Gemeentelijke e-mail 'gênant slecht' beveiligd

Vrijwel geen gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail, zo blijkt uit een steekproef bij vijftig gemeenten van Binnenlands Bestuur. Criminelen hebben met hun phishingmails vrij spel, terwijl goede beveiliging volgens Internet Society Nederland vrij eenvoudig is te regelen.  

Drie van de vijftig gemeenten voldoen
Uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten blijken slechts drie gemeenten van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Grote gemeenten als Amsterdam, Rotterdam en Utrecht lukt dat niet. Internet Society Nederland spreekt van een ‘probleem’ en ‘een slechte zaak’. De landelijke vereniging van internetprofessionals stelt dat iedere organisatie met een publieke taak in Nederland al lang had kunnen en moeten voldoen aan de minimale standaarden.

E-mails omleiden naar ander adres
Door het niet toepassen van de standaarden blijft het mogelijk om phishingmail te versturen vanuit en naar de gemeenten en zo argeloze ontvangers een bijlage of link met malware te bezorgen. Uit de test van Binnenlands Bestuur blijkt dat bij vijfendertig van de vijftig onderzochte gemeenten het gemeentelijk e-mailadres eenvoudig kan worden omgeleid naar een ander adres. Zo kunnen e-mails van en naar gemeenten bij kwaadwillende personen kunnen terechtkomen. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via wifi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount.

E-mails controleren op vervalsing

Voor de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs. Deze drie standaarden worden meestal gezamenlijk ingezet om te controleren of de afzender (een e-mailadres) en de verzender (een computersysteem) van een e-mailbericht inderdaad kloppen, en of de inhoud van het bericht onderweg niet is veranderd. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.

Beveiligde verbinding niet mogelijk
Ook een beveiligde gegevensuitwisseling via TLS is voor een flink aantal gemeenten een probleem, omdat er geen STARTTLS-standaard wordt aangehouden. Van de vijftig geteste gemeenten zijn er om die reden veertien die geen beveiligde verbinding kunnen opbouwen. Hierdoor is de communicatie per e-mail niet volledig afgeschermd voor onbevoegden.

 
Gemeenten te laat 

Michiel Leenaars, directeur van Internet Society Nederland, stelt dat phishingmails met de juiste internetstandaarden allang op de gemeentelijke server geblokkeerd hadden kunnen worden, waardoor  die dus de gemeentelijke inbox niet bereiken. ‘Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar.’

Behoorlijk laks

Leenaars zegt dat veel overheidsorganisaties behoorlijk laks zijn als het op informatiebeveiliging aankomt. ‘Ook als ze er al jaren op worden gewezen door externe beveiligingsexperts en organisaties als NCSC en Forum Standaardisatie.’ Volgens Leenaars zou iedere organisatie met een publieke taak in Nederland kunnen en moeten voldoen aan de internetstandaarden die op het platform van Internet.nl getest kunnen worden. Hij vindt het ‘gênant’ dat op Den Haag na ook de grootste gemeenten zakken voor de test. ‘Als het de gemeenten Heerlen, Simpelveld, Nuth, en De Friese Meren lukt om er doorheen te komen, dan ligt de lat echt niet te hoog.’

Verplichte veiligheid eenvoudig te testen

Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economisch Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden. Deze internetstandaarden, internationale afspraken over de manier waarop de computers ‘met elkaar praten’, zijn inmiddels een aantal jaren oud en zorgen onder meer voor een veilige en betrouwbare manier van internet gebruiken. Verplichte internetstandaarden voor de beveiliging van e-mail die gemeenten niet aanhouden, zoals DNSSEC en DKIM ,staan al jaren op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie. De standaarden op deze lijst zijn verplicht gesteld voor Nederlandse overheidsorganisaties. De verwachting is dat andere standaarden zoals STARTTLS daar snel aan toegevoegd worden.

Lees het hele artikel in Binnenlands Bestuur nr. 11 (inlog)