Advertentie
digitaal / Achtergrond

E-mail gemeenten slecht beveiligd

E-mail is het voorkeurskanaal van veel burgers, zo blijkt uit het onderzoek naar digitale dienstverlening elders in dit blad. Maar vrijwel geen gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail. Criminelen hebben met hun phishing mails vrij spel. Terwijl de beveiliging eenvoudig is te regelen.

17 juni 2016

Uit een door Binnenlands Bestuur uitgevoerde steekproef met e-maildomeinen van vijftig verschillende gemeenten blijken slechts drie van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Grote gemeenten als Amsterdam, Rotterdam en Utrecht lukt dat niet. 

Internet Society Nederland spreekt van een ‘probleem’ en ‘een slechte zaak’. De landelijke vereniging van internetprofessionals stelt dat iedere organisatie met een publieke taak in Nederland al lang had kunnen en moeten voldoen aan de ­minimale standaarden.

Door het niet toepassen van de standaarden blijft het mogelijk om phishing mail te versturen vanuit en naar de gemeenten en zo argeloze ontvangers een bijlage of link met malware te bezorgen. Er is geen grote technische kennis vereist voor het versturen van deze e-mails. Via Emkei’s Fake Mailer, een eenvoudig programma om e-mailadressen te vervalsen en te versturen, kun je in een handomdraai een e-mail met verzonnen naam en e-mailadres in vrijwel alle gemeentelijke mailboxen bezorgen. ­Criminelen kunnen dus phishing mail zonder veel moeite goed ­laten aankomen in de gemeentelijke e-mailbox.

Aboutaleb
Bovendien is het mogelijk om het gemeentelijke e-maildomein te gebruiken, waardoor iedereen zich voor kan doen als vertegenwoordiger van de gemeente. Eveneens met Emkei’s Fake Mailer lukte om e-mails rond te ­sturen met de naam en het e-mailadres van Rotterdams burgemeester Ahmed Aboutaleb.

Uit de steekproef blijkt ook dat bij vijfendertig van de vijftig onderzochte gemeenten het gemeentelijk e-mailadres eenvoudig kan worden omgeleid naar een ander adres. Zo kunnen e-mails van en naar ­gemeenten bij kwaadwillende personen terechtkomen. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die weleens via wifi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volle­dige ­beschikking over de mailaccount.

Door het ijs
Bij de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs: zij gebruiken deze niet. De drie standaarden worden meestal gezamenlijk ingezet om te controleren of afzender (e-mailadres) en verzender (computersysteem) van een e-mail­bericht inderdaad kloppen, en of de inhoud van het bericht onderweg niet is veranderd. Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.

Ook een beveiligde gegevensuitwisseling is voor een flink aantal gemeenten een probleem, omdat er geen START-TLS-standaard wordt aangehouden. Van de vijftig geteste gemeenten zijn er om die reden veertien die geen beveiligde verbinding kunnen opbouwen. Hierdoor is de communicatie per e-mail niet volledig afgeschermd voor onbevoegden.

Blokkeren
Michiel Leenaars, directeur van Internet Society Nederland, stelt dat gemeenten door de juiste internetstandaarden te hanteren de phishing mails allang hadden kunnen blokkeren. ‘Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar.’

Het probleem is volgens hem vooral dat phishing wordt gebruikt als opstapje voor grotere en complexere aanvallen. Leenaars: ‘Zo werd er recent een Oost-Europese crimineel opgepakt die tientallen miljoen verdiende met voorkennis dankzij het ­onderscheppen van nieuwsberichten.’

Leenaars illustreert wat er mis kan gaan. ‘Een Amsterdammer die vanaf zijn thuiscomputer via e-mail persoonlijke informatie uitwisselt met de gemeente, weet niet zeker welke buitenstaanders zijn e-mail allemaal onder ogen hebben gehad.’

Behoorlijk laks
Leenaars zegt dat veel overheidsorganisaties behoorlijk laks zijn als het op informatiebeveiliging aankomt. ‘Ook als ze er op worden gewezen door externe beveiligingsexperts en organisaties als NCSC en het Forum Standaardisatie. Die laksheid wordt tot nu toe bestuurlijk niet afgestraft, maar gaat wel ten koste van privacy en veiligheid van burgers. En het kan ook flinke economische schade voor ondernemingen tot gevolg hebben.’

Volgens Leenaars zou elke organisatie met een publieke taak in Nederland moeten voldoen aan de standaarden die Internet.nl test. Hij vindt het ‘gênant’ dat op Den Haag na ook de grootste gemeenten zakken voor de test. De beveiliging van e-mail is volgens hem eenvoudig te regelen. ‘Als het de gemeenten Heerlen, Simpelveld, Nuth en De Friese Meren lukt om er doorheen te komen, dan ligt de lat echt niet te hoog.’

Reacties: 1

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Pikmeeraarest / Waarheidsvinder
Het maakt ambtenaren allemaal geen bal uit! Enschede o.a. geo browser was 10 jaar lek, NAW, geb data, woning gegevens, alles op straat, diverse meldingen geen reactie slechts ontkenning. Lang leve het Pikmeerarrest ambtenaren onaantastbaar!
Advertentie