Managed hosting door True

‘Gemeente beveiligt e-mail-systeem beroerd’

De e-mailsystemen van gemeenten zijn gênant slecht beveiligd. Dat zegt het vakblad Binnenlands Bestuur op basis van een steekproef. Van de vijftig onderzochte gemeenten voldeden maar drie aan de verplichte beveiligingsstandaarden voor e-mail: Den Haag, Den Bosch en Woerden. Grote steden als Amsterdam, Rotterdam en Utrecht voldeden niet. Daardoor kunnen kwaadwillenden uit naam van de gemeenten mails met malware en spam naar anderen sturen.

Binnenlands Bestuur heeft in de steekproef gemeenten langs de meetlat van drie internetstandaarden DKIM, SPF en DMARC gelegd. Die standaarden gelden voor het terugdringen van phishing, spam en virussen.  Ontvangers kunnen zonder deze standaarden niet controleren of een e-mail wel echt van het gemeentelijke e-maildomein komt, waardoor iemand zich bij ontvangers als een ambtenaar of zelfs burgemeester van een gemeente kan voordoen.

Maar liefst zevenenveertig van de vijftig gemeenten zakten bij deze test door het ijs. Bij 35 onderzochte gemeenten bleek het gemeentelijk e-mailadres eenvoudig om te leiden naar een ander adres. Voor webmail bestaat er zelfs een grotere dreiging. Een ambtenaar die wel eens via Wi-Fi in de trein zijn webmail checkt, is zonder adequate beveiliging niet in staat om een nepversie daarvan te onderscheiden. Als gebruikersnaam en wachtwoord eenmaal bekend zijn, heeft een aanvaller de volledige beschikking over de mailaccount, aldus Binnenlands Bestuur.

Test

Het voldoen aan internetstandaarden is eenvoudig te testen via de website Internet.nl. De zelftest op de website is opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5770037). © Jaarbeurs IT Media.
?

 

Reacties

Destemeer reden om een grote cloud provider te gebruiken voor je e-mail.
Goedkoper, beter, veiliger.

Waarom zou een gemeente geld moeten besteden om SPAM software te kopen, in te richten en up-to-date te houden?

Uiteraard zijn er bepaalde bedrijven die best hun eigen e-mail goed kunnen regelen, gemeentes horen daar in mijn ogen niet bij.

Welke dan henri ? Deze blijkbaar niet als we een test je doen ..

https://internet.nl/site/gmail.com/
https://internet.nl/site/mail.google.com/
https://internet.nl/site/login.yahoo.com/
https://internet.nl/site/hotmail.com/

Misschien willen die drie gemeenten die het zelf doen wel een veiligere oplossing ;-)

Onzin Dino.

Om drie redenen. De tests zijn incompleet. Zo zie je bijvoorbeeld dat volgens deze test HTTPS niet noodzakelijk is. Good luck with that.

Hoe vaak hebben we gehoord dat Google mail gehackt is (anders dan phishing wat je ook tegengaat met 2 factor authentication)

De testjes komen niet verder dan het schilletje. Zo waarschuwt gmail als DKIM niet gebruikt word of de email afzender mogelijk niet echt de verzender is.

SPAM filters zijn zeer up-to-date, en tal van andere voorbeelden kan ik aanleveren wat Google beter doet dan een standaard gemeente.

Voor email mogen gemeentes niet zomaar een buitenlandse (lees Amerikaanse) provider gebruiken dus zou het pragmatisch ook in Nederland gehost kunnen worden bij een volledige Nederlandse onderneming.

Dat de beveiliging niet op orde is, is een kwalijke zaak maar nou ook bepaald niet een verrassing. Want keer op keer blijkt bij dit soort zaken dat de IT kennis bij gemeentes en de overheid in zijn algemeenheid een verbetering verdient.

De tests zijn opgezet door onder meer het ministerie van Economische Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
SSL/TLS wordt wel degelijk getest met de URL's in mijn vorige reactie. Er wordt zelfs gecheckt of http automatisch naar https redirected wordt.

