Belangrijkste conclusies
- Veel overheidsdiensten leven aanbevelingen voor robuuste DNS-configuratie na, maar er is ruimte voor verbetering.
- Circa 50% hebben een kritische single point of failure. Dit leidt tot een onnodig risico voor falen.
- De vergelijking met Zweden, Zwitserland en de Verenigde Staten levert grotendeels vergelijkbare resultaten op.
Samenvatting
Mattijs Jonker (Universiteit Twente) en Giovane Moura (SIDN Labs) vertelden tijdens hun sessie over het onderzoek dat ze hebben uitgevoerd naar de robuustheid van onze digitale overheid. Het initiatief voor dit onderzoek is genomen door NCSC. Zij wilden meer zicht op de toepassing van best practices in de DNS-infrastructuur van Nederlandse overheidsdiensten. “Een van de belangrijkste bevindingen uit ons onderzoek is dat de helft van alle overheidsdomeinen afhankelijk is van 1 DNS-aanbieder. In de VS is dat zelfs 80%. Foei!”, Mattijs Jonker, Universiteit Twente
Giovane benadrukte in zijn deel het belang van digitale robuustheid van overheidsdiensten. Bijna 98% van alle Nederlanders heeft toegang tot internet. Deze Nederlanders maken actief gebruik van de diensten die de overheid via allerlei websites aanbiedt. De digitale overheid moet dan ook betrouwbaar en robuust zijn. “Internet zonder DNS is als een snelweg zonder borden”, Giovane Moura, SIDN Labs.
Mattijs gaf aan dat het DNS essentieel is voor een robuuste digitale overheid. Hoofdvraag van het onderzoek was dan ook of de DNS-infrastructuur voor Nederlandse overheidsdiensten conform de aanbevelingen is geconfigureerd. Dit onderzochten ze niet alleen voor Nederland, maar ze vergeleken de resultaten ook met die van Zweden, Zwitserland en de Verenigde Staten.
Uit het onderzoek bleek dat bij de meeste overheidsdomeinen de regels voor een goede weerbaarheid werden nageleefd, maar bij een aantal domeinen werden risico’s aangetroffen die eenvoudig te verhelpen zijn. Een eerste probleem was dat zowel de primaire als de secundaire DNS-servers van domeinen bij een en dezelfde partij draaiden. Een tweede probleem was dat de DNS-servers direct of indirect afhankelijk waren van een enkel topleveldomein. Naast deze risico’s vonden de onderzoekers nog configuratiefouten en een lage toepassing van anycast.
Als aanbevelingen kwamen de onderzoekers met het advies om te diversifiëren en dus met meerdere DNS-aanbieders te werken, om anycast te gebruiken voor extra weerbaarheid en lagere TTL-waarden te overwegen. “Onze conclusie: veel overheidsdiensten leven aanbevelingen voor een robuuste DNS-configuratie na, maar er is ruimte voor verbetering”, Mattijs Jonker.
Discussie
Vanuit de zaal kwam direct de reactie dat de rijksoverheid de aanbevelingen ter harte heeft genomen. Het ministerie van Algemene Zaken is binnen de rijksoverheid verantwoordelijk voor de overheidsdomeinen. Ze zijn bezig om de aanbevelingen op te pakken. De afgelopen 20 jaar is binnen de rijksoverheid een wildgroei aan domeinnamen ontstaan. Dus dit kost nog wat meer tijd.
Ook werd aangegeven dat het voor gemeenten best lastig is om de aanbevelingen op te pakken. Je hebt expertise nodig en die is in veel gemeenten niet aanwezig. Dat is ook de reden waarom de onderzoekers een secundair DNS op overheidsniveau aanraden waar gemeenten bij aan kunnen sluiten.
Anycast is technisch moeilijk te detecteren. Er werd gevraagd of er een techniek beschikbaar is om dit te detecteren. Mattijs Jonker antwoordde dat ze bij de universiteit Twente een techniek hebben ontwikkeld om anycast te detecteren.
Als mogelijk vervolg op dit onderzoek gaven deelnemers aan dat het interessant zou zijn om een onderscheid te maken tussen kritische en minder belangrijke websites. Ook zou het interessant zijn om naar het DNS van ISP’s te kijken.
Presentatie
Hoe robuust is onze digitale overheid?: Powerpoint in PDF versie.