Gemeentemail nu beter beveiligd

Ruim helft gemeenten heeft maatregelen genomen

Den Haag, Woerden en Den Bosch hadden hun e-mail deze zomer als enige gemeenten goed beveiligd. Een nieuw onderzoek van Binnenlands Bestuur, uitgevoerd op 2 december, leert dat inmiddels zestien van de vijftig onderzochte gemeenten beschikken over alle moderne standaarden voor beveiliging tegen spam en phishing (zie kader). Van de overige 34 gemeenten voldoen er nu dertien gemeenten aan meer standaarden dan bij de eerste test. Meer dan de helft van de onderzochte gemeenten heeft de afgelopen maanden de beveiliging van de e-mailsystemen dus verbeterd.

Dat is ook hard nodig, vindt het Nationaal Beraad Digitale Overheid, dat zich eind juni al hard maakte voor de implementatie van moderne beveiligingsstandaarden bij e-mail: TLS, DKIM, SPF en DNSse. Het streven is dat alle overheden de standaarden eind 2017 gebruiken. Ook de Informatiebeveiligingsdienst voor gemeenten (IBD) constateert een positieve ontwikkeling. ‘Wat wij zien is dat gemeenten zonder uitzondering de implementatie van de standaarden op de planning hebben gezet’, zo vertelt IBD-woordvoerder Remco Groet. ‘In samenspraak met bureau Forum Standaardisatie hebben we een pakket aan ondersteuning ontwikkeld dat gemeenten helpt om de standaarden te implementeren. Bij enkele standaarden, zoals DMARC, is implementatie geen sinecure. Een te snelle invoering kan leiden tot mails die niet verzonden of ontvangen worden. Dat is voor een gemeente onacceptabel.’

Andere maatregelen
De IBD ziet dat gemeenten op het gebied van e-mailbeveiliging ‘duidelijk voorlopen’ in vergelijking met andere sectoren. Dat blijkt onder meer uit de toepassing van STARTTLS, de standaard die zorgt voor een veilige verbinding met en tussen e-mailservers. ‘Een goede ontwik- keling’, vindt Groet. ‘De e-mailstandaarden bewijzen echter hun grootste nut als zoveel mogelijk organisaties ze hebben geïmplementeerd, dat gaat dus niet alleen over gemeenten maar is een zaak van overheid en niet-overheid.’

Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet. nl. De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden. Deze internetstandaarden – internationale afspraken over de manier waarop de computers onderling communiceren – zijn inmiddels een aantal jaren oud en zorgen onder meer voor een veilige en betrouwbare manier van internet gebruiken.

Verplichte internetstandaarden voor de beveiliging van e-mail die gemeenten niet aanhouden, zoals DNSSEC en DKIM ,staan al jaren op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. De standaarden op deze lijst zijn verplicht gesteld voor Nederlandse overheidsorganisaties. Overigens is volgens minister Plasterk het gebruik van de beveiligingsstandaarden een belangrijke, maar niet de enige stap bij de herkenning van spam en phishing. ‘Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.’

Veilig of niet
* Onderzochte gemeenten die per 2 december 2016 voldoen aan alle standaarden voor moderne e-mailbeveiliging: Amsterdam, Den Bosch, Den Haag, Dronten, Eersel, Katwijk, Oost Gelre, Staphorst, Veendam, Veenendaal, Vlissingen, Winterswijk, Woerden , Woudenberg, Zaanstad, Zutphen.

* Gemeenten die hun e-mailbeveiliging het afgelopen verbeterden: Breda, Brielle, Coevorden, Geertruidenberg, Groningen, Haaksbergen, Haarlemmerliede, Hollands Kroon, Hoorn, Putten, Raalte, Waalwijk, Zuidhorn.

* Op 2 december nog steeds onbeveiligde gemeenten: Alblasserdam, Alkmaar, Boxtel, Deventer, Eindhoven, Enkhuizen, Goes, Heemskerk, Heerde, Hillegom, Hilvarenbeek, Hilversum, Leeuwarden, Molenwaard, Nijmegen, Rhenen, Rotterdam, Texel, Urk, Utrecht, Zwolle.