Waarom geloof je dat 47 gemeenten wel door het ijs zakken maar jouw favoriete providers niet ?

Nationaal Cyber Security Centrum vs het evangelie van Henri.
Gij zult geen andere goden voor Mijn aangezicht hebben dan Cloud.
Gij zult u voor die niet buigen, noch hen dienen; want Ik, de Cloud ben uw God.

Ik heb bij dit artikel zo iets dat het mij niet eens meer verbaast. Van de miljarden en miljoenen aan landelijke en lokale belastingen zie je stelselmatig dat politiek en ambtenaren volkomen impotent en incompetent, pocesjes volgen en stellen... ja maar het procesje is toch gevolgd dus...

IT ICT kennis van zaken komen van externe leveranciers en partijen die hetzelfde doen wat ambtenaren doen. Procesjes volgen en vooral niet proactief worden want daar schrikken vooral het ambtelijke kader van en nee, dat moet je niet willen.

Henri haalt weliswaar een mogelijke oplossing aan naar voren maar het probleem is anders. Incompetentie en impotentie maar meer en ernstiger nog, niet de visie en klaarblijkelijk niet de drive proactiever met een materie als IT om te gaan. Je vraagt je af waarvoor je dan nog belastingen betaald.

Voor deze nonsens?

Johan, de kneep zit hem in "zomaar":

"Voor email mogen gemeentes niet zomaar een buitenlandse (lees Amerikaanse) provider gebruiken"

Want naar mijn weten is er niets wat gemeentes verbied om bijv. MS of Google te gebruiken.

Dino, ik heb me niet verdiept hoe NCSC bepaald of een gemeente veilig of onveilig is met zijn e-mail, maar ik kan met grote zekerheid beweren dat de URL's de je gebruikt niet afdoende zijn om te veiligheid van een site vast te stellen. Zo *kun* je naar mijn weten google niet gebruiken over HTTP (de URL), ik laat me graag overtuigen dat ik dit fout heb. Ook de POP / IMAP kunnen naar mijn weten absoluut niet over HTTP benaderd worden en zelfs SMTP kan niet onbeveiligd benaderd worden.

Ik heb geen voorliefde voor Amazon, Google of Microsoft. Ik ruil ze net zo gemakkelijk in voor iets anders en dat heb ik al gedaan (als voormalig .NET ontwikkelaar), als er een goede NL provider is die e-mail goed regelt, dan is dat prima.

Mijn punt is meer dat e-mail domweg niet iets is wat je zelf zou moeten doen. Email is commodity en zou als zodanig behandeld moeten worden. Je gaat ook niet zelf je brieven en pakketjes afleveren bij je klanten.

Zo vind ik het al belachelijk dat iedere gemeente zijn eigen wiel uit loopt te vinden.

Waar ik heel veel bewondering en inspiratie voor heb zijn de design principles van de engelse overheid: https://www.gov.uk/design-principles

Het grote probleem bij gemeenten is de autoritaire opstelling die bij zoveel ambtenaren een probleem is: Wij weten het zelf wel, en jij als burger hoeft mij als ambtenaar niet te vertellen hoe iets moet. Een aantal jaren geleden hetzelfde gehad met mijn lokale gemeente, waar ik de 'postmaster' opmerkzaam maakte dat de Sonicwall die men gebruikte als mail relay/mail filter enz. zwaar verouderde firmware bevatte, en dus erg makkelijk te hacken was. Als antwoord van deze beheerder kreeg ik de vraag waar ik me mee durfde te bemoeien, en of ik wel wist dat hacken van een gemeente-installatie strafbaar was (ik had de informatie gewoon uit de internet header van een ontvangen mail gehaald, dus niks hacken). Zolang zulke onbenullen bij gemeenten de dienst uit blijven maken, en de overheid geen harde eisen gaat stellen (bijvoorbeeld alle websites van de gemeente verplicht achter een HTTPS verbinding, en het certificaat uitgereikt door PKI Overheid), en ook gaat optreden, blijft dit gewoon bestaan. Er is niks zo arrogant als een ambtenaar.

