Richtlijnen voor meer cybersecurity in België

Waarom komen DNS Belgium en het CCB nu met deze DNS-richtlijnen?

De aanleiding om de handen in elkaar te slaan met het CCB was het onderzoeksrapport naar misbruik van verlopen domeinnamen van ethisch hacker Inti De Ceukelaire. Dat leidde tot een eerste adviesdocument waarbij we ons richtten naar lokale besturen in België. Voor andere richtlijnen hebben we ons voornamelijk gefocust op de rol van DNS in het beveiligen van e-mailinfrastructuur.

Een tijd terug belichtten we hoe cyberveilig Belgische overheidswebsites zijn. Die uitkomst bleek niet helemaal rooskleurig. Waaraan moet een gemeentelijke website minstens voldoen om voldoende cyberveiligheid te bieden aan burgers?

Hier kan je makkelijk een afvinklijstje bij nemen. Volgens mij moet elke gemeentewebsite minimaal voldoen aan deze basisvereisten:

1. Voorzie in een versleutelde internetverbinding via ‘https’
   Hiervoor koop je eenvoudig een SSL of TLS-certificaat aan.
2. Zorg voor een streng beveiligde loginprocedure voor websitebeheer
   Sterke authenticatie betekent dat je minstens tweestapsverificatie voorziet voor alle mensen die je website en bijhorende data beheren.
3. Voer regelmatig software-updates uit
   Zo voorkom je dat je website op verouderde CMS -systemen draait. Oudere softwareversies zijn altijd gevoeliger voor kwetsbaarheden of veiligheidslekken.
4. Beperk het aantal toegangspoorten, elke in- of uitgang is tenslotte een mogelijke aanvalsweg
   Maak dus geen onnodige, openstaande poorten of services.
5. Stel een duidelijk beleid op rond databeveiliging
   Juist omgaan met persoonsgegevens is het absolute minimum, wettelijk bepaald door de GDPR of AVG.

6. Monitor je website en bescherm tegen DDOS-aanvallen.
   Monitor je netwerkverkeer om verdachte patronen en volumetrische aanvallen te detecteren. Gebruik een WAF (Web Application Firewall), al dan niet als onderdeel van een grotere DDOS-beschermingsdienst.

   Verhoog eventueel de netwerkcapaciteit en maak gebruik van loadbalancing. Hiermee spreid je het internetverkeer over meerdere servers. Geen enkele oplossing is honderd procent effectief, dus zorg voor een beveiligingsstrategie die uit meerdere ‘laagjes’ bestaat. 

7. Maak back-ups en wees incidenten voor. 
   Regelmatig back-ups maken en een actieplan klaar hebben voor wanneer een incident zich voordoet, zijn essentieel.
8. Stel security headers in. 
   Denk bijvoorbeeld aan een Content Security Policy (CSP), HSTS en X-Frame-Options. 

Wat zijn mogelijke gevolgen wanneer overheden deze maatregelen niet nemen?

Die gevolgen kunnen ernstig zijn. Er bestaat een hogere kans op datalekken, waardoor burgers het risico lopen op identiteitsdiefstal. Bij onvoldoende beveiliging kan ook gemakkelijker een frauduleuze kopie gemaakt worden van gemeentewebsites en kunnen burgers misleid worden in een phishingaanval. Ook de kans op DDOS- of ransomware-aanvallen zijn groter waardoor de gemeentelijke dienstverlening onderbroken kan worden.  

De overheid moet voorkomen dat burgers hun vertrouwen verliezen in digitale overheidsdiensten, daarvoor alleen al moet ze de nodige beveiliging voorzien. Gemeentes die slecht omgaan met cyberveiligheid komen ook negatief in het nieuws en leiden zo aan reputatieschade.

Kan je als internetgebruiker zien welke site of welk domein beveiligd is en welke niet?

Helaas kan je dit als surfer moeilijk vaststellen. Het veiligheidsniveau van de achterliggende configuratie bij websites en e-mails is niet zichtbaar voor een eindgebruiker. Je kan dus zelf weinig inschatting maken over het beveiligingsniveau.  

Het betekent bijvoorbeeld niet omdat er ‘https’ in de URL staat, dat de website voldoende beveiligd is. Veel beveiligingsmaatregelen zijn niet zichtbaar en situeren zich in de DNS-configuratie. Bij twijfel is het verstandig om geen gevoelige informatie in te vullen en contact op te nemen met de websitebeheerder.