PvdA stelt Kamervragen over e-mailbeveiliging gemeenten
PvdA-Kamerleden Oosenbrug en Fokke hebben minister Plasterk van Binnenlandse Zaken Kamervragen gesteld over de e-mailbeveiliging van Nederlandse gemeenten. Het magazine Binnenlands Bestuur stelde onlangs aan de hand van een steekproef met de e-maildomeinen van vijftig verschillende gemeenten dat gemeentelijke e-mail slecht beveiligd is.
Zo zouden de meeste gemeenten niet voldoen aan standaarden als dkim, dmarc en spf om spoofing, spam en phishing terug te dringen. Ook een beveiligde gegevensuitwisseling via tls-encryptie is voor veel gemeenten een probleem, omdat er geen gebruik van starttls wordt gemaakt. Hiermee kan er een smtp-sessie over tls worden opgezet. Van de vijftig geteste gemeenten maken er 14 geen gebruik van tls.
De Kamerleden willen nu van Plasterk weten hoeveel gemeenten niet aan de verplichte beveiligingsstandaarden voor e-mail voldoen en of hij bereid is gemeenten hierop aan te spreken. De minister moet ook laten weten wat de oorzaak is van het probleem dat gemeenten de verplichte internetstandaarden voor de beveiliging van e-mail niet aanhouden en hoe hij ervoor gaat zorgen dat gemeenten deze standaarden wel gaan handhaven.
Verder vragen Oosenbrug en Fokke of de gemeenteraden en de Autoriteit Persoonsgegevens (AP) voldoende middelen hebben om toezicht te houden op de naleving van de wettelijke eisen voor de verwerking van persoonsgegevens. "Geven de gemeenteraden en de AP voldoende prioriteit aan het toezicht houden op de naleving van de wettelijk geldende eisen voor de verwerking van persoonsgegevens? Zo nee, hoe gaat u ervoor zorgen dat hier meer prioriteit aan wordt gegeven? Zo ja, hoe kan het dan nog steeds mis gaan?", aldus de vraag. De minister heeft drie weken de tijd om de Kamervragen (pdf) te beantwoorden.
Je zou toch van een groep hoog opgeleide volksvertegenwoordigers mogen verwachten dat men zich met strategische lange termijn zaken bezig houden in plaats van de waan van de dag. Dus met zaken die die een kader vormen om incidenten te voorkomen, in plaats van met losse incidenten zelf.
Q
Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.
(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)
Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.
(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)
Ik denk dat ik niet duidelijk mijn grieven heb beschreven. Natuurlijk is email beveiliging een structureel probleem, maar morgen is het publieke web site bescherming, overmorgen betreft het de anti-malware op werkplekken, en daarna is er wel weer iets anders.
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.
Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.
Q
Een voorbeeld:
Toen MS stopte met de ondersteuning van XP (april 2014), heb ik 6 maanden later (oktober) gevraagd, waarom er bij de gemeente nog steeds met XP werd gewerkt.
Het verbazende antwoord was, dat in een nieuwere Windows versie de scripts voor formulieren niet werkten.
Onzin, een Windows script is toch een .bat file, maar ze hadden het dus over het Office (2007) pakket.
Nadat ik ze vertelde, dat hetzelfde office (2007) pakket ook werkte onder Windows-7, was er verbazing al om.
De ICT afdeling wist het, maar wachtte op het management, maar het management had geen idee!!!!!
Toen ik ze ook nog vertelde, dat ze al (minimaal) 3 jaar eerder hadden kunnen (en moeten) beginnen met een overstap, was de boot aan.
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen, maar bij een (lokale) overheid schijnt dit soort geblunder te mogen, zonder dat het consequenties heeft voor betrokken ambtenaar.
[/OffTopic]
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.
Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.
Q
De overheid kan zich sowieso nooit verschuilen achter een gebrek aan kennis. Meer papier en controle is niet de oplossing naar mijn mening. Papier is geduldig, we hebben er al te veel van en het verschil tussen papier en de werkelijkeid wordt alsmaar groter. De VNG heeft een taak in educatie en advies. Ik zie meer in het positief agenderen dan nog meer regeltjes.
De Tweede Kamer heeft een controlerende taak, dus ik zie daar geen probleem. Als er een misstand wordt aangekaart is dat prima.
..
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen,
..
Wat je aangeeft is den ik geen laksheid maar onkunde en bewust negeren dan wel andere agenda's van de managers.
Dat is een cultuur dat in het bedrijfsleven nog veel sterker is dan bij overheden. Het is de macht en monopolie vanuit de hiërarchie. Als je als betrokken werknemer wat zegt dan kan je vertrekken. Dat heb jij ook ervaren (de boot was aan)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.