Voor de drie internetstandaarden DKIM, SPF en DMARC die gelden voor het terugdringen van phishing, spam en virussen, zakten zevenenveertig van de vijftig gemeenten bij de test door het ijs.
Een aantal gemeenten gebruiken daarom ook al Office 365

https://blogs.office.com/2015/01/20/enhanced-email-protection-dkim-dmarc-office-365/

Henri,
pop/imap over tls/ssl neem ik aan dat je bedoelt.
Kan er verder niet snel op reageren.

Eerst mijn eigen servers en domeinen zoveel mogelijk aan die standaarden laten voldoen. Is nog niet zo eenvoudig. Wil je het echt helemaal voor elkaar hebben dan dienen je domeinen gehost te worden door DNS servers die allemaal DNSSEC ondersteunen. Nu beheer ik op een VPS de DNS (hidden) master van mijn eigen domeinen, maar maak ik gebruik van de DNS slaves mijn mijn provider.
Van een van mijn providers (CloudVPS) kreeg ik vandaag dit bericht toen ik informeerde naar de mogelijkheden van hun DNS slaves :

Goedendag,

Onze DNS servers ondersteunen dit op dit moment niet. Het is mogelijk dat dit gaat veranderen, echter dit staat nog niet op de planning.
Als u van DNSSEC gebruik wilt maken dient u of uw eigen dnsservers hiervoor op te zetten of gebruik te maken van dns servers welke dit wel ondersteunen.

Met vriendelijke groet,

{xxxx xxxx}
System Administrator

Ik denk dan. Fijn die Cloud en Virtueel enzo. Maar Voor Henri betekent dit natuurlijk dat je nog minder zelf moet beheren en geen IaaS moet afnemen maar PaaS.

Dino,

DNSSEC is in mijn ogen om "man in the middle attack" lastig te maken, dus gebruikers die open wifi spots gebruiken of inloggen op spots met slechte bedoelingen. Er kleven ook nogal wat nadelen aan, vooral in een multi-tenant omgeving en in situaties waarbij je schaalbaar wilt zijn, het is ook een performance hit.

Overigens bedoel ik naast pop/imap ook gewoon de websites mail.google.com. Deze zijn *niet* over HTTP te benaderen. Terwijl internet.nl aangeeft dat het wel kan. Of zij weten / kunnen iets wat ik niet na kan bootsen, of hun test is domweg niet compleet.

Google zal zijn redenen hebben om DNSSEC niet in te zetten. Wat zij wel doen is pro actief waarschuwen als de email word benaderd op een nieuwe computer of vanaf een vreemd adres.

Nu is Google of Cloud zeker niet heilig bij me, al komt dat wellicht wel zo over. Misschien zit ik wat verder op de school van "pro" om tegengewicht te bieden aan al die it-ers die ertegen zijn.

Ik hoop wel dat ik goed onderbouw *waarom* ik voor bepaalde diensten kies. Dus dat het geen lege huls verhaal is. Je bent dan ook heel erg welkom om bij mij op kantoor langs te komen zodat ik laat zien hoe ik de dingen doe. Heb al wat vaker criticasters langs gehad en langskomen is dan een goede remedie.

Een paar jaar terug had ik er ook een paar uitgenodigd op bezoek bij Centric. Daar lieten ze me totaal niet aan het woord wat een gemiste kans was (voor hun uiteraard). Ik sta altijd open om iets nieuws te leren....

Wat ik overigens leuk vind aan CloudVPS is dat ze zo lekker aan het pionieren zijn (o.a. met OpenStack), alleen hoor ik daar de laatste tijd niet meer zoveel over...

Het verbaasd mij niets. Security vindt men best belangrijk maar bijna niemand heeft er veel geld voor over. Daarnaast hebben beheerders doorgaans weinig kennis van deze kwetsbaarheden. Het zou helpen als er wetgeving komt voor verplichte audit controles met certificering. Net als de financiële audit zullen alle ICT systemen van bedrijven en instanties veilig genoeg moeten worden. In de toekomst zal blijken dat security een van de belangrijkste onderwerpen wordt binnen de ICT. Feitelijk is dat nu al zo, maar het wordt nog niet als zodanig erkend.

