Forum Standaardisatie

Open standaarden in de strijd tegen phishing & spoofing

Tekst Jelle van der Meulen Beeld Bart van Vliet

Open standaarden zijn van groot belang om informatieveiligheid te garanderen en diensten bereikbaar te maken. Uit het rapport Monitor Open Standaarden blijkt dat ze door overheden steeds vaker worden gebruikt, maar nog niet op het niveau om de digitale samenleving optimaal te laten functioneren. ‘Wil je een moderne digitale overheid waar veel informatie veilig wordt uitgewisseld, dan moeten alle relevante standaarden gebruikt worden.’ 

Michiel Steltman is blij met de rol van Forum Standaardisatie, dat de lijst beheert met open standaarden voor de hele publieke sector

‘Standaarden zijn de ziel van het internet’

Standaarden zijn de ziel van het internet,’ zegt Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL). ‘Dankzij het gebruik van standaarden kunnen allerlei partijen moeiteloos met elkaar communiceren. Zo kun je gemakkelijk systemen koppelen en data en functionaliteiten van anderen gebruiken.’

Standaarden zijn daardoor ook een drijvende kracht achter moderne digitale innovaties. Ze hebben min of meer een nutsfunctie. ‘Bij DINL weten we: maak eerst standaarden, dan volgt innovatie vanzelf,’ legt Steltman uit. ‘Dat zie je bijvoorbeeld bij Google Maps: toen dat er eenmaal was, gingen allerlei andere partijen dat gebruiken in hun diensten. Het is niet onderdeel van een groot plan of een ontwerp.’

Piepend en krakend Het beleid voor gebruik van open standaarden door overheidsorganisaties is te omschrijven als: pas toe of leg uit. Dat houdt in dat de geldende standaarden verplicht zijn tenzij er een zwaarwegende reden is om ze niet te gebruiken. Recent onderzoek laat zien dat bij 89 procent van de gezochte aanbestedingen om één of meer open standaarden werd gevraagd, maar nog niet om alle relevante, terwijl dat wel het einddoel is.

Die gedachte moet bij overheidsorganisaties nog wel meer postvatten. ‘Wil je een moderne digitale overheid waar de ene organisatie de data en functies van de andere moet kunnen hergebruiken, dan moeten we meer relevante standaarden gebruiken. Die mechanismen komen inmiddels piepend en krakend op gang. Want de gedachte is nog vaak: standaarden zijn een sluitpost. Het belang van innovaties bij anderen staat niet hoog op de lijst bij een nieuw systeem.’

Aanjager Naast standaarden voor interoperabiliteit zijn er ook standaarden voor informatieveiligheid. Het belang daarvan bleek recent nog, toen RTL Nieuws ontdekte dat cybercriminelen konden mailen uit naam van het RIVM. De e-mails waren nauwelijks van echt te onderscheiden. ‘Die kwetsbaarheid kwam voort uit een heel simpel probleem: de veiligheidsstandaarden liepen achter,’ aldus Steltman. ‘Met de standaard DMARC worden nepmails automatisch herkend. Zo verbeter je de veiligheid van e-mail. Maar dan moeten de systemen wel up-to-date zijn, ook als ze destijds zonder die standaarden zijn opgeleverd. Gelukkig gaat het de laatste tijd met de adoptie van veiligheidsstandaarden eigenlijk best wel redelijk.’

Steltman is blij met de rol van Forum Standaardisatie, dat de lijst beheert met open standaarden voor de hele publieke sector. Zo kan het een aanjager zijn voor digitalisering bij de overheid en betere informatieveiligheid. ‘Forum Standaardisatie is een goede mix van wetenschap, overheid en private sector. De samenwerking kan helpen de digitale overheid moderner en veiliger te maken om daarmee de samenleving zo goed mogelijk te kunnen bedienen.’ ◼

Paul van den Berg

‘De kennis in organisaties blijft erg gefragmenteerd’

Naast de interne organisatie bij de overheid is ook de relatie met leveranciers van belang om een goed en veilig werkend digitaal systeem te garanderen. Paul van den Berg, plaatsvervangend strategisch leveranciersmanager Microsoft bij het ministerie van Justitie en Veiligheid, is verantwoordelijk voor de relatie tussen de rijksoverheid en Microsoft en onderhoudt ook de relatie met Google en Amazon Web Services. ‘Wij leggen ons toe op contractuele voorwaarden met leveranciers, AVG en andere regelgeving en informatiebeveiliging,’ legt Van den Berg uit. ‘Overheden of departementen die iets willen veranderen aan hun IT-systemen of iets beter willen regelen, komen bij ons voor advies. Maar we sturen niet in de keuze voor een specifiek product of leverancier. Dan krijg je vervuiling van je rol.’

Wel benadrukt Van den Berg voortdurend het belang van open standaarden en goed digitaal beleid. Hij constateert dat het “pas toe of leg uit-beleid” en open standaarden in het algemeen tegenwoordig redelijk prioriteit krijgen, maar dat de kennis in organisaties erg gefragmenteerd blijft. ‘Techneuten hebben er weliswaar veel verstand van, maar het blijkt dat zij hun verhaal slecht over de bühne krijgen bij management of beheer,’ zegt Van den Berg. ‘Bovendien is een goede relatie met de leverancier van belang om dingen gedaan te krijgen. Daar komen wij aan zet.’ Slagkracht Zo’n goede relatie heeft het strategisch leveranciersmanagement bijvoorbeeld met Microsoft. En dat levert voordelen op voor de overheid. ‘Binnen de publieke sector is de DANE-standaard voor e-mail verplicht,’ legt Van den Berg uit. ‘Die standaard maakt mailverkeer beter en veiliger. Maar systemen van Microsoft waren aanvankelijk niet verenigbaar met de DANE-standaard. Daarom hebben we contact opgenomen met Microsoft. Met het verzoek de diensten aan te laten sluiten op de DANE-standaard, omdat wij anders genoodzaakt waren niet langer van de diensten van Microsoft gebruik te maken. Dat is voor Microsoft even een flinke klus, maar zij krijgt dan ook het gevoel: die gasten bij de overheid hebben impact en leveren input. Daar moeten we mee samenwerken. Dat is voor ons natuurlijk voordelig.’

Eenduidigheid Van den Berg meent dat meer samenwerking op het gebied van standaarden en digitalisering sowieso raadzaam is. ‘Ons gedecentraliseerde bestuursmodel in Nederland is erg gefragmenteerd,’ legt hij uit. ‘Terwijl bundeling van je vraag juist leidt tot eenduidigheid richting je leveranciers. Kijk je bijvoorbeeld naar Duitsland, dan zie je dat daar één orgaan in één klap alles regelt voor alle ambtenaren. Dat is efficiënter en je staat simpelweg sterker. Maar in Nederland kan dat niet vanwege de autonomie van de verschillende organisaties, en in sommige gevallen vanwege de aanbestedingswetgeving. Persoonlijk denk ik toch dat je daar ruimte in moet vinden, wil je toewerken naar een sterkere, beter ontwikkelde digitale overheid.’

Deel dit artikel