De e-mailsystemen van gemeenten zijn gênant slecht beveiligd. Dat zegt het vakblad Binnenlands Bestuur op basis van een steekproef. Van de vijftig onderzochte gemeenten voldeden maar drie aan de verplichte beveiligingsstandaarden voor e-mail: Den Haag, Den Bosch en Woerden. Grote steden als Amsterdam, Rotterdam en Utrecht voldeden niet. Daardoor kunnen kwaadwillenden uit naam van de gemeenten mails met malware en spam naar anderen sturen.
Binnenlands Bestuur heeft in de steekproef gemeenten langs de meetlat van drie internetstandaarden DKIM, SPF en DMARC gelegd. Die standaarden gelden voor het terugdringen van phishing, spam en virussen. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.
Maar liefst zevenenveertig van de vijftig gemeenten zakten bij deze test door het ijs. Bij 35 onderzochte gemeenten bleek het gemeentelijk e-mailadres eenvoudig om te leiden naar een ander adres. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via Wi-Fi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount, aldus Binnenlands Bestuur.
Test
Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
Destemeer reden om een grote cloud provider te gebruiken voor je e-mail.
Goedkoper, beter, veiliger.
Waarom zou een gemeente geld moeten besteden om SPAM software te kopen, in te richten en up-to-date te houden?
Uiteraard zijn er bepaalde bedrijven die best hun eigen e-mail goed kunnen regelen, gemeentes horen daar in mijn ogen niet bij.
Welke dan henri ? Deze blijkbaar niet als we een test je doen ..
https://internet.nl/site/gmail.com/
https://internet.nl/site/mail.google.com/
https://internet.nl/site/login.yahoo.com/
https://internet.nl/site/hotmail.com/
Misschien willen die drie gemeenten die het zelf doen wel een veiligere oplossing 😉
Onzin Dino.
Om drie redenen. De tests zijn incompleet. Zo zie je bijvoorbeeld dat volgens deze test HTTPS niet noodzakelijk is. Good luck with that.
Hoe vaak hebben we gehoord dat Google mail gehackt is (anders dan phishing wat je ook tegengaat met 2 factor authentication)
De testjes komen niet verder dan het schilletje. Zo waarschuwt gmail als DKIM niet gebruikt word of de email afzender mogelijk niet echt de verzender is.
SPAM filters zijn zeer up-to-date, en tal van andere voorbeelden kan ik aanleveren wat Google beter doet dan een standaard gemeente.
Voor email mogen gemeentes niet zomaar een buitenlandse (lees Amerikaanse) provider gebruiken dus zou het pragmatisch ook in Nederland gehost kunnen worden bij een volledige Nederlandse onderneming.
Dat de beveiliging niet op orde is, is een kwalijke zaak maar nou ook bepaald niet een verrassing. Want keer op keer blijkt bij dit soort zaken dat de IT kennis bij gemeentes en de overheid in zijn algemeenheid een verbetering verdient.
De tests zijn opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
SSL/TLS wordt wel degelijk getest met de URL’s in mijn vorige reactie. Er wordt zelfs gecheckt of http automatisch naar https redirected wordt.
Waarom geloof je dat 47 gemeenten wel door het ijs zakken maar jouw favoriete providers niet ?
Nationaal Cyber Security Centrum vs het evangelie van Henri.
Gij zult geen andere goden voor Mijn aangezicht hebben dan Cloud.
Gij zult u voor die niet buigen, noch hen dienen; want Ik, de Cloud ben uw God.
Ik heb bij dit artikel zo iets dat het mij niet eens meer verbaast. Van de miljarden en miljoenen aan landelijke en lokale belastingen zie je stelselmatig dat politiek en ambtenaren volkomen impotent en incompetent, pocesjes volgen en stellen… ja maar het procesje is toch gevolgd dus…
IT ICT kennis van zaken komen van externe leveranciers en partijen die hetzelfde doen wat ambtenaren doen. Procesjes volgen en vooral niet proactief worden want daar schrikken vooral het ambtelijke kader van en nee, dat moet je niet willen.
Henri haalt weliswaar een mogelijke oplossing aan naar voren maar het probleem is anders. Incompetentie en impotentie maar meer en ernstiger nog, niet de visie en klaarblijkelijk niet de drive proactiever met een materie als IT om te gaan. Je vraagt je af waarvoor je dan nog belastingen betaald.
