of 59045 LinkedIn

Gemeentelijke e-mail 'gênant slecht' beveiligd

Vrijwel geen gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail, zo blijkt uit een steekproef bij vijftig gemeenten van Binnenlands Bestuur. Criminelen hebben met hun phishingmails vrij spel, terwijl goede beveiliging volgens Internet Society Nederland vrij eenvoudig is te regelen.

Vrijwel geen gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail, zo blijkt uit een steekproef bij vijftig gemeenten van Binnenlands Bestuur. Criminelen hebben met hun phishingmails vrij spel, terwijl goede beveiliging volgens Internet Society Nederland vrij eenvoudig is te regelen.  

Drie van de vijftig gemeenten voldoen
Uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten blijken slechts drie gemeenten van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Grote gemeenten als Amsterdam, Rotterdam en Utrecht lukt dat niet. Internet Society Nederland spreekt van een ‘probleem’ en ‘een slechte zaak’. De landelijke vereniging van internetprofessionals stelt dat iedere organisatie met een publieke taak in Nederland al lang had kunnen en moeten voldoen aan de minimale standaarden.


E-mails omleiden naar ander adres
Door het niet toepassen van de standaarden blijft het mogelijk om phishingmail te versturen vanuit en naar de gemeenten en zo argeloze ontvangers een bijlage of link met malware te bezorgen. Uit de test van Binnenlands Bestuur blijkt dat bij vijfendertig van de vijftig onderzochte gemeenten het gemeentelijk e-mailadres eenvoudig kan worden omgeleid naar een ander adres. Zo kunnen e-mails van en naar gemeenten bij kwaadwillende personen kunnen terechtkomen. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via wifi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount.


E-mails controleren op vervalsing

Voor de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs. Deze drie standaarden worden meestal gezamenlijk ingezet om te controleren of de afzender (een e-mailadres) en de verzender (een computersysteem) van een e-mailbericht inderdaad kloppen, en of de inhoud van het bericht onderweg niet is veranderd. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.


Beveiligde verbinding niet mogelijk
Ook een beveiligde gegevensuitwisseling via TLS is voor een flink aantal gemeenten een probleem, omdat er geen STARTTLS-standaard wordt aangehouden. Van de vijftig geteste gemeenten zijn er om die reden veertien die geen beveiligde verbinding kunnen opbouwen. Hierdoor is de communicatie per e-mail niet volledig afgeschermd voor onbevoegden.

 
Gemeenten te laat 

Michiel Leenaars, directeur van Internet Society Nederland, stelt dat phishingmails met de juiste internetstandaarden allang op de gemeentelijke server geblokkeerd hadden kunnen worden, waardoor  die dus de gemeentelijke inbox niet bereiken. ‘Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar.’

Behoorlijk laks

Leenaars zegt dat veel overheidsorganisaties behoorlijk laks zijn als het op informatiebeveiliging aankomt. ‘Ook als ze er al jaren op worden gewezen door externe beveiligingsexperts en organisaties als NCSC en Forum Standaardisatie.’ Volgens Leenaars zou iedere organisatie met een publieke taak in Nederland kunnen en moeten voldoen aan de internetstandaarden die op het platform van Internet.nl getest kunnen worden. Hij vindt het ‘gênant’ dat op Den Haag na ook de grootste gemeenten zakken voor de test. ‘Als het de gemeenten Heerlen, Simpelveld, Nuth, en De Friese Meren lukt om er doorheen te komen, dan ligt de lat echt niet te hoog.’

 

Verplichte veiligheid eenvoudig te testen

Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economisch Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden. Deze internetstandaarden, internationale afspraken over de manier waarop de computers ‘met elkaar praten’, zijn inmiddels een aantal jaren oud en zorgen onder meer voor een veilige en betrouwbare manier van internet gebruiken. Verplichte internetstandaarden voor de beveiliging van e-mail die gemeenten niet aanhouden, zoals DNSSEC en DKIM ,staan al jaren op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie. De standaarden op deze lijst zijn verplicht gesteld voor Nederlandse overheidsorganisaties. De verwachting is dat andere standaarden zoals STARTTLS daar snel aan toegevoegd worden.

 

Lees het hele artikel in Binnenlands Bestuur nr. 11 (inlog)

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Wouter van den Brink (Eigenaar ) op
Makkelijke, efficiënte en veilige oplossing kan snel worden geleverd met Aangetekend Mailen. Deze voldoet aan alle standaarden en biedt zelfs meer
Door eva op
@ENSCHEDE; een Wob verzoek met een advies slaat natuurlijk ook nergens op. Een Wob verzoek is een verzoek om informatie. Als de gemeente zou reageren met 'bedankt voor het advies', had je een dwangsom gekregen. Wees blij dat de gemeente Enschede zo zuiver is om met een Wob besluit te reageren op een Wob verzoek. Anders zou het een hoop belastingcenten kosten.
Door Ellen op
Gelukkig is er volgens de minister geen probleem:

https://www.security.nl/posting/473346/Plasterk% …

Zou ik alleen nog wel even een heel strakke definitie willen van "toegerust". Het klinkt mij niet genoeg naar "ze doen het veilig".

En verder: elke grote stad mag zich wel diep schamen. Maar ja, memo's zullen er vast genoeg liggen overal. Misschien kunnen ze die opstapelen en daar de e-mail mee beveiligen.

Toch wel gek dat de overheid in Nederland zich nooit aan haar eigen wet- en regelgeving hoeft te houden. Ik heb sinds de Magna Carta ergens een ontwikkeling gemist geloof ik.
Door robert (gemeentejurist) op
@ Enschede: Dat je een 'advies' stuurt in de vorm van een Wob', is zeker goed naoberschap? En dat je vraagt om een antwoord had zeker ook niets te maken met de Wet dwangsom??
Door ENSCHEDE (MELDER) op
Enschede stuur je een WOB met het advies eens naar de lekke systemen te kijken, heb je een strijd over het wel of niet beantwoorden van je WOB. Vervolgens is je fax en per post verzonden brief ineens weg en is het geheugen van 100 ambtenaren eveneens ineens geheel gewist! Jurist en ambtenaar liegen de wethouders een stuk in de strot en niemand doet wat. Voorbeelden van diverse burgers en instellingen ten over. DIT IS AMBTENARIJ ENSCHEDE, lak aan de burger en zo lek als een mandje.

Relevante Parlementaire Dossiers