image

Overheid heeft beveiliging van web- en e-mailverkeer nog altijd niet op orde

vrijdag 23 september 2022, 12:32 door Redactie, 11 reacties

Ondanks afspraken heeft de overheid de beveiliging van web- en e-mailverkeer nog altijd niet op orde, waardoor er een verhoogde kans is op manipulatie en afluisteren van verkeer of het versturen van phishingmails uit naam van overheidsorganisaties. Daarvoor waarschuwt het Forum Standaardisatie, een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.

Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. "Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties", aldus het Forum.

Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting in het afgelopen voorjaar werden zo'n 2600 overheidsdomeinen gecontroleerd. Bij 56 procent van de onderzochte domeinen waren de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde.

"Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer", zo stelt het Forum. Als het gaat om het toepassen van webstandaarden lopen met name centrale overheid en de gemeenschappelijke regelingen achter. Wordt er gekeken naar mailstandaarden, dan zijn het de waterschappen en gemeentelijke regelingen die nog het nodige te doen hebben.

Zodra de Wet Digitale Overheid van kracht wordt kunnen standaarden wettelijk worden verplicht, zoals de bedoeling is met HTTPS en HSTS. "Ook hier speelt de vraag hoe deze verdergaande verplichtingen de operationele werkvloer bereiken, en hoe vervolgens gestuurd wordt op naleving van de verplichtingen", aldus het Forum (pdf).

Image

Reacties (11)
23-09-2022, 13:39 door Anoniem
DANE is verplicht, dus alle partijen die hun ziel hebben verkocht aan AVG incompatibel Microsoft vallen daarmee door de mand.
23-09-2022, 13:50 door Anoniem
Let op: waar de overheid het heeft over 'beveiliging van emailverkeer' wordt meestal de transportbeveiliging bedoeld, niet de beveiliging (encryptie) van de email zelf.
23-09-2022, 14:57 door Erik van Straten - Bijgewerkt: 23-09-2022, 15:04
Misschien kijk ik er overheen, maar op https://www.forumstandaardisatie.nl/ kan ik niets vinden over waar overheids-domeinnamen aan zouden moeten voldoen om misverstanden, waaronder phishing en datalekken, zoveel mogelijk te voorkómen. Terwijl dit, al vele jaren, ontzettend fout gaat bij de overheid (en daarbuiten).

Leuk al die fratsen zoals DNSSEC en DMARC, maar als je niet weet of domeinnaam X van de overheid is, schiet je niets op met al die technische maatregelen. En al die "vraag-maar-aan" domeinnamen verlopen op een gegeven moment, met alle risico's van dien (twee voorbeelden: [1], [2]). Of kijk naar http://nijkerk.nl/ (Plesk) versus https://nijkerk.eu/, of https://werkenbij.overheid.nl/ (404) of https://werkenbijde.overheid.nl/ (ook 404).

Extreem voorbeeld: out of the blue moeten burgers kennelijk "ruiken" dat een e-mail van zivver.com in hun spambox met daarin een klik-link die begint met https://app.zivver.com/[...] géén phishing zou zijn, maar zelfs "secure", en daadwerkelijk namens een gemeente zou zijn verzonden (zie [3]).

[1] https://www.security.nl/posting/417132/Politie+laat+geregistreerde+domeinnamen+verlopen

[2] https://www.security.nl/posting/604877/Jeugdzorg+lekte+duizenden+dossiers+kinderen+via+verlopen+domein

[3] https://www.security.nl/posting/767506/Gemeente+verstuurd+email+die+alles+weg+heeft+van+een+phising+bericht_#posting767635
23-09-2022, 14:58 door Anoniem
Wat heeft de overheid wel op orde?
Ohja... burgers uitpersen. Dat krijgen ze vlekkeloos voor elkaar. De burger 7 miljard (!) onterecht aan belasting laten betalen en zeggen: 'we hebben het geld nodig voor andere dingen' lukt zo ook. Een keer iets fatsoenlijks regelen... No way.
23-09-2022, 15:05 door Anoniem
Door Anoniem: DANE is verplicht, dus alle partijen die hun ziel hebben verkocht aan AVG incompatibel Microsoft vallen daarmee door de mand.

BS. Ook een Exchange-server kan heel goed mét DANE geconfigureerd worden en bv 100% scoren op internet.nl.
23-09-2022, 15:50 door Anoniem
Streefbeeld, kent u die uitdrukking?

