De e-mailsystemen van gemeenten zijn gênant slecht beveiligd. Dat zegt het vakblad Binnenlands Bestuur op basis van een steekproef. Van de vijftig onderzochte gemeenten voldeden maar drie aan de verplichte beveiligingsstandaarden voor e-mail: Den Haag, Den Bosch en Woerden. Grote steden als Amsterdam, Rotterdam en Utrecht voldeden niet. Daardoor kunnen kwaadwillenden uit naam van de gemeenten mails met malware en spam naar anderen sturen.
Binnenlands Bestuur heeft in de steekproef gemeenten langs de meetlat van drie internetstandaarden DKIM, SPF en DMARC gelegd. Die standaarden gelden voor het terugdringen van phishing, spam en virussen. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.
Maar liefst zevenenveertig van de vijftig gemeenten zakten bij deze test door het ijs. Bij 35 onderzochte gemeenten bleek het gemeentelijk e-mailadres eenvoudig om te leiden naar een ander adres. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via Wi-Fi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount, aldus Binnenlands Bestuur.
Test
Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
Dino,
DNSSEC is in mijn ogen om “man in the middle attack” lastig te maken, dus gebruikers die open wifi spots gebruiken of inloggen op spots met slechte bedoelingen. Er kleven ook nogal wat nadelen aan, vooral in een multi-tenant omgeving en in situaties waarbij je schaalbaar wilt zijn, het is ook een performance hit.
Overigens bedoel ik naast pop/imap ook gewoon de websites mail.google.com. Deze zijn *niet* over HTTP te benaderen. Terwijl internet.nl aangeeft dat het wel kan. Of zij weten / kunnen iets wat ik niet na kan bootsen, of hun test is domweg niet compleet.
Google zal zijn redenen hebben om DNSSEC niet in te zetten. Wat zij wel doen is pro actief waarschuwen als de email word benaderd op een nieuwe computer of vanaf een vreemd adres.
Nu is Google of Cloud zeker niet heilig bij me, al komt dat wellicht wel zo over. Misschien zit ik wat verder op de school van “pro” om tegengewicht te bieden aan al die it-ers die ertegen zijn.
Ik hoop wel dat ik goed onderbouw *waarom* ik voor bepaalde diensten kies. Dus dat het geen lege huls verhaal is. Je bent dan ook heel erg welkom om bij mij op kantoor langs te komen zodat ik laat zien hoe ik de dingen doe. Heb al wat vaker criticasters langs gehad en langskomen is dan een goede remedie.
Een paar jaar terug had ik er ook een paar uitgenodigd op bezoek bij Centric. Daar lieten ze me totaal niet aan het woord wat een gemiste kans was (voor hun uiteraard). Ik sta altijd open om iets nieuws te leren….
Wat ik overigens leuk vind aan CloudVPS is dat ze zo lekker aan het pionieren zijn (o.a. met OpenStack), alleen hoor ik daar de laatste tijd niet meer zoveel over…
Het verbaasd mij niets. Security vindt men best belangrijk maar bijna niemand heeft er veel geld voor over. Daarnaast hebben beheerders doorgaans weinig kennis van deze kwetsbaarheden. Het zou helpen als er wetgeving komt voor verplichte audit controles met certificering. Net als de financiële audit zullen alle ICT systemen van bedrijven en instanties veilig genoeg moeten worden. In de toekomst zal blijken dat security een van de belangrijkste onderwerpen wordt binnen de ICT. Feitelijk is dat nu al zo, maar het wordt nog niet als zodanig erkend.
Het grote probleem bij gemeenten is de autoritaire opstelling die bij zoveel ambtenaren een probleem is: Wij weten het zelf wel, en jij als burger hoeft mij als ambtenaar niet te vertellen hoe iets moet. Een aantal jaren geleden hetzelfde gehad met mijn lokale gemeente, waar ik de ‘postmaster’ opmerkzaam maakte dat de Sonicwall die men gebruikte als mail relay/mail filter enz. zwaar verouderde firmware bevatte, en dus erg makkelijk te hacken was. Als antwoord van deze beheerder kreeg ik de vraag waar ik me mee durfde te bemoeien, en of ik wel wist dat hacken van een gemeente-installatie strafbaar was (ik had de informatie gewoon uit de internet header van een ontvangen mail gehaald, dus niks hacken). Zolang zulke onbenullen bij gemeenten de dienst uit blijven maken, en de overheid geen harde eisen gaat stellen (bijvoorbeeld alle websites van de gemeente verplicht achter een HTTPS verbinding, en het certificaat uitgereikt door PKI Overheid), en ook gaat optreden, blijft dit gewoon bestaan. Er is niks zo arrogant als een ambtenaar.