Voor deze nonsens?
Johan, de kneep zit hem in “zomaar”:
“Voor email mogen gemeentes niet zomaar een buitenlandse (lees Amerikaanse) provider gebruiken”
Want naar mijn weten is er niets wat gemeentes verbied om bijv. MS of Google te gebruiken.
Dino, ik heb me niet verdiept hoe NCSC bepaald of een gemeente veilig of onveilig is met zijn e-mail, maar ik kan met grote zekerheid beweren dat de URL’s de je gebruikt niet afdoende zijn om te veiligheid van een site vast te stellen. Zo *kun* je naar mijn weten google niet gebruiken over HTTP (de URL), ik laat me graag overtuigen dat ik dit fout heb. Ook de POP / IMAP kunnen naar mijn weten absoluut niet over HTTP benaderd worden en zelfs SMTP kan niet onbeveiligd benaderd worden.
Ik heb geen voorliefde voor Amazon, Google of Microsoft. Ik ruil ze net zo gemakkelijk in voor iets anders en dat heb ik al gedaan (als voormalig .NET ontwikkelaar), als er een goede NL provider is die e-mail goed regelt, dan is dat prima.
Mijn punt is meer dat e-mail domweg niet iets is wat je zelf zou moeten doen. Email is commodity en zou als zodanig behandeld moeten worden. Je gaat ook niet zelf je brieven en pakketjes afleveren bij je klanten.
Zo vind ik het al belachelijk dat iedere gemeente zijn eigen wiel uit loopt te vinden.
Waar ik heel veel bewondering en inspiratie voor heb zijn de design principles van de engelse overheid: https://www.gov.uk/design-principles
Het grote probleem bij gemeenten is de autoritaire opstelling die bij zoveel ambtenaren een probleem is: Wij weten het zelf wel, en jij als burger hoeft mij als ambtenaar niet te vertellen hoe iets moet. Een aantal jaren geleden hetzelfde gehad met mijn lokale gemeente, waar ik de ‘postmaster’ opmerkzaam maakte dat de Sonicwall die men gebruikte als mail relay/mail filter enz. zwaar verouderde firmware bevatte, en dus erg makkelijk te hacken was. Als antwoord van deze beheerder kreeg ik de vraag waar ik me mee durfde te bemoeien, en of ik wel wist dat hacken van een gemeente-installatie strafbaar was (ik had de informatie gewoon uit de internet header van een ontvangen mail gehaald, dus niks hacken). Zolang zulke onbenullen bij gemeenten de dienst uit blijven maken, en de overheid geen harde eisen gaat stellen (bijvoorbeeld alle websites van de gemeente verplicht achter een HTTPS verbinding, en het certificaat uitgereikt door PKI Overheid), en ook gaat optreden, blijft dit gewoon bestaan. Er is niks zo arrogant als een ambtenaar.
Voor de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs.
Een aantal gemeenten gebruiken daarom ook al Office 365
https://blogs.office.com/2015/01/20/enhanced-email-protection-dkim-dmarc-office-365/
Henri,
pop/imap over tls/ssl neem ik aan dat je bedoelt.
Kan er verder niet snel op reageren.
Eerst mijn eigen servers en domeinen zoveel mogelijk aan die standaarden laten voldoen. Is nog niet zo eenvoudig. Wil je het echt helemaal voor elkaar hebben dan dienen je domeinen gehost te worden door DNS servers die allemaal DNSSEC ondersteunen. Nu beheer ik op een VPS de DNS (hidden) master van mijn eigen domeinen, maar maak ik gebruik van de DNS slaves mijn mijn provider.
Van een van mijn providers (CloudVPS) kreeg ik vandaag dit bericht toen ik informeerde naar de mogelijkheden van hun DNS slaves :
Goedendag,
Onze DNS servers ondersteunen dit op dit moment niet. Het is mogelijk dat dit gaat veranderen, echter dit staat nog niet op de planning.
Als u van DNSSEC gebruik wilt maken dient u of uw eigen dnsservers hiervoor op te zetten of gebruik te maken van dns servers welke dit wel ondersteunen.
Met vriendelijke groet,
{xxxx xxxx}
System Administrator
Ik denk dan. Fijn die Cloud en Virtueel enzo. Maar Voor Henri betekent dit natuurlijk dat je nog minder zelf moet beheren en geen IaaS moet afnemen maar PaaS.