De e-mailsystemen van gemeenten zijn gênant slecht beveiligd. Dat zegt het vakblad Binnenlands Bestuur op basis van een steekproef. Van de vijftig onderzochte gemeenten voldeden maar drie aan de verplichte beveiligingsstandaarden voor e-mail: Den Haag, Den Bosch en Woerden. Grote steden als Amsterdam, Rotterdam en Utrecht voldeden niet. Daardoor kunnen kwaadwillenden uit naam van de gemeenten mails met malware en spam naar anderen sturen.
Binnenlands Bestuur heeft in de steekproef gemeenten langs de meetlat van drie internetstandaarden DKIM, SPF en DMARC gelegd. Die standaarden gelden voor het terugdringen van phishing, spam en virussen. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.
Maar liefst zevenenveertig van de vijftig gemeenten zakten bij deze test door het ijs. Bij 35 onderzochte gemeenten bleek het gemeentelijk e-mailadres eenvoudig om te leiden naar een ander adres. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via Wi-Fi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount, aldus Binnenlands Bestuur.
Test
Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
@WRM
In de (al zeer ver van het oorspronkelijke onderwerp afgedreven) discussie met René gaat het om de termen IT en ICT, die door velen als synoniem worden gezien, en ook door elkaar gebruikt worden.
Als het toch een principe-discussie wordt: I(C)T-ers communiceren zelf slecht (hoezo generaliseren), dus laten we het over IT hebben!
Frank Heikens,
Als we een inhoudelijke discussie over de IT willen voeren dan moeten we ophouden met pleisters plakken in de IT-infrastructuur. Voor alle duidelijkheid, X.400 werd veel gebruikt binnen Europa voor EDI-systemen (hopelijk is begrip bekend) omdat het veel veiliger is dan SMTP waardoor spoofing onmogelijk is:
https://www.computable.nl/artikel/columns/netwerken/1398353/1509086/x400-als-standaard-voor-edi.html
Toen Computable nog een IT-vakblad was…..
Voorspelling van Healey is (nog) niet uitgekomen omdat X.400 alleen populair was in Europa en in de US alleen gebruikt werd/wordt door defensie en luchtvaart. Nu ‘privacy-by-design’ principe over 22 maanden verplicht is in berichtenuitwisseling waarin persoonsgegevens in de ‘payload’ zit kan dat alsnog veranderen, zeker nu er beter geluisterd wordt naar IT-ers.
René heeft gelijk alleen weet hij nog niet waarom, ministerie van Economische Zaken stond namelijk raar te kijken toen er plotseling een beschermingsconstructie voor de KPN was om de strategische IT-infrastructuur te beschermen:
http://www.nrc.nl/handelsblad/2013/11/09/vijf-oudere-heren-stopten-de-overval-door-de-rijkste-1315007
Termen als incompetentie lijken me dus gerechtvaardigd als we kijken naar de wijze waarop andere landen in Europa dit geregeld hebben, slap lullen en dik vullen gaat off-topic maar is wel iets om naar te kijken als we informatiestromen gaan tappen. Veel gemeenten hebben het digitale kanaal (e-mail) voor de WOB afgesloten maar lekken informatie doordat ze net als minister Kamp op oneigenlijke wijze e-mail gebruiken. Uiteraard ben ik een gehoorzame burger en verwijder direct – zoals in voetnoot staat – berichten die niet voor mij bestemd zijn maar wel aan mij geadresseerd;-)
@Wieroeptmij
Dank voor je opmerkingen. Het gaat mij niet om het gelijk, het gaat mij erom dat de klant begrijpt wat IT ICT is, hoe het werkt en hoe er mee om te gaan. Gezien de tal van discussies alleen al betreffende dit stukje ‘ proves my point’ dat de commercie er maar niet in blijkt te slagen dit over te brengen, met alle gevolgen van dien.
@Frank Heikens
Impotentie is de inertie beslissingen of verantwoordelijkheid te nemen in dit geval en plaatsen we dit bij manager, politicus of ambtenaar dan zijn dit mensen die op key posities zitten maar niet tot heldere keuze komen. Desastreus vaak voor menig IT project en traject. Me dunkt niet al te ingewikkeld.
Ik vind de rest van deze discussie verder weinig interessant. Het gaat om de publicatie en niet of je een gebruikte term welgevallig bent of niet. -> end