Voortbestaan

De gemeente Elburg hoort sinds 25 mei 2020 bij het ruime gezelschap van overheidsorganisaties met een toekomstzeker IPv6 internetadres. Van de 355 Nederlandse gemeenten zijn er nu 250 via IPv6 bereikbaar. Dat aantal was eind 2018 nog slechts 100. Daarmee is de IPv6 groei bij gemeenten de grootste binnen de Nederlandse overheid.

Recentelijk heeft Overheidsbreed Digitaal Overleg (OBDO) besloten dat alle overheidswebsites via IPv6 bereikbaar moeten zijn vóór eind 2021. Daarmee is de invoering van IPv6 voor alle overheden verplicht en niet langer een vrijblijvende zaak. Veel gemeenten hebben dat besluit niet afgewacht en zijn zelf met hun leveranciers aan de slag gegaan. Omdat zij de hosting van hun website hebben uitbesteed aan een externe leverancier, moet die het IPv6 adres activeren. Ook bij gemeenten die het hun website zelf beheren is een duidelijke toename in IPv6 bereikbaarheid te zien.

IPv6
Internet Protocol versie 6, kortweg IPv6, is het systeem dat het tekort aan IP adressen duurzaam oplost. Iedere laptop, smartphone, tablet, server en website heeft een IP adres om uniek identificeerbaar te zijn. Steeds meer burgers en bedrijven beschikken naast IPv4 ook over IPv6. In Nederland zijn er dat zo’n 26%, een percentage dat flink achterloopt bij bijvoorbeeld België (57%), Duitsland (50%), en Frankrijk (42%). Voor een IPv6 verbinding moet de hele keten over IPv6 beschikken. Dat betekent dat de huisaansluiting én de bezochte website over IPv6 moeten beschikken.

Ondersteuning
VNG Realisatie ondersteunt de gemeenten bij het implementeren van IPv6. Naast uitgebreide voorlichting en inhoudelijke ondersteuning biedt VNG Realisatie gemeenten en samenwerkingsverbanden tijdelijk een IPv6 vertaaldienst voor websites en mail aan. Daarmee kan het IPv4 verkeer in afwachting van een definitieve IPv6 implementatie worden vertaald naar IPv6 en omgekeerd.

Zie ook
- Meer informatie over IPv6

Logius heeft de nieuwste versie van de WCAG-richtlijnen laten vertalen naar het Nederlands. WCAG bevat aanbevelingen om websites, online documenten en mobiele applicaties toegankelijk te maken voor mensen met een beperking. De vertaling van deze richtlijnen is te vinden op de website van het World Wide Web Consortium (W3C).

Wettelijke verplichting
Vanaf 23 september moeten alle overheidswebsites voldoen aan het Tijdelijk Besluit digitale toegankelijkheid overheid. Kort samengevat betekent dit dat ze de richtlijnen van WCAG 2.1 A en AA moeten toepassen en voor al hun websites een toegankelijkheidsverklaring moeten publiceren. Wie voor die tijd nog niet volledig kan voldoen aan de norm, moet dit in de toegankelijkheidsverklaring toelichten.

Meer informatie
- De Nederlandse WCAG 2.1 richtlijnen
- Toegankelijkheidsverklaring.nl
 

When a device uses a relatively obscure image format and a site that accepts uploads fumbles it, who is to blame? This is the question that came up when students couldn’t complete their AP college exams because of such a situation.

Students took pictures with their iOS devices of materials they submitted for the test. Their phones stored and uploaded the pictures in HEIC format. The College Board’s server didn’t recognize the format and timed out. The students immediately failed and were told they could retake the test in three weeks.

HEIC is Apple’s name for the HEIF container format with HEVC compression. Both the container and the codec follow parts of the MPEG-H standard. The container can hold images, derived images, sequences, and metadata. Technically, it’s clearly superior to the ancient JPEG format. However, multiple new and improved image formats have been competing for decades without a clear winner. Not everyone supports HEIC.

Whose fault is it things went wrong with the AP tests? Apple isn’t free from blame. The iPhones and iPads didn’t make it clear what format they were using. There’s a setting that lets users choose between HEIC and JPEG, except that it’s needlessly obscure. The choices are “High Efficiency” and “Most Compatible,” and you have to read the fine print to find out what those formats actually are.

Most users will never open that setting or realize there’s a choice to make. There are no file extensions visible to the iOS user, so they can’t easily tell what format their pictures are in. The blame here falls on Apple’s design philosophy, which is to hide essential technical information for the sake of a smoother user experience. My ancient iPad doesn’t have the “High Efficiency” option. Apple must have quietly introduced it in a more recent iOS version than my device can run. People who were used to having JPEG photos started shooting HEIC photos at some point without knowing it.

