RDI nu ondergebracht in 3 geneste hoofdthema's:
beschikbaarheid: de storingsvrije werking van fysieke infrastructuren
weerbaarheid: de continuïteit en beschikbaarheid van netwerken
vertrouwen: de veiligheid en betrouwbaarheid van diensten
Waarbij Nagtegaal dus verantwoordelijk is voor de themadirectie Weerbaarheid.
Voor de details van alle taken en werkzaamheden van de RDI verwijzen we je graag naar hun laatste Jaarbericht.
Aansluiting andere Nederlandse stakeholders
Gevraagd naar de activiteiten van de RDI specifiek gericht op de ontwikkeling en promotie van moderne internetstandaarden, geeft Nagtegaal aan om te beginnen aansluiting te hebben gezocht bij de andere Nederlandse stakeholders. De toetreding tot het Platform Internetstandaarden is daar onderdeel van. Maar de RDI neemt ook deel aan de Anti-DDOS coalitie en de bijeenkomsten van de Netherlands Network Operator Group (NLNOG).
"Op dit moment leren we de mensen en thema's bij het Platform Internetstandaarden kennen," zegt Isabel van der Ley, teamleider Weerbaarheid bij de RDI. "Zo leren we waar voor ons kansen liggen om vanuit onze opdracht een bijdrage te leveren."
"We zijn nieuwkomers in dit gezelschap, dus we beginnen vooral met luisteren," aldus Nagtegaal. "Zo krijgen we begrip van de betrokken partijen en de belangrijkste vraagstukken. Dat helpt ons om de juiste keuzen te maken in onze aanpak. Vervolgens gaan we kijken of we op bepaalde thema's een bijdrage kunnen leveren in kennis en sturing."
BGP/RPKI en IPv6
Voor wat betreft de internetstandaarden hebben op het moment met name BGP/RPKI en IPv6 de aandacht. Zo publiceerde de RDI eerder een overzicht van de best practices voor BGP/RPKI. De RDI doet dit in overleg met onder andere het ministerie van Economische Zaken en Klimaat (waaronder zij resideren), RIPE NCC (de RIR voor groot-Europa) en 2STIC (een Nederlands samenwerkingsverband voor onderzoek naar toekomstige internetnetwerken waarin SIDN Labs ook deelneemt).
Daarnaast verzorgde de RDI afgelopen zomer samen met de Dutch Cloud Community (DDC, de Nederlandse internetdienstverleners) een informatiesessie rondom het thema DDoS resiliency.
Alle standaarden zijn Nagtegaal even lief. "Maar we moeten wel keuzes maken. Vervolgens komen we met een plan en kijken we of dat werkt."
"We hebben ervoor gekozen om onze aandacht nu eerst op een paar specifieke standaarden te richten," vult Van der Ley aan. "Het kost tijd om een positie te ontwikkelen. Zo kunnen we ons focussen op een paar aandachtsgebieden en inzichten opdoen die we daarna voor andere standaarden kunnen gebruiken."
Internet(beveiligings)standaarden
Aan de huidige aanpak en keuzen van de RDI ligt het Stratix-rapport 'Internetinfrastructuur: standaardisatie, techniek en geopolitiek' (gepubliceerd in december 2022) ten grondslag. Na inventarisatie hebben de onderzoekers een top-10 van de belangrijkste vraagstukken samengesteld, waarvoor vervolgens oplossingen of oplossingsrichtingen zijn geformuleerd.
