‘Gênant slechte’ beveiliging e-mail

Vrijwel geen gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail, zo blijkt uit een steekproef van Binnenlands Bestuur. Criminelen hebben met hun phishing mails vrij spel. Terwijl de beveiliging eenvoudig is te regelen. 

Drie van vijftig gemeenten voldoen aan verplichte standaarden

Uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten blijken slechts drie van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Grote gemeenten als Amsterdam, Rotterdam en Utrecht lukt dat niet. Internet Society Nederland spreekt van een ‘probleem’ en ‘een slechte zaak’. De landelijke vereniging van internetprofessionals stelt dat iedere organisatie met een publieke taak in Nederland al lang had kunnen en moeten voldoen aan de minimale standaarden (zie kader ‘Verplichte veiligheid eenvoudig te testen’).

Door het niet toepassen van de standaarden blijft het mogelijk om phishing mail te versturen vanuit en naar de gemeenten en zo argeloze ontvangers een bijlage of link met malware te bezorgen. Er is geen grote technische kennis vereist voor het versturen van deze e-mails. Via Emkei’s Fake Mailer, een eenvoudig programma om e-mailadressen te vervalsen en te versturen, slaagde Binnenlands Bestuur er in een handomdraai in om een e-mail met verzonnen naam en e-mailadres in de gemeentelijke mailbox van Raalte te bezorgen. De ontvangstbevestiging op de vervalste mail werd vervolgens succesvol omgeleid naar de mailbox van Binnenlands Bestuur. Criminelen kunnen dus phishing mail zonder veel moeite goed laten aankomen in de gemeentelijke e-mailbox.

Aboutaleb
Bovendien is het mogelijk om het gemeentelijke e-maildomein te gebruiken, waardoor iedereen zich voor kan doen als vertegenwoordiger van de gemeente. Eveneens met Emkei’s Fake Mailer lukte het Binnenlands Bestuur om e-mails rond te sturen met de naam en het e-mailadres van Rotterdams burgemeester Ahmed Aboutaleb (zie screenshots).

Uit de steekproef blijkt ook dat bij vijfendertig van de vijftig onderzochte gemeenten het gemeentelijk e-mailadres eenvoudig kan worden omgeleid naar een ander adres. Zo kunnen e-mails van en naar gemeenten bij kwaadwillende personen terechtkomen. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die weleens via wifi in de trein zijn webmail checkt, is zonder adequate beveiliging (DNSSEC in vaktermen, zie kader ‘Korte cursus’) niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount.

Door het ijs
Bij de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs: zij gebruiken deze niet. De drie standaarden worden meestal gezamenlijk ingezet om te controleren of afzender (e-mailadres) en verzender (computersysteem) van een e-mail­bericht inderdaad kloppen, en of de inhoud van het bericht onderweg niet is veranderd. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.

Ook een beveiligde gegevensuitwisseling is voor een flink aantal gemeenten een probleem, omdat er geen START-TLS-standaard wordt aangehouden. Van de vijftig geteste gemeenten zijn er om die reden veertien die geen beveiligde verbinding kunnen opbouwen. Hierdoor is de communicatie per e-mail niet volledig afgeschermd voor onbevoegden.

Michiel Leenaars, directeur van Internet Society Nederland, stelt dat gemeenten door de juiste internetstandaarden te hanteren de phishing mails allang hadden kunnen blokkeren. ‘Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar.’

Het probleem is volgens hem vooral dat phishing wordt gebruikt als opstapje voor grotere en complexere aanvallen. Leenaars: ‘Zo werd er recent een Oost-Europese crimineel opgepakt die tientallen miljoen verdiende met voorkennis dankzij het onderscheppen van nieuwsberichten.’

Leenaars illustreert wat er mis kan gaan. ‘Een Amsterdammer die vanaf zijn thuiscomputer via e-mail persoonlijke informatie uitwisselt met de gemeente, weet nu niet zeker welke buitenstaanders zijn e-mail allemaal onder ogen hebben gehad.’

Behoorlijk laks
Leenaars zegt dat veel overheidsorganisaties behoorlijk laks zijn als het op informatiebeveiliging aankomt. ‘Ook als ze er al jaren op worden gewezen door externe beveiligingsexperts en organisaties als NCSC en het Forum Standaardisatie. Die laksheid wordt tot nu toe bestuurlijk niet afgestraft, maar gaat wel ten koste van privacy en veiligheid van burgers. En het kan ook flinke economische schade voor ondernemingen tot gevolg hebben.’

Volgens Leenaars zou elke organisatie met een publieke taak in Nederland moeten voldoen aan de standaarden die Internet.nl test. Hij vindt het ‘gênant’ dat op Den Haag na ook de grootste gemeenten zakken voor de test. De beveiliging van e-mail is volgens hem eenvoudig te regelen.

In een reactie aan Binnenlands Bestuur laat de gemeente Amsterdam weten dat er inderdaad nog geen gebruik wordt gemaakt van een aantal standaarden, en dat andere ‘in de voorbereidingsfase ten behoeve van implementatie’ zitten of ‘opgenomen zijn in de planning van dit jaar’. ‘Het is de intentie van de gemeente Amsterdam om volledig aan de genoemde internetstandaarden te gaan voldoen. Dit zal waarschijnlijk in de loop van dit jaar zijn gerealiseerd.’

Leenaars: ‘Als het de gemeenten Heerlen, Simpelveld, Nuth en De Friese Meren lukt om er doorheen te komen, dan ligt de lat echt niet te hoog.’

Verplichte veiligheid eenvoudig te testen
Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economisch Zaken, het Nationaal Cyber Security ­Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden. Deze internetstandaarden, internationale afspraken over de manier waarop de computers ‘met elkaar praten’, zijn inmiddels een aantal jaren oud en zorgen onder meer voor een veilige en betrouwbare manier van internet gebruiken. Verplichte internetstandaarden voor de beveiliging van e-mail die gemeenten niet aanhouden, zoals DNSSEC en DKIM ,staan al jaren op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. De standaarden op deze lijst zijn verplicht gesteld voor Nederlandse overheidsorganisaties. De verwachting is dat ­andere standaarden zoals STARTTLS daar snel aan worden toegevoegd.

Korte cursus digitale beveiliging
• Zonder DNSSEC zijn verzenders van berichten naar een gemeentelijk adres niet beschermd tegen aflevering bij een valse brievenbus.

• DKIM zorgt voor de beveiliging van mailberichten door elk uitgaand bericht van een digitale handtekening te voorzien. Zo wordt voorkomen dat kwaadwillenden een bericht namens een ander kunnen verzenden of een bericht onderweg kunnen veranderen.

• SPF voorkomt dat elektronische brievenbussen mailberichten accepteren van ongeautoriseerde computersystemen. Alleen berichten van systemen die daadwerkelijk berichten voor een specifiek domein mogen versturen, komen er doorheen.

• DMARC is een aanvulling op de andere twee beveiligingsstandaarden voor e-mail, DKIM en SPF. DMARC geeft elektronische brievenbussen een aanwijzing hoe om te gaan met inkomende berichten waarvan de DKIM- of SPF-controle niet in orde blijkt te zijn. Deze worden bijvoorbeeld automatisch weggegooid.

• START-TLS is een uitbereiding van TLS, een cryptografische beveiliging van een internetverbinding. START-TLS zorgt ervoor dat e-mailaccounts zonder TLS alsnog via een beveiligde verbinding kunnen communiceren.