IBD aan de slag met Impactanalyse E-mail Authenticatie

In de periode 2012 – 2015 is een drietal standaarden, die zich richt op veilig e-mailverkeer op de ‘Pas toe of leg uit’ lijst opgenomen. Om de adoptie van die standaarden bij gemeenten te vergroten heeft het Bureau Forum Standaardisatie aan de IBD een opdracht verstrekt tot het uitvoeren van een impactanalyse om de consequenties van invoering van die standaarden bij gemeenten in kaart te brengen. Het betreft de standaarden D-MARC (2015), TLS (2013) en DNSSEC (2012).

Impactanalyse DMARC met 30 gemeenten

De IBD is samen met 30 gemeenten gestart met de impactanalyse DMARC (Domain-based Message Authentication, Reporting & Conformance). Deze e-mail authenticatiestandaard geeft de ontvanger waarborgen dat het binnenkomende e-mailbericht ook daadwerkelijk van de afzender afkomstig is. Op basis van deze impactanalyse wordt een onderbouwd beeld mogelijk van de complexiteit van een (mogelijke) invoering van deze standaard binnen het gemeentelijk domein.

Wat houdt de impactanalyse DMARC precies in?

Gemeenten gebruiken over het algemeen dezelfde applicaties voor hun bedrijfsvoering. Een aantal van deze applicaties stuurt uit naam van gemeenten e-mailberichten naar andere partijen. Gedurende een periode van zes weken wordt het uitgaand e-mailverkeer van de deelnemende gemeenten verzameld en geanalyseerd. Bij deze impactanalyse wordt samengewerkt met een partij die gespecialiseerd is in het uitvoeren van dergelijke analyses. Met deze organisatie is uiteraard een bewerkersovereenkomst afgesloten die waarborgt dat gemeentelijke gegevens alleen voor deze analysedoelen worden gebruikt.

Impactanalyse TLS en DNSSEC

De IBD houdt op dit moment overigens ook diverse interviews met een beperkt aantal gemeenten en leveranciers over de impact van de TLS en DNSSEC standaarden voor gemeenten. Tijdens deze impactanalyse vindt de verificatie plaats van de aanname: dat DNSSEC eenvoudig te implementeren is en dat de kosten voor het configureren van TLS conform de ICT-beveiligingsrichtlijnen voor TLS van het NCSC gering zijn.

Rapportage

De drie onderzoeken zijn medio oktober gestart. Wij sturen erop aan om de resultaten uiterlijk half januari 2016 aan te bieden aan Bureau Forum Standaardisatie. Begin volgend jaar zal de IBD ook enkele factsheets over deze onderwerpen op de website publiceren.

Vervolg

De drie standaarden waarvoor we de impactanalyse uitvoeren dragen bij aan een veilig mailverkeer van overheid naar burger en bedrijf. We hopen met deze impactanalyse de aanname dat implementatie van deze standaarden relatief eenvoudig is, terwijl de bijdrage aan een veilige overheid significant is, te verifiëren. Houd de website van de IBD goed in de gaten voor meer nieuws over deze impactanalyse.

Meer informatie?

Heeft u nog vragen over deze impactanalyse? Neem dan contact op via info@IBDgemeenten.nl of via 070 373 8011.