PvdA stelt Kamervragen over e-mailbeveiliging gemeenten
PvdA-Kamerleden Oosenbrug en Fokke hebben minister Plasterk van Binnenlandse Zaken Kamervragen gesteld over de e-mailbeveiliging van Nederlandse gemeenten. Het magazine Binnenlands Bestuur stelde onlangs aan de hand van een steekproef met de e-maildomeinen van vijftig verschillende gemeenten dat gemeentelijke e-mail slecht beveiligd is.
Zo zouden de meeste gemeenten niet voldoen aan standaarden als dkim, dmarc en spf om spoofing, spam en phishing terug te dringen. Ook een beveiligde gegevensuitwisseling via tls-encryptie is voor veel gemeenten een probleem, omdat er geen gebruik van starttls wordt gemaakt. Hiermee kan er een smtp-sessie over tls worden opgezet. Van de vijftig geteste gemeenten maken er 14 geen gebruik van tls.
De Kamerleden willen nu van Plasterk weten hoeveel gemeenten niet aan de verplichte beveiligingsstandaarden voor e-mail voldoen en of hij bereid is gemeenten hierop aan te spreken. De minister moet ook laten weten wat de oorzaak is van het probleem dat gemeenten de verplichte internetstandaarden voor de beveiliging van e-mail niet aanhouden en hoe hij ervoor gaat zorgen dat gemeenten deze standaarden wel gaan handhaven.
Verder vragen Oosenbrug en Fokke of de gemeenteraden en de Autoriteit Persoonsgegevens (AP) voldoende middelen hebben om toezicht te houden op de naleving van de wettelijke eisen voor de verwerking van persoonsgegevens. "Geven de gemeenteraden en de AP voldoende prioriteit aan het toezicht houden op de naleving van de wettelijk geldende eisen voor de verwerking van persoonsgegevens? Zo nee, hoe gaat u ervoor zorgen dat hier meer prioriteit aan wordt gegeven? Zo ja, hoe kan het dan nog steeds mis gaan?", aldus de vraag. De minister heeft drie weken de tijd om de Kamervragen (pdf) te beantwoorden.
Je zou toch van een groep hoog opgeleide volksvertegenwoordigers mogen verwachten dat men zich met strategische lange termijn zaken bezig houden in plaats van de waan van de dag. Dus met zaken die die een kader vormen om incidenten te voorkomen, in plaats van met losse incidenten zelf.
Q
Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.
(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)
Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.
(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)
Ik denk dat ik niet duidelijk mijn grieven heb beschreven. Natuurlijk is email beveiliging een structureel probleem, maar morgen is het publieke web site bescherming, overmorgen betreft het de anti-malware op werkplekken, en daarna is er wel weer iets anders.
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.
Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.
Q
Een voorbeeld:
Toen MS stopte met de ondersteuning van XP (april 2014), heb ik 6 maanden later (oktober) gevraagd, waarom er bij de gemeente nog steeds met XP werd gewerkt.
Het verbazende antwoord was, dat in een nieuwere Windows versie de scripts voor formulieren niet werkten.
Onzin, een Windows script is toch een .bat file, maar ze hadden het dus over het Office (2007) pakket.
Nadat ik ze vertelde, dat hetzelfde office (2007) pakket ook werkte onder Windows-7, was er verbazing al om.
De ICT afdeling wist het, maar wachtte op het management, maar het management had geen idee!!!!!
Toen ik ze ook nog vertelde, dat ze al (minimaal) 3 jaar eerder hadden kunnen (en moeten) beginnen met een overstap, was de boot aan.
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen, maar bij een (lokale) overheid schijnt dit soort geblunder te mogen, zonder dat het consequenties heeft voor betrokken ambtenaar.
[/OffTopic]
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.
Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.
Q
De overheid kan zich sowieso nooit verschuilen achter een gebrek aan kennis. Meer papier en controle is niet de oplossing naar mijn mening. Papier is geduldig, we hebben er al te veel van en het verschil tussen papier en de werkelijkeid wordt alsmaar groter. De VNG heeft een taak in educatie en advies. Ik zie meer in het positief agenderen dan nog meer regeltjes.
De Tweede Kamer heeft een controlerende taak, dus ik zie daar geen probleem. Als er een misstand wordt aangekaart is dat prima.
..
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen,
..
Wat je aangeeft is den ik geen laksheid maar onkunde en bewust negeren dan wel andere agenda's van de managers.
Dat is een cultuur dat in het bedrijfsleven nog veel sterker is dan bij overheden. Het is de macht en monopolie vanuit de hiërarchie. Als je als betrokken werknemer wat zegt dan kan je vertrekken. Dat heb jij ook ervaren (de boot was aan)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
