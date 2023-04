Alle Nederlandse overheidsorganisaties moeten voor het einde van 2024 verplicht Resource Public Key Infrastructure (RPKI) voor alle gebruikte ip-adressen en overheidsnetwerken toepassen. Dat is afgesproken tijdens het Overheidsbreed Beleidsoverleg Digitale Overheid dat vorige week plaatsvond. Het gaat hier om een streefbeeldafspraak, wat inhoudt dat RPKI zowel bij nieuwe aanschaffen vereist is, maar ook op alle bestaande overheidssystemen geïmplementeerd moet worden.

Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer wordt omgeleid.

Een voorbeeld hiervan is een incident waarbij een set ip-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt werd door een Bulgaarse netwerkbeheerder. Bij een ander voorbeeld in 2019 werd netwerkverkeer van onder andere KPN omgeleid naar China Telecom. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders de keten kunnen valideren.

Hiervoor worden digitale certificaten gebruikt. Die geven aan naar welke netwerkprovider (‘oorsprong’) het internetverkeer voor een bepaald ip-adres verstuurd dient te worden. Deze certificaten worden centraal opgeslagen, wat het voor netwerkproviders wereldwijd mogelijk maakt de routes van internetverkeer te valideren. "Hiermee beveiligt RPKI een fundamenteel onderdeel van het internet", aldus het Forum Standaardisatie.

Sinds 2019 staat RPKI op de ‘pas toe of leg uit’-lijst en moeten overheidsorganisaties het eisen tijdens de aanschaf van ict-diensten en -systemen. Door de nu gemaakte streefbeeldafspraak moet het ook voor alle bestaande systemen worden geïmplementeerd. Uit een nulmeting van afgelopen december blijkt dat 78 procent van de overheidswebsites RPKI volledig ondersteunt, tegenover 75 procent van de e-maildomeinen. Uit de meting blijkt dat vooral lokale overheden nog stappen te zetten hebben.