Het grote probleem bij gemeenten is de autoritaire opstelling die bij zoveel ambtenaren een probleem is: Wij weten het zelf wel, en jij als burger hoeft mij als ambtenaar niet te vertellen hoe iets moet. Een aantal jaren geleden hetzelfde gehad met mijn lokale gemeente, waar ik de 'postmaster' opmerkzaam maakte dat de Sonicwall die men gebruikte als mail relay/mail filter enz. zwaar verouderde firmware bevatte, en dus erg makkelijk te hacken was. Als antwoord van deze beheerder kreeg ik de vraag waar ik me mee durfde te bemoeien, en of ik wel wist dat hacken van een gemeente-installatie strafbaar was (ik had de informatie gewoon uit de internet header van een ontvangen mail gehaald, dus niks hacken). Zolang zulke onbenullen bij gemeenten de dienst uit blijven maken, en de overheid geen harde eisen gaat stellen (bijvoorbeeld alle websites van de gemeente verplicht achter een HTTPS verbinding, en het certificaat uitgereikt door PKI Overheid), en ook gaat optreden, blijft dit gewoon bestaan. Er is niks zo arrogant als een ambtenaar.

Een steekproef (50 van de 390) onder gemeenten die aantoont dat 95% geen veilige e-mail systeem heeft klinkt zorgwekkend maar is helaas maar het topje van de ijsberg. Zo was er een minister die tegen regels in zijn zakelijke e-mail doorstuurde naar een privé-mail adres. Waarschijnlijk deed hij dit net als veel ambtenaren omdat hij meerdere (zelf meegenomen) apparaten heeft en zijn e-mail daarom liever op server van een provider laat staan?

@René Civile
Wat een bijzonder taalgebruik hou jij er op na!

"IT ICT", "impotent en incompetent"...

Mijn dringende verzoek: stop er aub mee!

Het is niet correct, het is niet grappig, het wekt alleen irritatie op.

Vreemd, veel mening en weinig konkrete uitspraken bahalve van Dino.

HTTPS voor E-Mail is geen grote kunst net als IMAP over SSL TLS, omleiding van HTTP naat https is eenvoudig in een .htaccess te stoppen.
DNSSec is volgens de vele artikelen in internet zeker geen performancekiller, het wordt gewoon nog te weinig door hosters ondersteund.

Wie zich in de materie verdiept vindt dat het misschien niet eenvoudig is maar veilige e-mail is wel degelijk te realiseren zonder al te grote inspanningen.

Een USA-firma kiezen voor gemeentelijke e-mail zou verboden moeten worden gezien de overduidelijke problemen met spionage (NSA etc.) de overheid kan makkelijk een eigen initiatief voor gemeenten ondersteunen.

@Frank Heikens
IT ICT is helemaal zo vreemd niet als je de vraag vaker krijgt wat nu het verschil is tussen IT en ICT. Me dunkt dat reacties ook voor de niet ingevoerde geïnteresseerde is. (?!?)

Je maakt mij nieuwsgierig. Wat is niet correct in jouw ogen? Dat schade niet zou worden veroorzaakt door incompetentie en impotentie? In beide gevallen vind ik dat stuitend en allerminst 'grappig'.

@René
Naast jou gebruikt niemand "IT ICT". Kies er één, en gebruik die. Nu doe je het half dubbelop, en dus fout.

Het verschil tussen IT en ICT is vrij eenvoudig: de C! Die C, Communicatie, is er later bijgekomen. Met communicatie in de IT context worden netwerken, internet en telefonie bedoeld. Vandaar dat Informatie Technologie werd uitgebreid naar Informatie en Communicatie Technologie.

En voor jouw andere bijzondere stukje taalgebruik, "impotent en incompetent", heb ik een advies voor jou: Google eens op het woord "impotent"; ik heb het vermoeden dat je geen flauw benul hebt wat het betekent! Het heeft namelijk helemaal niks te maken met incompetent en ICT.

En ik maar denken dat ICT de dla is voor InCompeTent.

