Overheden hebben lang niet altijd goed inzicht in de internetdomeinen waar zij eigenaar ván of verantwoordelijk vóór zijn. Centraal overzicht is nodig om te kunnen borgen dat domeinen goed zijn beveiligd en voldoen aan andere relevante standaarden. Wie zijn domeinbeheer op orde wil brengen is vaak wel even bezig, zo blijkt uit deze cases bij een drietal overheidsorganisaties.
Beeld: Barry Hage
“We merkten al snel dat je er nooit mee klaar bent”, kijkt Ruud Paulusse terug op de klus waar hij in 2012 mee begon. Hij werd verantwoordelijk voor de nieuwe website politie.nl bij de start van de Nationale Politie. In de slipstream daarvan moest al het bestaande uitgefaseerd. “Zo ben ik van lieverlee in de wereld erachter, die van de domeinnamen en alles wat er mee verbonden is, gerold. We zijn begonnen met de grootste, maar uiteindelijk kom je ook uit bij een site waarop een wijkagent ooit wat tips voor diefstalpreventie heeft gezet. Uiteindelijk hebben we zo’n 300 tot 500 domeinnamen getraceerd. Alles staat nu nagenoeg uit, maar we zijn er tot op de dag van vandaag bezig. Daar zitten webservices bij, simpele sites, domeinnamen die nooit zijn gebruikt of alleen maar voor lokale mailaccount. Het is soms een heel gedoe om de eigenaar op te sporen en die tot actie te bewegen.”
Waar de politie ook mee te maken kreeg, waren – al dan niet ethische – hackers die e-mail onderschepten die bedoeld waren voor agenten. Dat kon door oude domeinnamen opnieuw te registreren, zoals @politiebrabant.nl, of domeinnamen die erg op die van de politie lijken. Paulusse: “We zitten er nu bovenop. We houden enkele honderden namen in eigendom. En elke keer als er een domeinnaam met het woord ‘politie’ wordt geregistreerd, krijgen we bericht van het SIDN. Het hangt van de context af of we actie ondernemen. Zoiets als modepolitie.nl is natuurlijk toegestaan, maar met politiehilversum.nl hebben we een probleem.”
Paulusse benadrukt dat beheer van websites en domeinnamen ook een communicatiecomponent heeft. Dan gaat het bijvoorbeeld over de huisstijl zoals het gebruik van het politielogo. “Wat betreft de beveiliging zijn de beveiligingsstandaarden van het Forum Standaardisatie leidend, de richtlijn bij communicatie is dat we een eenvormig beeld willen uitstralen. Voor de oprichting van de nationale politie deed iedereen maar wat. We hebben van het momentum gebruikgemaakt om door te drukken. Wat helpt is te wijzen op verplichte compliance-eisen en het intrekken van budgetten voor lokale initiatieven. Via de facturenstroom hebben we veel ontdekt en dichtgeknepen. Maar je wilt niet weten wat voor administratief gedoe we daarmee hebben gehad. Anderzijds: in een aantal gevallen hebben we de inhoud of het concept overgenomen en opgeschaald naar nationaal niveau.” Binnenkort wordt het programma afgerond. “Waar wij en onze collega’s van het SOC (cyber operations center) ons nu sterk voor maken is dat de domeinbewaking op één plek wordt ondergebracht.”
Weigeren geen optie
Ook Ahmed Daoud benadrukt dat domeinnaambeheer zowel een ICT– als een communicatiecomponent bevat. Hij leidde een project voor de standaardisatie van websites bij de DG’s BestuurRuimteWonen en Omgevingswet van BZK. “Dat betekende het nemen van alle nodige stappen om de websites en e-mailservices te laten voldoen aan de actuele veilige internetstandaarden, zoals die opgenomen zijn op de ‘Pas-toe-of-leg-uit’-lijst van Forum Standaardisatie en ons beleidskader. Goed domeinnaambeheer was een onderdeel van het project.” Voor het project is een afwegingskader geformuleerd gebaseerd op 17 punten. Daarin hebben ook de bepalingen van het Forum Standaardisatie en de Nationaal Cyber Security Centrumn (NCSC) een plek gevonden. Daoud: “Een van mijn doelstellingen was om zoveel mogelijk domeinen onder te brengen bij rijksoverheid.nl. Dat is helaas niet altijd mogelijk gebleken door infrastructurele complexiteit en afhankelijkheden van externe partijen.”