But the College Board’s servers — that is, their developers — deserve a bigger chunk of the blame. If you upload an image file to a site that has specific requirements, it should check if the file is valid and immediately respond with an error message if it isn’t. It certainly shouldn’t auto-fail test takers because of a technical glitch. The fact that it responds that way suggests that it doesn’t do any checks on the file and could well be vulnerable to malicious uploads.

The Verge used the title “Students are failing AP tests because the College Board can’t handle iPhone photos,” but that’s not right. Not being able to handle all formats is legitimate. Hanging instead of responding when getting an unsupported file format isn’t.

No server can support all possible formats, but unless it’s content-agnostic, it has to validate the files it gets. In this case, the students bore the burden of the College Board’s failure to do that.

De Europese Commissie (EC) heeft het ‘Rolling Plan for ICT Standardisation 2020’ gepubliceerd. Dit boekje, dat jaarlijks wordt bijgewerkt, biedt een uniek overzicht van relevante ontwikkelingen betreffende ICT-standaardisatie. U kunt het Rolling Plan downloaden van de website van de European Commission (Engelstalig).

Per thema wordt het EU-beleid gekoppeld aan standaardisatie-activiteiten van verschillende standaardisatie-organisaties. Omdat ICT inmiddels overal in de samenleving een rol speelt, worden meer dan 30 thema’s behandeld. Van 5G, Accessibility (digitale toegankelijkheid) en Cybersecurity tot eHealth en Robotics.

Achtergrond
Het Rolling Plan is tot stand gebracht door het ‘European Multi Stakeholder Platform on ICT Standardisation’ (MSP). Het MSP vertegenwoordigt belanghebbenden op het gebied van ICT-standaardisatie en adviseert de Europese Commissie. Ook Forum Standaardisatie is actief betrokken bij de totstandkoming van het plan.

Meer informatie:
• Europese Commisie: ICT-standaardisatie (Engelstalig)
• Internationale standaardisatie

Read more

Read more

Logius werkt sinds december 2019 aan een OpenID Connect (OIDC) profiel voor de Nederlandse overheid: NL GOV OIDC. Op dit moment is het team opzoek naar experts die het concept willen recenseren. Heeft u kennis van de standaard OIDC en wilt u meedenken over het voorstel dat er op dit moment ligt? Reageer dan vóór 28 april via de ‘Issues’-pagina op Gitlab. 

In mei 2020 wil Logius het eerste volledig recenseerde concept beschikbaar hebben. Het doel is om het concept dit jaar geschikt te maken voor de toetsingsprocedure van Forum Standaardisatie, waarmee het profiel op de ‘Pas toe of leg uit’-lijst geplaatst kan worden. In eerste instantie voor gebruik bij mobiele apps, maar naar verwachting op een later moment ook voor web-toepassingen waarvoor nu SAML op de lijst staat.

Vragen aan het schrijfteam?
Donderdag 23 april wordt om 10.00 uur een video-conferencing sessie (waarschijnlijk via WebEx) gehouden. Daarin kunnen vragen gesteld worden aan het schrijfteam. U moet zich daarvoor apart aanmelden. Dit kan door een mail te sturen naar dit mailadres.

Meer informatie:
• Het OIDC-profiel

In verband met internationale aanpassingen en aanscherpingen zijn de Nederlandse metadataprofielen voor datasets (ISO 19115) en services (ISO 19119) bijgewerkt naar versie 2.1.0. Ze zijn onderdeel van de set geo-standaarden op de ‘pas toe of leg uit’-lijst. Tot en met 13 mei kunt u uw mening geven over deze nieuwe versies. Download het reactieformulier en stuur deze ingevuld op naar geostandaarden@geonovum.nl

De belangrijkste aanpassingen hebben enerzijds te maken met een aanscherping van een paar INSPIRE requirements en anderzijds met het beschikbaar komen van een door de EU vastgestelde codelijst voor het element protocol. Tegelijk met de internationale aanpassingen zijn in de nieuwe versies ook een aantal interpretatieverschillen opgelost. Met name rondom de elementen die toegang en gebruiksrestricties vastleggen. Ook is de naamgeving van codelijsten en profielen in beide documenten gelijkgetrokken.

Geonovum
Geonovum is een overheidsstichting die zich inzet om de overheid beter laten presteren met geo-informatie. Zo ontwikkelen en beheren zij bijvoorbeeld Nederlandse metadataprofielen. Deze profielen zijn een verbijzondering van de internationale standaarden van ISO en zijn bedoeld om de samenwerking tussen ICT-systemen in Nederland te bevorderen.

