Onveilige iOverheid
Stel, ik tik in de browser op mijn laptop www.burgerservicenummer.nl in. Heb ik dan de zekerheid dat internet mij daadwerkelijk bij dat adres van de rijksoverheid brengt? Of loop ik het risico dat een kwaadwillende ziel ergens halverwege op internet mijn route naar mijn eindbestemming ‘ombuigt’ om mij naar een andere gelijkende, maar malafide website te brengen?
Die kwade kans bestaat zeker. Criminelen kunnen dan makkelijk met mijn data aan de haal gaan, zelfs zonder dat de betrokken overheidsinstantie en ik dat beseffen.
Waarom bestaat dat risico nou eigenlijk? Dat hangt samen met de rol van het zogeheten DNS (Domain Name System), complexe technologie diep in de kern van de internetinfrastructuur die ervoor zorgt dat het door mij ingetikte www-adres onderweg ‘vertaald’ wordt naar het IP-adres van de server waarop www.burgerservicenummer.nl draait (194.150.208.115). Kort gezegd: het DNS koppelt www-adressen en IP-nummers aan elkaar en dat is nodig om het berichtenverkeer op internet te laten functioneren.
Om te waarborgen dat je een ingetikt www-adres feitelijk ook bereikt, maakt .nl sinds 2012 gebruik van een belangrijke cryptografische beveiligingsextensie op het DNS en die heet DNSSEC. DNSSEC voorziet een domeinnaam van een digitale handtekening, waarmee ISP’s (de KPN’s en Ziggo’s van deze wereld) vervolgens kunnen controleren of iemand die www.burgerservicenummer.nl intikt via het DNS ook daadwerkelijk het IP-nummer van www.burgerservicenummer.nl terugkrijgt en niet dat van een (malafide) andere site.
Inmiddels is in Nederland, wereldwijd gezien koploper in het gebruik van DNSSEC, 44 procent van de huidige 5,6 miljoen .nl-domeinnamen voorzien van een DNSSEC-handtekening. Een prima ontwikkeling! Vooraanstaande spelers op internet zoals SIDN en innovatieve hostingproviders hebben de ontwikkeling van DNSSEC stevig omarmd. Maar ook houders van .nl-domeinnamen blijken zich steeds meer bewust van het belang van DNSSEC. Steeds vaker selecteren zij hun hostingproviders zorgvuldig, mede met het oog op die beveiligingstechnologie. Het grote obstakel is het valideren van DNSSEC-handtekeningen, waar ISP’s vooralsnog hun verantwoordelijkheid helaas niet voldoende nemen. Gelukkig kan iedereen inmiddels zelf makkelijk checken of zijn of haar provider DNSSEC ondersteunt, bijvoorbeeld via internet.nl.
Wat opvalt is dat binnen de publieke sector in ons land op dit vlak nog een wereld te winnen valt. Sommige sites van de overheid, waaronder die welke ik zojuist noemde, zijn momenteel nog niet voorzien van een DNSSEC-handtekening. Ondanks het feit dat DNSSEC op de officiële ‘pas toe of leg uit-lijst’ van de rijksoverheid staat. En dat is bedenkelijk. Het zou een forse stap voorwaarts zijn als de publieke sector de overstap naar DNSSEC breed zou oppakken. Onze ambtenaren rijden inmiddels toch ook niet meer rond in auto’s zonder gordel? Van een betrouwbare overheid mag ten minste verwacht worden dat haar internetbeveiliging ‘state of the art’ is. En dat is die nu niet.