Het project had 73 dossiers in scope. Daarvan zijn er meer dan twintig uitgefaseerd in overleg met de betreffende eigenaar. Voor de ruim vijftig resterende websites is een traject gevolgd om ze compliant te maken met de technische en veilige standaarden. Het viel Daoud bij de opschoonactie op dat veel domeinen niet waren geregistreerd bij Algemene Zaken. Het eigenaarschap daarvan is nu – zoals het hoort – allemaal overgezet. Ook zijn commerciële extensies omgezet. “Dat was nog een hele uitdaging. Sommige commerciële partijen waren niet makkelijk over te halen om mee te werken; maar weigeren was geen optie. Hetzelfde gold voor de implementatie van alle beveiligingstandaarden bij websites die bij een private partij waren gehost. Sommige vonden dat vanzelfsprekend, maar ik heb uiteindelijk sommige contracten moeten laten herzien.”
Daoud is klaar met zijn klus. Zijn advies voor de toekomst: “De betreffende standaarden meenemen bij aanbestedingen en zoveel mogelijk websites onderbrengen bij rijksoverheid.nl. Deze dienstverlening bij AZ is goed en wordt bovendien centraal bekostigd.”
‘Dood hout’
Bij VWS werd het programma ‘VWS op het web’ vooraf onderschat. Programmamanager Raoul Zonnenberg startte januari 2018 met één dag per week. Drie maanden later was dat fulltime, ondersteund door een team. “Het bleek een mega-operatie.” In totaal ging het om meer dan duizend webdomeinen bestaande uit websites, portalen, redirects, e-learning, magazines, et cetera. Dat betrof ook domeinen van organisaties die verbonden zijn met VWS, zoals RIVM, CAK en CIZ. “Zo werd het ook een flink bestuurlijk traject, waarbij ik al mijn soft en hard skills uit de kast heb moeten halen.”
Van die duizend domeinen konden er vierhonderd geschrapt: ‘Dood hout’, aldus Zonnenberg. “Een ander gedeelte konden we overdragen aan andere overheden of particuliere partijen. Een belangrijke stap was de migratie van sites naar het Platform Rijksoverheid (rijksoverheid.nl), met het oog op (blijvend) voldoen aan de webeisen en zeer deskundig advies. In zo’n 200 gevallen fungeerde de domeinnaam alleen als redirect. Maar ook die moet je goed beheren, anders kan zo’n redirect bijvoorbeeld worden misbruikt. Daarnaast hielden we ruim 230 gewone websites en portalen met meer functionaliteit over. We zijn nu bezig de laatste groep aan alle kaders te laten voldoen voor beveiliging, toegankelijkheid en privacy. We verwachten dat eind dit jaar 85 procent aan alle webeisen voldoet. In het webregister op www.communicatierijk.nl worden de testresultaten van internet.nl gepubliceerd van alle rijksoverheidsites. Op die manier is maandelijks bij te houden of de techniek en beveiliging op orde zijn. En zo kunnen we phishing en spoofing zo goed mogelijk aanpakken.”
VWS werkt veel samen met andere partijen, zoals stichtingen en kenniscentra die met subsidie een bepaalde taak uitvoeren. Zulke organisaties kunnen vaak moeilijk voldoen aan de vereiste beveiligingsstandaarden. Zonnenberg: “Maar dat is nu wel een eis om een plek te bemachtigen in het VWS-webportfolio.” Ook Zonnenberg benadrukt de communicatie-component van het programma. Daarbij gaat het niet alleen om de huisstijl en het implementeren van een eenvormige look-and-feel. “Het gaat in brede zin over samenhang tussen sites, toegankelijkheid, redactionele aspecten en aantrekkelijk beeldmateriaal.”
Het programma is eind 2019 afgerond. Er is een aantal maatregelen genomen dat moet voorkomen dat wederom een wildgroei ontstaat, waaronder een governance- en escalatiemodel, en een compliance-coördinator. Daarnaast heeft Zonnenberg met het inkoopbureau HIS een handreiking opgesteld die als SMART-eisen bij aanbestedingen zijn te gebruiken. Hij benadrukt dat daarmee alleen een solide basis is gelegd: “Het belangrijkste is uiteindelijk hoe effectief je webportfolio is wat betreft bezoekersaantallen en klantbeleving. Dat meten we bij de Rijksoverheid nog te weinig.”
Domeinnaambeheer
Goed domeinnaambeheer vereist tijd/capaciteit en draagvlak. Maak afspaken en werk samen met anderen om in controle te blijven. Hulp nodig bij domeinnaambeheer? Kijk op www.internet.nl om te controleren of domeinnamen voldoen aan de minimale verplichte standaarden of lees meer informatie op www.forumstandaardisatie.nl
Herkenbaarheid en veiligheid
Waarom domeinnamenschoonmaak? Meer controle, minder onderhoud, minder plekken die misbruikt kunnen worden, maar ook meer externe herkenbaarheid.
Betrouwbare overheid online
Waarom standaarden? De afspraken helpen bij het voorkomen van phishing/spoofing (misleiding), afluisteren en manipulatie. Ze zorgen voor veilige en betrouwbare informatieuitwisseling.
Dit artikel staat ook in iBestuur magazine 33