Een steekproef (50 van de 390) onder gemeenten die aantoont dat 95% geen veilige e-mail systeem heeft klinkt zorgwekkend maar is helaas maar het topje van de ijsberg. Zo was er een minister die tegen regels in zijn zakelijke e-mail doorstuurde naar een privé-mail adres. Waarschijnlijk deed hij dit net als veel ambtenaren omdat hij meerdere (zelf meegenomen) apparaten heeft en zijn e-mail daarom liever op server van een provider laat staan?
@René Civile
Wat een bijzonder taalgebruik hou jij er op na!
“IT ICT”, “impotent en incompetent”…
Mijn dringende verzoek: stop er aub mee!
Het is niet correct, het is niet grappig, het wekt alleen irritatie op.
Vreemd, veel mening en weinig konkrete uitspraken bahalve van Dino.
HTTPS voor E-Mail is geen grote kunst net als IMAP over SSL TLS, omleiding van HTTP naat https is eenvoudig in een .htaccess te stoppen.
DNSSec is volgens de vele artikelen in internet zeker geen performancekiller, het wordt gewoon nog te weinig door hosters ondersteund.
Wie zich in de materie verdiept vindt dat het misschien niet eenvoudig is maar veilige e-mail is wel degelijk te realiseren zonder al te grote inspanningen.
Een USA-firma kiezen voor gemeentelijke e-mail zou verboden moeten worden gezien de overduidelijke problemen met spionage (NSA etc.) de overheid kan makkelijk een eigen initiatief voor gemeenten ondersteunen.
@Frank Heikens
IT ICT is helemaal zo vreemd niet als je de vraag vaker krijgt wat nu het verschil is tussen IT en ICT. Me dunkt dat reacties ook voor de niet ingevoerde geïnteresseerde is. (?!?)
Je maakt mij nieuwsgierig. Wat is niet correct in jouw ogen? Dat schade niet zou worden veroorzaakt door incompetentie en impotentie? In beide gevallen vind ik dat stuitend en allerminst ‘grappig’.
@René
Naast jou gebruikt niemand “IT ICT”. Kies er één, en gebruik die. Nu doe je het half dubbelop, en dus fout.
Het verschil tussen IT en ICT is vrij eenvoudig: de C! Die C, Communicatie, is er later bijgekomen. Met communicatie in de IT context worden netwerken, internet en telefonie bedoeld. Vandaar dat Informatie Technologie werd uitgebreid naar Informatie en Communicatie Technologie.
En voor jouw andere bijzondere stukje taalgebruik, “impotent en incompetent”, heb ik een advies voor jou: Google eens op het woord “impotent”; ik heb het vermoeden dat je geen flauw benul hebt wat het betekent! Het heeft namelijk helemaal niks te maken met incompetent en ICT.
En ik maar denken dat ICT de dla is voor InCompeTent.
Frank Heikens,
IT gaat om de toegepaste kennis m.b.t. het ontwerpen en beheren van informatiesystemen wat meer omvat dan technisch overdrachtelijke communicatie. Digitale optimisten vergeten nog dat in de mens-to-machine en vice versa overdacht ook logische protocollen zitten die van informatie data maken en andersom.
Dat deze scheiding – net als tussen de Systems of Record en Systems of Engagement – lang niet altijd meer duidelijk is blijkt wel uit het digitale opportunisme dat telkens probeert op de postzegels te bezuinigingen maar de prijs van enveloppen vergeet. De digitale ganzenveer van e-mail is GEEN informatiesysteem alleen een digitale postbus, veelal de equivalent voor X.400 binnen al wat oudere informatiesystemen.