In die lijst staan deze 3 problemen specifiek gerelateerd aan internet(beveiligings)standaarden:
1. | BGP route hijacking: het kapen van een andermans route (dat wil zeggen: zijn IP-adressen), waarmee een aanvaller verkeer dat niet voor hem bestemd is naar zich toe kan halen, of een adresreeks kan misbruiken om spamberichten te versturen of DoS-aanvallen uit te voeren. Een andere mogelijkheid is om het netwerk zelf onbereikbaar te maken (een DoS-aanval op het netwerk zelf). Routeringsproblemen worden echter veel vaker veroorzaakt door de aankondiging van foutieve routeinformatie en routelekken dan door aanvallers. Bescherming tegen route-hijacking en routelekken bestaat al in de vorm van de beveiligingsstandaarden RPKI/ROV en BGPsec. Daarnaast is er Best Current Practice BCP 38 (RFC 2267, ingress filtering), die moet voorkomen dat providers, hosters en netwerkbeheerders IP-pakketten het internet op sturen met een afzenderadres dat niet bij hen thuishoort. |
2. | IP spoofing : het vervalsen van het afzenderadres van IP-verkeer. Deze aanvalstechniek wordt vooral gebruikt om DoS-aanvallen uit te voeren (flooding). Hier is de zojuist al genoemde BCP 38 de belangrijkste standaard om dit soort misbruik tegen te gaan. |
3. | Gebrek aan innovatie, flexibiliteit en veranderbaarheid van de infrastructuur: de enorme installed base van hardware en software hindert innovatie van het netwerk zelf. De trage adoptie van IPv6 wordt in het rapport zeker 6 keer genoemd als voorbeeld van een standaard die hoognodig is maar veel te langzaam geïmplementeerd wordt. Maar dat laatste geldt voor internet-(beveiligings-)standaarden in veel bredere zin [1]. |
Technisch toezichthouder
"De scope van dat onderzoek lag op de transportlaag," vertelt Nagtegaal. "Het gaf ons een beeld van de huidige ontwikkelingen rondom de internetinfrastructuur en de standaardisatie daarvan. De uitkomsten gaven ons aangrijpingspunten waar we verschil konden maken. Daaruit volgde onze aansluiting bij het Platform Internetstandaarden. Het is voor ons ook de aanleiding om de adoptie van BGP/RPKI en IPv6 te promoten."
Daarbij benadrukt Nagtegaal wel dat de RDI een technisch toezichthouder is. "Wij gaan niet over economische aspecten, marktoverwegingen en geopolitieke competitie. Dat ligt bij de beleidsmakers van Economische Zaken (die ook lid zijn van Platform Internetstandaarden). Onze aandachtspunten worden vooral EU-breed en technisch bepaald."
Tegelijkertijd wil dat niet zeggen dat het werk van de RDI geen economische waarde heeft. Interoperabiliteit is een belangrijk onderwerp bij de Europese Commissie om uitwisseling met en tussen overheidsorganisaties mogelijk te maken en om (in het kielzog daarvan) obstakels voor de Europese digitale markt weg te nemen. [Interoperable Europe]. Open standaarden voor opslag, uitwisseling en beveiliging spelen een cruciale rol in deze strategie, net als open source (sharing en reuse).
Continuïteit, vrijheid en veiligheid
"Afdwingen van IPv6 kunnen wij niet," zegt Nagtegaal. "Die verplichting is immers niet in de wet vastgelegd. Wat wij wel kunnen is samen met andere stakeholders als SIDN, Forum Standaardisatie en Platform Internetstandaarden de toepassing van IPv6 stimuleren, het belang ervan benadrukken en dat meenemen in onze gesprekken."
"Als organisaties nog met legacy werken, kunnen wij hun prima naar een hoger niveau pushen. Europese regelgeving wordt vooral vanuit de marktgedachte geschreven. Wij richten ons op de technische kant daarvan: continuïteit, vrijheid en veiligheid. Vanuit die opgave vullen wij onze rol in. De adoptie van open internetstandaarden is niet afdwingbaar maar heeft wel economische voordelen."
"IPv4 werkt nog steeds, maar is wel duurder en schaarser. Als je nu naar IoT en AI kijkt, dan is de beschikbaarheid van IPv6 nuttig om een grote hoeveelheid apparaten aan je netwerk te hangen."
Adoptie, standaardisatie en certificering
"Op dit moment zijn wij binnen ons mandaat nog zoekende naar manieren om adoptie te stimuleren," besluit Nagtegaal. "Welke communicatiekanalen kunnen we daarvoor gebruiken? En hoe werken we daarbij samen met andere stakeholders als SIDN en Platform Internetstandaarden? Forum Standaardisatie heeft wat dat betreft heel mooi werk verricht."
"Als technisch toezichthouder willen we ook meer betrokken zijn bij de standaardisatie en certificering ten behoeve van interoperabiliteit. Dat betekent aandacht voor open en beveiligingsstandaarden. Voor radio en apparaten doen we dat – samen met de EU, standaardisatie-instituten en de markt – al heel lang. Het is cruciaal dat we samen met andere stakeholders eenzelfde positie opbouwen voor digitale standaarden in de Nederlandse markt."