Zie ook:
• Het reactieformulier (Excel-bestand)
• Meer informatie over de consultatie

Alle overheidswebsites en e-maildomeinen van de overheid moeten voor het einde van 2021, naast IPv4, volledig bereikbaar zijn via IPv6. Dat besloot het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) op 8 april 2020. Forum Standaardisatie gaf het voorstel voor deze zogenoemde streefbeeldafspraak. Dat voorstel kwam voort uit de intentieverklaring om IPv6 te ondersteunen, die verschillende overheidsorganisaties en leveranciers in oktober 2019 ondertekenden.

Forum Standaardisatie heeft eerder ook geholpen met het maken van streefbeeldafspraken rond de beveiliging van internetdomeinen, websites en e-mail. Dit zorgde voor een forse toename van het gebruik van informatieveiligheidstandaarden. Het doel van de nieuwe afspraak is om dit ook voor de implementatie van IPv6 te behalen. Larissa Zegveld, voorzitter van Forum Standaardisatie, is blij met deze nieuwe adoptie-impuls: "De overheid kiest met IPv6 voor groei en innovatie van internet, directere en snellere dienstverlening, en tegengaan van fraude. IPv6 is de open internetstandaard die iedere internetgebruiker nodig heeft om ook in de toekomst onbelemmerd gebruik te kunnen maken van internet."

Iedere internetgebruiker heeft IPv6 nodig

Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen op het Internet mogelijk. De standaard bepaalt dat ieder ICT-systeem op het Internet een uniek nummer (IPv6-adres zoals 2a07:3506:4c:3207::1:0) heeft. Hierdoor kunnen ICT-systemen elkaar herkennen en onderling data uitwisselen. IPv6 heeft een veel grotere hoeveelheid beschikbare IP-adressen ten opzichte van de voorganger IPv4. Een computer met een IPv4-adres kan niet communiceren met een computer die alleen een IPv6-adres heeft. Wel kunnen versie 4 en versie 6 naast elkaar worden gebruikt, maar uiteindelijk zal IPv4 volledig worden vervangen door IPv6. In november zijn de laatst beschikbare IPv4-adressen voor Europa uitgegeven.

Groei bij websites, uitdaging ligt bij e-mail

Forum Standaardisatie heeft IPv6 in combinatie met IPv4 (‘dual stack’) in 2010 op de ‘pas toe of leg uit’-lijst geplaatst. Ondertussen hebben overheden 10 jaar de tijd gehad om websites en e-mailsystemen aan te schaffen die IPv6 ondersteunen.
De statistieken van Forum Standaardisatie laten zien dat het aantal overheidswebsites dat via IPv6 bereikbaar is aanzienlijk groeit (met 8%-punt per half jaar). Momenteel ondersteunt 64% van de overheidswebsites IPv6. Koploper zijn de gemeenten, maar ook de waterschappen hebben in de afgelopen anderhalf jaar flinke stappen gezet. Desondanks is er voor veel overheidsorganisaties nog werk aan de winkel.

Grafiek 1.png

De grootste uitdaging ligt bij de e-mailsystemen van overheid; op dit moment ondersteunt slechts 22% van de mailservers IPv6 en er is weinig groei zichtbaar. De centrale overheid presteert op dit moment het beste met een adoptiepercentage van 40%.

Grafiek 2.png

Forum Standaardisatie zal de implementatievoortgang van IPv6 halfjaarlijks meten en daarover rapporteren aan het OBDO. Via de koepelorganisaties zullen de achterblijvers worden aangesproken en zo nodig geholpen worden om alsnog te voldoen aan de streefbeeldafspraak. De resultaten van de metingen worden tevens gepubliceerd op de website van Forum Standaardisatie.

De streefbeeldafspraken op een rij:

• Voor eind 2017: DNSSEC, TLS en DMARC+DKIM+SPF
• Voor eind 2018: HTTPS+HSTS conform NCSC-richtlijnen
• Voor eind 2019: STARTTLS+DANE en strikte instellingen voor DMARC (p=reject of quarantine) en SPF (~all of -all)
• Voor eind 2021: IPv6 (naast IPv4)

Verwijzingen:

• IPv6 en IPv4 op ‘pas toe of leg uit’-lijst
• Evaluatie IPv6 en IPv4
• Meting Informatieveiligheidstandaarden en adoptieafspraken
• IPv6 bij gemeenten

Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren, om zo ‘afluisteren’ van e-mail te voorkomen. Slechts 50% van de overheidsorganisaties heeft DANE voor deze deadline geïmplementeerd. Het ontbreken van ondersteuning voor DANE in cloudproduct Office 365 bleek een knelpunt te zijn. Microsoft heeft op 6 april aangekondigd dat zij DANE eind 2021 volledig zullen ondersteunen in Office 365 Exchange Online.

