Column


IT-jurist Peter van Schelven over...

De overheid en internet-security

Een van mijn favoriete websites op het gebied van security is internet.nl. Met deze site, die het resultaat is van een brede samenwerking binnen het Platform Internetstandaarden, kan vrijwel iedereen op heel gemakkelijke wijze enkele praktische aspecten van de veiligheid van het internetverkeer controleren. U hoeft geen securitydeskundige te zijn om deze tool te kunnen gebruiken.

DNS-spoofing
Zo kan u bijvoorbeeld tamelijk eenvoudig checken of een website die u wenst te bezoeken, beveiligd is met DNSSEC. Zoals wellicht bekend is DNSSEC een cryptografische beveiligingsextensie op het DNS (Domain Name System), complexe technologie diep in de kern van de internetinfrastructuur die er voor zorgt dat www-adressen ergens onderweg op het internet ‘vertaald’ worden naar de bijbehorende IP-adressen (en vice versa).

Als ik bijvoorbeeld www.burgerservicenummer.nl in de browser van mijn computer intik, dan hoop ik verbinding te krijgen met de server van de rijksoverheid waarop deze site draait. Het DNS zorgt, als het goed gaat, voor een koppeling met het bijbehorende IP-adres 194.150.208.115, de plek waar deze site van de rijksoverheid staat. DNS is dus noodzakelijke technologie om het internet te laten functioneren.

Maar heb ik nou ook de zekerheid dat de ‘vertaling’ van het door mij ingetikte www-adres naar het bijbehorende IP-adres daadwerkelijk plaatsvindt? Als gebruiker zie ik immers niet wat er onder de motorkap van het internet gebeurt. Of is er een kwade kans dat iemand met foute bedoelingen mijn bericht naar de door mij gewenste eindbestemming ergens halverwege op het internet ‘ombuigt’ naar een andere, vervalste website? Dat risico van zogeheten DNS-spoofing is zeker niet uitgesloten. Omdat een vervalste site sterk gelijkend of wellicht zelfs identiek is aan de site die ik wens te bezoeken, merk ik er vrijwel zeker niets van dat ik in verkeerde handen ben gevallen. Criminelen kunnen dan makkelijk met mijn data aan de haal gaan zonder dat de betrokken overheidsinstantie en ik dat beseffen. Dit gevaar doet zich dus met name voor als een kwaadwillende het cachegeheugen van de DNS-server van een Internet Service Provider (ISP) heeft gecorrumpeerd. Als een ISP het voorwerp van criminele acties is, spreekt men van een ‘man-in-the-middle attack’.

DNSSEC
Om te waarborgen dat je een ingetikt www-adres feitelijk ook bereikt, maakt .nl gebruik van een belangrijke cryptografische beveiligingsextensie op het DNS en die heet DNSSEC (DNS Security Extensions). Dat is een set van belangrijke internationale beveiligingsstandaarden voor het internet. Kort gezegd komt het erop neer dat DNSSEC een domeinnaam van een digitale handtekening voorziet. ISP’s die DNSSEC ondersteunen, kunnen vervolgens controleren en waarborgen dat het door mij ingetikte www-adres daadwerkelijk ook naar het bijbehorende IP-adres wordt ‘vertaald’. Voor een veilig internetverkeer is het gebruik van DNSSEC dus een absolute must. 44% van de huidige 5,6 miljoen .nl-domeinnamen zijn voorzien van een DNSSEC-handtekening. Hoewel Nederland koploper is op het gebruik van DNSSEC, valt er op dit vlak echter nog een wereld te winnen.

Open standaard
Binnen de Nederlandse overheid is het belang van DNSSEC onderkend, getuige het feit DNSSEC in 2012 op de lijst van open standaarden van het forum standaardisatie is opgenomen. Dat heeft binnen de rijksoverheid belangrijke juridische betekenis. Bij de bouw en hosting van websites binnen de rijksoverheid moet met DNSSEC rekening worden gehouden. En volgens een Besluit van de Staatssecretaris van Economische Zaken van 8 november 2008 moet de rijksdienst bij de aanschaf van een ICT-dienst of ICT-product in beginsel kiezen voor producten of diensten die aan de open standaarden voldoen. De rijksoverheid moet bij de inschakeling van ISP’s dus kiezen voor DNSSEC. Deze regelgeving zegt daarnaast dat alleen om redenen van veiligheid en om redenen van ‘bijzonder gewicht’ van een open standaard kan worden afgeweken. Een afwijking moet bovendien goed gemotiveerd worden, het principe van ‘comply or explain’.

Wie het veld van de overheidssites bekijkt, komt al snel tot de conclusie dat veel sites niet beveiligd zijn met DNSSEC. Burgerservicenummer.nl is daarvan een voorbeeld. Maar ook de site waarop u bij de politie digitaal aangifte doet, is daarvan een van de stuitende voorbeelden. Talloze andere voorbeelden uit de publieke sfeer zouden kunnen worden genoemd. Het lijkt er dus op dat de rijksoverheid haar eigen uitgangspunten over security niet al te serieus neemt. En dat is in deze tijd geen fraaie zaak.

 


Lees meer over