"Overheid heeft nog jaren nodig voor beveiligen van eigen web- en e-mailverkeer"
De overheid heeft in het huidige tempo nog jaren nodig voor het beveiligen van het eigen web- en e-mailverkeer, waardoor burgers onnodig aan risico's worden blootgesteld, zo stelt het Forum Standaardisatie op basis van eigen onderzoek. Uit de nieuwste meting blijkt dat vier op de tien overheidsdomeinnamen nog niet voldoen aan de verplichte veiligheidstandaarden voor websites en e-mail. "Zonder aanvullende actie voldoen alle overheidswebsites in het huidige groeitempo pas in 2030 aan de afspraken", aldus het Forum.
Van de gemeten domeinnamen voldeed 56 procent aan alle verplichte websitestandaarden en 50 procent aan de e-mailstandaarden. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 is verlopen. Ten opzichte van de vorige meting is de adoptie van deze standaarden over de gehele overheid met respectievelijk drie en zes procentpunt toegenomen. In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken.
Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort. Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting die begin dit jaar werd uitgevoerd werden zo'n 2654 overheidsdomeinen gecontroleerd.
Volgens het Forum nemen overheden die internetdomeinen niet veilig configureren onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer. "Een prominent voorbeeld van de gevolgen van onveilige configuratie van standaarden is een incident van emailphishing namens @overheid.nl in 2018, toen van tweehonderd burgers DigiD-inloggegevens zijn buitgemaakt. Hoe meer domeinnamen voldoen aan de standaarden, hoe kleiner de kans is dat dergelijke incidenten zich voordoen", aldus de instantie.
Naar aanleiding van de resultaten adviseert het Forum alle overheidsorganisaties om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast worden overheidsorganisaties aangeraden om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter het aantal domeinnamen te laten krimpen.
Tegelijkertijd laat het Forum weten dat grotere leveranciers waar overheden gebruik van maken moeilijk in beweging te krijgen zijn. Dit terwijl steeds meer overheidsonderdelen overstappen naar cloudoplossingen, zoals Microsoft 365 voor e-maildiensten. Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.
...
Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.
Want IPv6 ondersteuning, dat levert binnen Nederland volstrekt onmisbare bescherming tegen security risico's...
En natuurlijk is de recent ook verplicht gestelde security.txt dé defacto beveiliging tegen datalekken door de rijksoverheid!
We cannot do without!
Die overheids IT afdelingen hebben tonnen en kilo's aan narigheid om op te lossen met hun Technical IT Debt. Laat ze in godsnaam daar nou eens een keer ongestoord aan werken i.p.v. elke keer weer nieuwe spielerei te verzinnen voor die laatste 0,003% verbetering in de security posture waar iedereen weer memo's over moet schrijven om aan te tonen waar er wel en waar er niet voldaan wordt aan deze stuiptrekkingen en zo niet, wanneer wel en een verbeterplan schrijven waar noch de tijd, noch het geld voor is om het te realiseren.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.
gemeente-naam.mail.protection.outlook.com
Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.
Maar het blijft raar dat er een outlook domein gebruikt wordt.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.
Of het (zaken)kabinet AI 5 (met de AI geleverd door Skynet)
gemeente-naam.mail.protection.outlook.com
Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.
Maar het blijft raar dat er een outlook domein gebruikt wordt.
Kan gewoon in de EU gehost worden hoor, als je een mailbox aanmaakt, kan ik gewoon het land aangeven.
Daarnaast postmaster... Dat zie je eigenlijk nergens meer echt gebruikt worden.
gemeente-naam.mail.protection.outlook.com.
Afhankelijk van de afspraken die zijn gemaakt met Microsoft kan de mailbox in deze tennant zich alleen op servers in Europese Datacentra.Bij mijn weten heeft de nederlandse overheid deze afspraken gemaakt maar weet niet exact of en hoe gemeentes onder deze regeling vallen\gebruik kunnen maken.
Ondertussen een andere IP locatie tool gebruikt en die geeft dan Oostenrijk en Ierland weer.
[...]
De mailserver van de gemeente geeft zelf het postmaster e-mail adres weer als contact adres.
Ehm. Hoe heeft die server het postmaster adres weergegeven, als je voor die tijd niet weet waar je naartoe moet mailen voor feedback. Wat heb je dan eerst geprobeerd dat faalde/bounce'te.
Kun je hier met wat meer detail op in gaan (reconstrueren wat je deed).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.