Gemeenten beveiligen e-mail slecht
Vrijwel geen enkele gemeenten voldoet aan de verplicht beveiligingsstandaarden voor e-mail. Gemeenten zijn hierdoor onnodig kwetsbaar voor cybercriminaliteit.
Dit blijkt uit steekproef van Binnenlands Bestuur onder vijftig gemeenten. Slechts drie gemeenten blijken aan standaarden voor e-mailbeveiliging te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Andere grote gemeenten zoals Amsterdam, Rotterdam en Utrecht voldoen niet aan de eisen. Internet Society Nederland noemt de resultaten een probleem, en stelt dat gemeenten al lang hadden kunnen en moeten voldoen aan de standaarden.
E-mail omleiden naar ander mailadres
Uit een test van Binnenlands Bestuur blijkt onder andere dat bij 35 van de vijftig onderzochte gemeenten het gemeentelijk e-mailadres eenvoudig kan worden omgeleid naar een ander adres. Hierdoor kunnen e-mail van en naar gemeenten bij kwaadwillende partijen terecht komen.
Ook wijst de site op het risico van webmail. Door het ontbreken van adequate beveiliging zijn ambtenaren nauwelijks in staat nepversies van hun webmail te herkennen. Indien aanvallers via een phishingaanval een nagemaakte versie van de webmailomgeving presenteren aan ambtenaren is de kans dan ook aanwezig dat hier inloggegevens worden ingevoerd. Met deze inloggegevens krijgen aanvallers vervolgens volledig toegang tot het e-mailaccount.
DKIM, SPF en DMARC
Voor het terugdringen van phishing, spam en virussen zijn de drie internetstandaarden DKIM, SPF en DMARC opgezet. Deze standaarden worden onder andere gebruikt om te controleren of de afzender en verzender van een e-mailbericht authentiek zijn en of de inhoud van het bericht onderweg niet is gemanipuleerd. 47 van de vijftig gemeenten voldoen niet aan deze standaarden. Hierdoor is het voor ontvangers van gemeentelijke mail niet mogelijk te controleren of deze e-mail wel daadwerkelijk vanaf het gemeentelijke e-maildomein is verstuurd. Ook blijken veertien van de vijftig gemeenten geen beveiligde verbinding te gebruiken voor e-mailverkeer. Indien dit verkeer wordt onderschept kunnen e-mailberichten dan ook eenvoudig worden ingezien door aanvallers.
Gemeenten kunnen controleren of zij aan de internetstandaarden voldoen via de website Internet.nl. Hier is een zelftest beschikbaar, die is ontworpen door onder meer het ministerie van Economisch Zaken, het Nationaal Cyber Security Centrum en diverse grote (branche)organisaties die samenwerken in het Platform Internetstandaarden.
Meer over
Lees ook
Wireshark / SharkFest Europe november 2023 Brussel
SharkFest, Wireshark Developer and User Conference gelanceerd in 2008, is een reeks jaarlijkse educatieve conferenties georganiseerd in verschillende delen van de wereld en gericht op het delen van kennis, ervaring en best practices tussen de ontwikkelaars en gebruikersgemeenschappen van Wireshark.
DeepInspect en NetWitness beginnen een joint venture
DeepInspect en NetWitness, wereldleiders op het gebied van cybersecurity, zijn verheugd een strategische technologische samenwerking aan te kondigen waarbij de integratie van OT- en IT-netwerken radicaal zullen veranderen. Deze innovatieve samenwerking heeft tot doel een baanbrekende oplossing te leveren die alles wat momenteel op de markt beschik1
![Zevende editie NLSecure[ID] van KPN Security in teken van vertrouwen](/cache/7/2/4/2/5/724250d559290f02799a30a8ae2267891dac296a.png)
Zevende editie NLSecure[ID] van KPN Security in teken van vertrouwen
We zijn voor onze digitale veiligheid steeds afhankelijker van anderen. Dat vraagt om een sterk vertrouwen in elkaars weerbaarheid. Maar hoe bewaak je dat vertrouwen, bij verdeelde belangen, in zoiets ongrijpbaars als cyberspace en bij een digitaal incident? KPN Security zoekt samen met topsprekers op 26 september tijdens de liveshow NLSecure[ID]1