Spoofen en afluisteren e-mail Nederlandse overheden?

Gepubliceerd op 17 juni 2020 om 19:16

Een aanzienlijk deel van de Nederlandse overheden heeft de e-mailbeveiliging nog altijd niet goed op orde en heeft daarmee de derde streef beeld afspraak die eind 2019 afliep niet gehaald. E-mail van ongeveer de helft van de 548 onderzochte overheidsdomeinen is kwetsbaar voor spoofing en/of afluisteren.

Het Forum Standaardisatie

Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaarden beleid. Elk halfjaar voert het een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd.

E-mail beveiligings standaarden

Dat blijkt uit een meting van het Forum Standaardisatie. Binnen de overheid zijn afspraken gemaakt om verschillende e-mail beveiligings standaarden uit te rollen, de zogeheten streef beeld afspraken. Alle overheden moesten vorig jaar in ieder geval STARTTLS en DANE voor encryptie van mailverkeer en SPF en DMARC juist hebben ingesteld.

Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. DMARC helpt, in combinatie met e-mailstandaarden DKIM en SPF, om e-mail spoofing te voorkomen. Daarbij is het belangrijk dat het DMARC-beleid goed is ingesteld, zodat de ontvanger weet wat er met verdachte e-mail moet gebeuren.

Slechts bij de helft

Ondanks de afspraken blijkt dat slechts bij de helft van de onderzochte overheidsdomeinen DMARC en DANE voor e-mail worden toegepast. "Dat betekent bijvoorbeeld dat mails van fraudeurs die afzender adressen van de overheid misbruiken nog steeds bij burgers en bedrijven aankomen. Op die plekken waar DMARC nog steeds niet streng is afgesteld, kunnen bijvoorbeeld ook de mailadressen van bewindspersonen en bestuurders worden misbruikt", aldus het Forum Standaardisatie, dat de cijfers zorgelijk noemt.

Gemiddeld genomen scoort de Rijksoverheid het best als het gaat om de adoptie van e-mailstandaarden, gevolgd door gemeenten, uitvoerders, provincies en waterschappen. Zo is voor gemiddeld 19 procent van de provinciedomeinen DANE ingeschakeld. Bij de waterschappen is dit 24 procent. Het juist instellen van DMARC ligt bij de verschillende overheden tussen de 50 en 59 procent.

Volgens het Forum Standaardisatie is het belangrijk dat overheden die nog niet aan de standaarden voldoen met hun leveranciers overleggen om dit te realiseren. Wanneer de huidige leverancier onvoldoende meewerkt moet worden overwogen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden, aldus het advies van het Forum.

Rapport Meting Informatieveiligheidstandaarden Maart 2020
PDF – 5,1 MB 470 downloads

Bron: Security, Forumstandaardisatie