2min Security

E-mailverkeer gemeenten slecht tot niet beveiligd

E-mailverkeer gemeenten slecht tot niet beveiligd
Protocollen die phishing moeten voorkomen worden door weinig gemeenten in ons land gebruikt. Slechts een klein deel voldoet aan de verplicht gestelde eisen voor goed beveiligd e-mailverkeer. Dat meldt Binnenlands Bestuur die zelf een test deed bij vijftig gemeenten. Van de ondervraagden hadden er maar 3 alles op orde: Den Haag, Den Bosch en de gemeente Woerden. Amsterdam, Rotterdam en Utrecht hebben de zaken juist niet goed voor elkaar.

In alle andere ondervraagde gemeenten gaat het van een beetje mis tot heel erg mis. Grootste punt van zorg is dat technische standaarden die de identiteit van e-mailafzenders natrekken niet worden gebruikt. Het is daarom zomaar mogelijk dat een ontvanger een mail lijkt te krijgen van een medewerker van de gemeente, terwijl het in werkelijkheid iemand anders is. Volgens Binnenlands Bestuur wordt een phishing0aanval zo wel erg gemakkelijk.

Verder blijkt dat veertien gemeenten uit de steekproef geen TLS-standaard gebruiken die e-mails onderweg versleutelen. Dit opent de deur voor kwaadwillenden om gegevens te stelen. Daarbij blijkt dat de e-mailadressen van 35 gemeenten zonder al teveel moeite omgeleid kunnen worden naar een ander adres, dus ook dat van kwaadwillenden. Het vakblad noemt het voorbeeld van een ambtenaar die in de trein via wifi zijn webmail checkt. Zonder de verplichte beveiliging is deze niet in staat om een nepversie op een phishingsite te onderscheiden van de echte. Deze ambtenaar kan dus zonder het zelf te weten gebruikersnaam en wachtwoord aan phisers verstrekken.

Slechts 3 gemeentes maken goed gebruik van DKIM, SPF en DMARC. Deze standaarden zorgen samen voor terugdringing van phishing, spam en virussen. Gemeenten kunnen dus niet nagaan of de afzender en verzender van een mailbericht kloppen, en of de inhoud van het bericht op de route het zelfde is gebleven. Een kwaadwillende kan zich zonder problemen voordoen als de burgemeester.

 

Medicijn al jaren beschikbaar

De mogelijkheden om wel aan de eisen te voldoen en dus veilig te mailen zijn volgens het vakblad eenvoudig en bovendien al jaren beschikbaar. Via de website Internet.nl kunnen gemeenten een zelftest uitvoeren. De test is opgezet door het Platform Internetstandaarden, een samenwerkingsverband van onder andere het ministerie van Economisch Zaken, het Nationaal Cyber Security Centrum en (branche)organisaties.