Cyberveiligheid is niet langer een optie, zeker niet voor publieke organisaties. Naast algemene maatregelen zoals encryptie en toegangsbeheer, zijn er ook technische beveiligingslagen die vaak onder de radar blijven – maar een enorm verschil maken. Twee daarvan zijn CSP en DMARC. Wat betekenen die afkortingen? En waarom zijn ze belangrijk? We leggen het je eenvoudig uit.
Wat is CSP?
CSP staat voor Content Security Policy. Het is een beveiligingsmaatregel die je helpt om cross-site scripting (XSS) en code injection-aanvallen te voorkomen. Dit zijn technieken waarbij hackers proberen om kwaadaardige scripts binnen te smokkelen in je website of platform.
Wat doet CSP concreet?
CSP geeft jouw website de instructie: “ik vertrouw enkel inhoud van deze specifieke bronnen.”
Dat betekent bijvoorbeeld dat alleen scripts van jouw domein mogen worden uitgevoerd, en niet van een onbekende of externe bron.
Resultaat: zelfs als een aanvaller ergens een stukje kwaadaardige code probeert in te voegen, wordt dat door de browser geblokkeerd.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het is een techniek die e-mailvervalsing tegengaat – iets waar overheden vaak het slachtoffer van zijn.
Wat doet DMARC concreet?
DMARC zorgt ervoor dat e-mails die uit naam van jouw domein worden verzonden (bv. stadnaam.be), alleen worden geaccepteerd als ze afkomstig zijn van een legitieme server. Alle andere worden geweigerd of gemarkeerd als verdacht.
Resultaat: het wordt voor oplichters veel moeilijker om valse e-mails te sturen ‘namens’ jouw organisatie.
Waarom zijn CSP en DMARC belangrijk voor de publieke sector?
Publieke websites en e-mails zijn een geliefd doelwit. Denk aan:
- Phishingmails die zogezegd van de gemeente komen
- Kwaadaardige scripts op een evenementenpagina
- Formulieren waarin persoonlijke gegevens worden misbruikt
Door CSP en DMARC standaard te voorzien, voorkom je dit soort incidenten. Niet toevallig worden beide technieken dan ook aanbevolen in het kader van NIS2 en door instanties als het Belgian Cyber Security Centre (CCB).
Paddle.be voorziet CSP en DMARC standaard
Werk je met Paddle.be, dan hoef je je hier geen zorgen over te maken. Onze websites voor publieke organisaties:
bevatten:
- Een veilige, op maat ingestelde Content Security Policy
- Worden voorzien van een correct ingestelde DMARC-record, in lijn met SPF en DKIM
- Worden regelmatig gecontroleerd op updates, kwetsbaarheden en misconfiguraties
Lees ook: