Vertrouwelijkheid overheidsmail stap dichterbij door DANE-support Exchange Online
De vertrouwelijkheid van overheidsmail is een stap dichtbij gekomen doordat Microsoft beveiligingsstandaard DANE in Exchange Online gaat ondersteunen. DANE staat voor DNS-Based Authentication of Named Entities en moet voorkomen dat aanvallers mailverkeer kunnen 'afluisteren' of aanpassen. Het is een verplichte standaard voor de overheid.
DANE geeft zekerheid over de identiteit van de ontvangende mailserver. Zo wordt voorkomen dat een aanvaller zich als ontvangende mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding (STARTTLS) af. Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren. Slechts vijftig procent van de overheidsorganisaties heeft DANE echter voor deze deadline geïmplementeerd, zo meldt het Forum Standaardisatie.
Het Forum Standaardisatie onderhoudt onder andere een lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaarden beleid van de overheid. Volgens de organisatie bleek het ontbreken van DANE-support in Exchange Online een knelpunt te zijn waarom overheidsorganisaties de deadline niet haalden. Maandag maakte Microsoft bekend dat DANE eind 2021 volledig in Office 365 Exchange Online zal worden ondersteund.
Volgens Microsoft zal de ondersteuning gefaseerd plaatsvinden. Eind 2020 zal DANE voor verstuurde e-mails in Exchange Online beschikbaar zijn. Een jaar later zal Exchange Online ook voor inkomende e-mails DANE ondersteunen. "Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan honderd overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen", aldus het Forum Standaardisatie.
Overheidsorganisaties die op Exchange Online willen overstappen krijgen van het Forum Standaardisatie het advies om te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd. Het Forum merkt op dat het correct toepassen van de standaarden DNSSEC, DANE en STARTTLS minimaal verwacht mag worden van overheidsmail. Uit onderzoek bleek echter dat het toepassen van DNSSEC op mailservers juist afnam. Dit bleek te worden veroorzaakt doordat overheidsinstanties op Exchange Online overstapten.
Naast DANE ondersteunt de dienst ook nog geen DNSSEC. Microsoft zal echter ook ondersteuning van DNNSEC gaan toevoegen. DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. Dit moet DNS-spoofing voorkomen. DNSSEC moet volgens de richtlijnen op alle overheidsdomeinnamen worden toegepast.
Strategisch Leveranciersmanagement Microsoft Rijk en het Forum Standaardisatie hebben Microsoft vorig jaar dan ook gevraagd om DNSSEC en DANE bij het gebruik van Office 365-mailservers te ondersteunen. Organisaties die willen testen of hun mailverkeer via STARTTLS en DANE is beveiligd kunnen dit via Internet.nl doen.
Word hier nog niet echt vrolijk van.
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
En wat is er tegen om een of meer centrale mailsystemen aan te leggen voor lagere overheden door de overheid zelf? Dat kan ook financieel uitkomen. Veiliger dan het neerleggen bij een commerciële partij waarbij toegang is door buitenlandse entiteiten vrijwel is verzekerd.
1. DANE is een substandaard die STARTTLS betrouwbaarder maakt. STARTTLS voorkomt dat de aanvallers het e-mailverkeer kunnen meelezen (afluisteren kan wel, alleen kunnen ze niet eenvoudig er leesbare tekst van maken) of ongemerkt aanpassen (ook aanpassen kan altijd) en niet DANE.
2. Waar is de kritische noot van de redactie dat MS afgelopen jaren TLS 1.0 is blijven ondersteunen ondanks het afraden van deze versie, dat MS de afgelopen jaren de DNSSEC standaard niet heeft geïmplementeerd?
3. Waar is de kritische noot dat er kennelijk overheidsorganisaties zijn die overstappen op dienstenleveranciers die onder het Amerikaanse rechtssysteem vallen? In het verleden is er toch veel discussie geweest over het gebruik van Amerikaanse cloud-systemen, omdat deze vallen onder het Amerikaanse recht? De USA Freedom Act geldt nog steeds.
Ohja, nog wat randvoorwaarden als key management.
Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
....
Moeten ze nog een heel bedrijf gaan runnen wat niet hun kerntaak is. Ook de schoonmaak en cartering staat al buiten.
Ohja, nog wat randvoorwaarden als key management.
Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Zeker! Betrouwbaar én veilig.
Maar dat gaan ze niet doen, want dan kunnen ze niks meer meelezen...
En slecht slecht geconfigureerd die ik tegenwoordig niet zo vaak meer.
Ohja, nog wat randvoorwaarden als key management.
Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
Dat is het paart achter de wagen spannen. Probleem is dat mail zo oud als het internet is en uit een tijd komt dat de internetwereld er anders uitzag en beveiliging nauwelijks een issue was. Er zijn wat lapmiddelen toegepast om mail veiliger te krijgen, maar in de kern is het nog steeds een onveilig protocol.
Wil je het echt goed doen, dan zou je moeten omschakelen naar een totaal nieuw mailprotocol dat met een end-to-end versleuteling en authenticatie werkt. Maar dat zal nooit compatibel zijn met de huidige standaarden, dus je zal een overgangsfase moeten creëren zodat beide protocollen naast elkaar kunnen bestaan.
Ander probleem is dat de overheid dit niet leuk gaat vinden. Nu kunnen ze mailverkeer eenvoudig doorzoeken. We hebben in het recente verleden al de discussie over end-to-end versleuteling bij bijvoorbeeld WhatsApp en https gezien.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security analist
De Universiteit Utrecht is op zoek naar een Security Analist. Je bent verantwoordelijk voor het uitvoeren van analyses met de tools van het security- operationsteam van de universiteit. Je werkt met Splunk Enterprise, voor securitymonitoring. En met InsightVM, voor netwerkscanning. Ook komt er nog een nieuwe tool, voor applicatiescanning. Je werkt bij de afdeling Identity & Security Services (ISS).