Het is voor mij inmiddels zo'n vijftien jaar geleden dat ik werken ben ontvlucht in organisaties die geregeerd werden door in mijn beleving steeds idiotere managementmodes. De term "streefbeeld" ken ik uit de tijd dat ik meemaakte dat er steeds harder gewerkt werd om steeds minder af te krijgen en dat steeds meer werd ingebed in wollige termen. Bevredigende banen waarin je dingen gedaan kreeg werden zo wat later bullshit jobs zijn gaan heten.

Ik kan me herinneren dat er duidelijke doelen werden gesteld (die we "doelen" noemden) en dat we er heel concreet aan werkten om die te bereiken. Een streefbeeld is (zegt het woord zelf) een beeld waar je naar streeft, en streven naar een beeld is een stuk minder concreet dan een doel stellen en realiseren. Het is een wollige term die vermijdt te benoemen waar het om gaat.

De gedachte komt bij me op dat het daarom niet lukt.
23-09-2022, 18:46 door Anoniem
Door Anoniem:
Door Anoniem: DANE is verplicht, dus alle partijen die hun ziel hebben verkocht aan AVG incompatibel Microsoft vallen daarmee door de mand.

BS. Ook een Exchange-server kan heel goed mét DANE geconfigureerd worden en bv 100% scoren op internet.nl.

Dan doe je dat waarschiijnlijk al jaren zonder TLS 1.3. Die komt pas volgend jaar, het werkt nu alleen met Windows 2022.

Exchange wordt actief ontraden door Microsoft en ze voeren al 5 jaar een ontmoedigingsbeleid. De volgende versie van Exchange zou in 2021 hebben moeten verschijnen en komt nu pas in 2025, ruim na de datum van EOL van versie 2019. Ze proberen overduidelijk iedereen te pushen over te gaan naar 365, waarbij je privacy verliest aan een Amerikaans bedrijf. Microsoft kan met de mails doen wat ze willen en dat demonstreren ze ook met de opties die ze geven zoals het onderscheppen van alle links. Ook links naar persoonlijke gegevens.

https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/3421389

Gebruik een beveiligde email voorziening uit eigen land, bijvoorbeeld ezorg.
23-09-2022, 20:15 door Anoniem
Door Anoniem: Streefbeeld, kent u die uitdrukking?

Het is voor mij inmiddels zo'n vijftien jaar geleden dat ik werken ben ontvlucht in organisaties die geregeerd werden door in mijn beleving steeds idiotere managementmodes. De term "streefbeeld" ken ik uit de tijd dat ik meemaakte dat er steeds harder gewerkt werd om steeds minder af te krijgen en dat steeds meer werd ingebed in wollige termen. Bevredigende banen waarin je dingen gedaan kreeg werden zo wat later bullshit jobs zijn gaan heten.

Ik kan me herinneren dat er duidelijke doelen werden gesteld (die we "doelen" noemden) en dat we er heel concreet aan werkten om die te bereiken. Een streefbeeld is (zegt het woord zelf) een beeld waar je naar streeft, en streven naar een beeld is een stuk minder concreet dan een doel stellen en realiseren. Het is een wollige term die vermijdt te benoemen waar het om gaat.

De gedachte komt bij me op dat het daarom niet lukt.
Leuke reactie. Ik vermoed dat het bedenken (door managers) van allerlei fantasy-termen voor zaken, die je ook gewoon bij de naam kunt noemen (klinkt vaak saai) inderdaad het grote voordeel heeft dat de verantwoordelijkheden worden verwaterd en daarmee het algehele zicht op ontwikkelingen van een proces.
Wanneer je de roos van een dartbord uitbreidt tot alle bogen eromheen met allerlei roos-achtige namen is het in de roos werpen gegarandeerd.
23-09-2022, 21:53 door Quink
[Verwijderd door moderator]
23-09-2022, 23:49 door Anoniem
Hoe loop je giga binnen met zo weinig mogelijk doen. Dat is het streefdoel van de halve wereld heden ten dage.

Netwerken en uitwerken wat je opgedragen wordt, volgt voor de laag daaronder.
Gisteren, 15:41 door Anoniem
Door Anoniem: DANE is verplicht, dus alle partijen die hun ziel hebben verkocht aan AVG incompatibel Microsoft vallen daarmee door de mand.
Daarom moet er een flinke sanctie opkomen anders laten ambtenaren zich blijvend fêteren door Microsft en consorten.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.