Frank Heikens,
IT gaat om de toegepaste kennis m.b.t. het ontwerpen en beheren van informatiesystemen wat meer omvat dan technisch overdrachtelijke communicatie. Digitale optimisten vergeten nog dat in de mens-to-machine en vice versa overdacht ook logische protocollen zitten die van informatie data maken en andersom.

Dat deze scheiding - net als tussen de Systems of Record en Systems of Engagement - lang niet altijd meer duidelijk is blijkt wel uit het digitale opportunisme dat telkens probeert op de postzegels te bezuinigingen maar de prijs van enveloppen vergeet. De digitale ganzenveer van e-mail is GEEN informatiesysteem alleen een digitale postbus, veelal de equivalent voor X.400 binnen al wat oudere informatiesystemen.

@WRM
In de (al zeer ver van het oorspronkelijke onderwerp afgedreven) discussie met René gaat het om de termen IT en ICT, die door velen als synoniem worden gezien, en ook door elkaar gebruikt worden.

Als het toch een principe-discussie wordt: I(C)T-ers communiceren zelf slecht (hoezo generaliseren), dus laten we het over IT hebben!

Frank Heikens,
Als we een inhoudelijke discussie over de IT willen voeren dan moeten we ophouden met pleisters plakken in de IT-infrastructuur. Voor alle duidelijkheid, X.400 werd veel gebruikt binnen Europa voor EDI-systemen (hopelijk is begrip bekend) omdat het veel veiliger is dan SMTP waardoor spoofing onmogelijk is:

https://www.computable.nl/artikel/columns/netwerken/1398353/1509086/x400-als-standaard-voor-edi.html

Toen Computable nog een IT-vakblad was.....

Voorspelling van Healey is (nog) niet uitgekomen omdat X.400 alleen populair was in Europa en in de US alleen gebruikt werd/wordt door defensie en luchtvaart. Nu 'privacy-by-design' principe over 22 maanden verplicht is in berichtenuitwisseling waarin persoonsgegevens in de 'payload' zit kan dat alsnog veranderen, zeker nu er beter geluisterd wordt naar IT-ers.

René heeft gelijk alleen weet hij nog niet waarom, ministerie van Economische Zaken stond namelijk raar te kijken toen er plotseling een beschermingsconstructie voor de KPN was om de strategische IT-infrastructuur te beschermen:

http://www.nrc.nl/handelsblad/2013/11/09/vijf-oudere-heren-stopten-de-overval-door-de-rijkste-1315007

Termen als incompetentie lijken me dus gerechtvaardigd als we kijken naar de wijze waarop andere landen in Europa dit geregeld hebben, slap lullen en dik vullen gaat off-topic maar is wel iets om naar te kijken als we informatiestromen gaan tappen. Veel gemeenten hebben het digitale kanaal (e-mail) voor de WOB afgesloten maar lekken informatie doordat ze net als minister Kamp op oneigenlijke wijze e-mail gebruiken. Uiteraard ben ik een gehoorzame burger en verwijder direct - zoals in voetnoot staat - berichten die niet voor mij bestemd zijn maar wel aan mij geadresseerd;-)

@Wieroeptmij
Dank voor je opmerkingen. Het gaat mij niet om het gelijk, het gaat mij erom dat de klant begrijpt wat IT ICT is, hoe het werkt en hoe er mee om te gaan. Gezien de tal van discussies alleen al betreffende dit stukje ' proves my point' dat de commercie er maar niet in blijkt te slagen dit over te brengen, met alle gevolgen van dien.

@Frank Heikens
Impotentie is de inertie beslissingen of verantwoordelijkheid te nemen in dit geval en plaatsen we dit bij manager, politicus of ambtenaar dan zijn dit mensen die op key posities zitten maar niet tot heldere keuze komen. Desastreus vaak voor menig IT project en traject. Me dunkt niet al te ingewikkeld.

Ik vind de rest van deze discussie verder weinig interessant. Het gaat om de publicatie en niet of je een gebruikte term welgevallig bent of niet. -> end

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×