Nationaal Beraad verplicht de e-mail-beveiligingsstandaarden STARTTLS en DANE

Overheden moeten bij investeringen in e-mailsystemen voortaan ook de e-mail-beveiligingsstandaarden STARTTLS en DANE implementeren. STARTTLS in combinatie met DANE gaan het afluisteren en manipuleren van mailverkeer tegen. Het Nationaal Beraad Digitale Overheid heeft op 19 september jl. besloten om beide open standaarden aan de lijst met verplichte standaarden volgens het ‘pas-toe-of-leg uit’-regime toe te voegen.

STARTTLS en DANE beschermen mail tegen afluisteren en manipulatie
De combinatie STARTTLS en DANE, die is gestandaardiseerd in IETF RFC 7672, zorgt voor solide versleuteling van mailverkeer. STARTTLS maakt de versleutelde verbinding mogelijk. DANE zorgt er als ‘een aanvullend slot op de deur’ voor dat de versleuteling daadwerkelijk plaatsvindt. DANE bouwt voort op DNSSEC dat al op de lijst met standaarden staat en inmiddels voor bijna 50% van de .nl-domeinnamen is geactiveerd. Door STARTTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren.

Het belang van de standaarden wordt onderschreven in het ‘Cybersecuritybeeld Nederland 2016’ van het Nationaal Cyber Security Centrum (NCSC): “Om ook de integriteit en vertrouwelijkheid [van mail] te garanderen is meer nodig. […] STARTTLS is hier alleen een effectieve maatregel tegen een passieve, afluisterende aanvaller. [De] combinatie [STARTTLS en DANE] beveiligt ook tegen andere mogelijke aanvallen.”

Over het verplichten van de standaarden
Michiel Leenaars, directeur strategie van DINL deelnemer NLnet en indiener van de standaard, zegt over het verplichten van de open standaarden:

De twee standaarden STARTTLS en DANE zijn belangrijke nieuwe instrumenten waarmee de beveiliging van het dagelijks emailverkeer fors verbeterd kan worden. Overheden krijgen en sturen heel veel gevoelige informatie via dat kanaal, en dus is het zaak om ondersteuning voor deze standaarden zo snel mogelijk breed uit te rollen. Opname op de ‘pas toe of leg uit’-lijst is daarom een goede zaak, en een waardevolle impuls voor het gebruik van deze standaarden in Nederland.”

Door het besluit van het Nationaal Beraad over opname van STARTTLS en DANE op de lijst met standaarden zijn alle organisaties in de publieke sector, waaronder ook instellingen in de zorg en overheid vallen, verplicht om deze standaard aan te schaffen en te gebruiken bij de inkoop van nieuwe ICT-systemen en -diensten die vallen binnen het beschreven toepassingsgebied van de standaarden. Voor een overzicht van alle open standaarden waarop het ‘pas toe of leg uit’-regime van toepassing gaat u naar de website van het Forum Standaardisatie.

Dit bericht is een bewerkte versie van een bericht van het Forum Standaardisatie

Zoeken
Related
event
De 25e editie van het ECP Jaarfestival vindt dit jaar plaats op donderdag 11 november in de Fokker Terminal in...
event
De One Conference is een internationale cybersecurityconferentie, waarbij toonaangevende sprekers inzichten en de laatste ontwikkelingen rondom cybersecurity delen. De conferentie...
event
EuroDIG 2020
EuroDIG is het Europese platform waar verschillende stakeholders van het internet bijeenkomen om kennis en best practices over het internet...