Eind 2021 volledige ondersteuning DANE in Exchange Online

dayne-topkin-u5Zt-HoocrM-unsplash.jpg In de aankondiging geeft Microsoft aan dat implementatie gefaseerd zal plaatsvinden. De eerste fase omvat ondersteuning voor e-mail verzonden vanuit Exchange Online. Deze zal eind 2020 zijn afgerond. De tweede fase omvat ondersteuning voor ontvangst van e-mail in Exchange Online. Die wordt voor het eind van 2021 afgerond.

Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan 100 overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen.

Microsoft wijst klanten erop dat zij in de tussentijd de optie hebben om eigen SMTP-gateways te gebruiken die wel DNSSEC en DANE ondersteunen. E-mailberichten kunnen eventueel tussen de gateways en Exchange Online worden uitgewisseld via connectoren. Een dergelijke relay gateway brengt complexiteit en kosten met zich mee. Om die redenen is inherente ondersteuning van de standaarden in Exchange Online cruciaal, ook in producten van andere leveranciers. Forum Standaardisatie adviseert overheidsorganisaties die willen overstappen op Exchange Online te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd.

Diverse leveranciers bieden op dit moment al ondersteuning voor DANE. Meer dan de helft van de overheidsorganisaties maakt gebruik van DANE mogelijk voor veilig e-mailverkeer. Zo passen bijvoorbeeld de gemeente Den Bosch, rijksdienstverlener SSC-ICT, de Tweede Kamer en de politie dit toe.

DANE en de Baseline Informatiebeveiliging Overheid

DANE voorkomt dat aanvallers mailverkeer kunnen ‘afluisteren’ of aanpassen. Het staat voor DNS-Based Authentication of Named Entities en is een verplichte standaard voor de overheid. De techniek bouwt voort op DNSSEC (standaard voor domeinnaambeveiliging) en geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af. Dit voorkomt dat een aanvaller de opzet van een met STARTTLS beveiligde verbinding kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.

Het correct toepassen van standaarden DNSSEC, DANE en STARTTLS is wat minimaal verwacht mag worden van overheidsmail. Deze standaarden zijn daarom ook onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) via maatregel 13.2.3.1 (BBN1). BBN1 is het beveiligingsniveau waar alle overheidssystemen als minimum aan moeten voldoen.

Het borgen van veilig e-mailverkeer tussen overheidsorganisaties met burgers, bedrijven en medeoverheden is van belang voor de betrouwbaarheid van de (digitale) overheid. Vanwege de tweezijdigheid van deze informatie-uitwisseling liggen de risico's van kwetsbaarheden niet alleen bij de betreffende overheidsorganisaties, maar ook bij partijen waar zij digitaal mee communiceren. Overheidsorganisaties hebben een zorgplicht naar burgers, bedrijven en medeoverheden om de digitale veiligheid op orde te brengen.

Hoe weet ik of mijn e-mailverkeer kan worden meegelezen?

Via Internet.nl kan je testen of het e-mailverkeer van jouw organisatie is beschermd tegen afluisteren en spionage. Deze tool toetst op de toepassing van encryptiestandaarden STARTTLS en DANE. Door een correcte toepassing van deze standaarden op een mailserver helpen zij afluisteren en spionage voorkomen.

Achtergrond

De overheid sprak in 2018 af om DANE te implementeren uiterlijk voor eind 2019. Uit een meting in maart 2020  onder 548 belangrijke overheidsdomeinen blijkt dat dit bij slechts 50% van de organisaties is gelukt.

adoptie_mail_mrt2020.png

Uit halfjaarlijkse metingen zag Forum Standaardisatie vorig jaar al een negatieve trend in het toepassen van DNSSEC op mailservers. Uit analyse bleek dat dit kwam omdat sommige overheidsinstanties de overstap maken naar Exchange Online, dit veelgebruikte product biedt op dit moment nog geen ondersteuning voor de voor overheid verplichte standaarden DNSSEC en DANE.

In juli vorig jaar heeft Strategisch Leveranciersmanagement Microsoft Rijk in samenwerking met Forum Standaardisatie een verzoek gedaan bij Microsoft om ondersteuning te bieden voor DNSSEC en DANE bij het gebruik van Office 365-mailservers. In navolging hierop hebben diverse overheidsorganisaties, bedrijven en buitenlandse overheden Microsoft ook gevraagd om ondersteuning van DNSSEC en DANE.

Read more

Read more