Gemeenten hard bezig om e-mailbeveiliging te verbeteren

Afgelopen zomer beschikten slechts drie van de vijftig geteste gemeentelijke e-mailsystemen over alle moderne standaarden voor beveiliging, zo bleek uit een onderzoek van Binnenlands Bestuur. Meer dan de helft van de onderzochte gemeenten ging er afgelopen halfjaar alsnog mee aan de slag.

Meer dan de helft houdt nu meer standaarden aan
Den Haag, Woerden en Den Bosch hadden hun e-mail deze zomer als enige gemeenten goed beveiligd. Een nieuw onderzoek van Binnenlands Bestuur, uitgevoerd op 2 december, leert dat inmiddels zestien van de vijftig onderzochte gemeenten beschikken over alle moderne standaarden voor beveiliging tegen spam en phishing. Van de overige 34 gemeenten voldoen er nu veertien gemeenten aan meer standaarden dan bij de eerste test. Meer dan de helft van de onderzochte gemeenten heeft de afgelopen maanden de beveiliging van de e-mailsystemen dus verbeterd. 

Positieve ontwikkeling
Dat is ook hard nodig, vindt het Nationaal Beraad Digitale Overheid, dat zich eind juni al hard maakte voor de implementatie van moderne beveiligingstandaarden bij e-mail: TLS, DKIM, SPF en DNSsec. Het streven is dat alle overheden de standaarden eind 2017 gebruiken. Ook de Informatiebeveiligingsdienst voor gemeenten (IBD) constateert een positieve ontwikkeling. ‘Wat wij zien is dat gemeenten zonder uitzondering de implementatie van de standaarden op de planning hebben gezet’, zo vertelt IBD-woordvoerder Remco Groet. ‘In samenspraak met bureau Forum Standaardisatie hebben we een pakket aan ondersteuning ontwikkeld dat gemeenten helpt om de standaarden te implementeren. Bij enkele standaarden, zoals DMARC, is implementatie geen sinecure. Een te snelle invoering kan leiden tot mails die niet verzonden of ontvangen worden. Dat is voor een gemeente onacceptabel.’

Andere maatregelen
De IBD ziet dat gemeenten op het gebied van e-mailbeveiliging ‘duidelijk voorlopen’ in vergelijking met andere sectoren. Dat blijkt onder meer uit de toepassing van STARTTLS, de standaard die zorgt voor een veilige verbinding met en tussen e-mailservers. ‘Een goede ontwikkeling’, vindt Groet. ‘De e-mailstandaarden bewijzen echter hun grootste nut als zoveel mogelijk organisaties ze geïmplementeerd hebben, dat gaat dus niet alleen over gemeenten maar is een zaak van overheid en niet-overheid.’
Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl.

Zelftest

De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security ­Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden. Deze internetstandaarden – internationale afspraken over de manier waarop de computers onderling communiceren – zijn inmiddels een aantal jaren oud en zorgen onder meer voor een veilige en betrouwbare manier van internet gebruiken. Verplichte internetstandaarden voor de beveiliging van e-mail die gemeenten niet aanhouden, zoals DNSSEC en DKIM ,staan al jaren op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. De standaarden op deze lijst zijn verplicht gesteld voor Nederlandse overheidsorganisaties.

Meer stappen
Overigens is volgens minister Plasterk het gebruik van de beveiligingsstandaarden een belangrijke, maar niet de enige stap bij de herkenning van spam en phishing. ‘Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.’

Onderzochte gemeenten die per 2 december 2016 voldoen aan alle standaarden voor moderne e-mailbeveiliging: Amsterdam, Den Bosch, Den Haag, Dronten, Eersel, Katwijk, Oost Gelre, Staphorst, Veendam, Veenendaal, Vlissingen, Winterswijk, Woerden , Woudenberg, Zaanstad, Zutphen.

Gemeenten die hun e-mailbeveiliging de afgelopen maanden verbeterden: Breda, Brielle, Coevorden,
Geertruidenberg, Groningen, Haaksbergen, Haarlemmerliede, Hollands Kroon, Hoorn, Putten, Raalte, Waalwijk, Zuidhorn, Deventer.

Gemeenten die op 2 december (nog) niet aan meer standaarden voldoen dan bij de eerste test in juni: Alblasserdam, Alkmaar, Boxtel,  Eindhoven, Enkhuizen, Goes, Heemskerk, Heerde, Hillegom, Hilvarenbeek, Hilversum, Leeuwarden, Molenwaard, Nijmegen, Rhenen, Rotterdam, Texel, Urk, Utrecht, Zwolle.