image

PvdA stelt Kamervragen over e-mailbeveiliging gemeenten

dinsdag 7 juni 2016, 11:25 door Redactie, 11 reacties

PvdA-Kamerleden Oosenbrug en Fokke hebben minister Plasterk van Binnenlandse Zaken Kamervragen gesteld over de e-mailbeveiliging van Nederlandse gemeenten. Het magazine Binnenlands Bestuur stelde onlangs aan de hand van een steekproef met de e-maildomeinen van vijftig verschillende gemeenten dat gemeentelijke e-mail slecht beveiligd is.

Zo zouden de meeste gemeenten niet voldoen aan standaarden als dkim, dmarc en spf om spoofing, spam en phishing terug te dringen. Ook een beveiligde gegevensuitwisseling via tls-encryptie is voor veel gemeenten een probleem, omdat er geen gebruik van starttls wordt gemaakt. Hiermee kan er een smtp-sessie over tls worden opgezet. Van de vijftig geteste gemeenten maken er 14 geen gebruik van tls.

De Kamerleden willen nu van Plasterk weten hoeveel gemeenten niet aan de verplichte beveiligingsstandaarden voor e-mail voldoen en of hij bereid is gemeenten hierop aan te spreken. De minister moet ook laten weten wat de oorzaak is van het probleem dat gemeenten de verplichte internetstandaarden voor de beveiliging van e-mail niet aanhouden en hoe hij ervoor gaat zorgen dat gemeenten deze standaarden wel gaan handhaven.

Verder vragen Oosenbrug en Fokke of de gemeenteraden en de Autoriteit Persoonsgegevens (AP) voldoende middelen hebben om toezicht te houden op de naleving van de wettelijke eisen voor de verwerking van persoonsgegevens. "Geven de gemeenteraden en de AP voldoende prioriteit aan het toezicht houden op de naleving van de wettelijk geldende eisen voor de verwerking van persoonsgegevens? Zo nee, hoe gaat u ervoor zorgen dat hier meer prioriteit aan wordt gegeven? Zo ja, hoe kan het dan nog steeds mis gaan?", aldus de vraag. De minister heeft drie weken de tijd om de Kamervragen (pdf) te beantwoorden.

Reacties (11)
07-06-2016, 12:29 door Anoniem
En zo is binnen no-time praktisch zwart-op-wit gebleken dat Plaszwak z'n uitspraak van het artikel van gister ongegrond was... chapeau.
07-06-2016, 13:09 door Anoniem
De kamervragen lijken op de standaard vragen: niet concreet en gericht op een structurele oplossing. Dus van het niveau "U vindt het toch ook erg dat...", om daarna met suggesties te komen om symptomen op te lossen in plaats van een structure aanpak voor te staan. Zo wordt er gevraagd om een specifieke privacy-BIG. Een jaarlijkse toelichting op hoe een strategisch / taktisch kader als de BIG operationeel vorm moet krijgen zal aanzienlijk meer bijdragen aan de beveiliging dat dit soort geneuzel.

Je zou toch van een groep hoog opgeleide volksvertegenwoordigers mogen verwachten dat men zich met strategische lange termijn zaken bezig houden in plaats van de waan van de dag. Dus met zaken die die een kader vormen om incidenten te voorkomen, in plaats van met losse incidenten zelf.

Q
07-06-2016, 13:20 door Anoniem
Jammer jongens, Plasterk heeft op zijn papiertje staan dat de beveiliging prima geregeld is, dus dan is het zo.
07-06-2016, 15:09 door Anoniem
Door Anoniem: Jammer jongens, Plasterk heeft op zijn papiertje staan dat de beveiliging prima geregeld is, dus dan is het zo.
Er stond een politiek correct antwoord, niet dat de beveiliging prima geregeld is. Het is aan de Kamer om daar doorheen te prikken.
07-06-2016, 15:34 door Ron625
En hoeveel gemeenten vragen per email om je medische achtergrond en BSN ?
07-06-2016, 15:36 door Anoniem
Door Anoniem: De kamervragen lijken op de standaard vragen: niet concreet en gericht op een structurele oplossing....

Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.

(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)
07-06-2016, 16:11 door karma4
Door Ron625: En hoeveel gemeenten vragen per email om je medische achtergrond en BSN ?
Kan dat te maken hebben met het overhevelen van dat soort taken naar gemeentes in combinatie met de bezuinigingen gsdrang? Ofwel we vinden het niet meer onze taak maar die van de gemeentes. Die moeten zelf de financiën maar gaan regelen. Het is de participatie maatschappij in newspeak.
07-06-2016, 17:15 door Anoniem
Door Anoniem:
Door Anoniem: De kamervragen lijken op de standaard vragen: niet concreet en gericht op een structurele oplossing....

Als er iets niet aan de hand is, is het wel de waan van de dag. Email beveiliging is een structureel security onderwerp. Ben je misschien een gemeentelijk ambtenaar? Heb jij de test wel doorstaan? Dat is belangrijker dan afgeven op volksvertegenwoordigers die gewoon hun werk doen. Het zijn geen ontwikkelaars en ze hoeven geen oplossing te bieden, dat is de taak van de minister.

(Al heb ik wel een gruwelijke grafhekel aan mensen die leidende vragen stellen. Logica-technisch zijn die ook niet beantwoordbaar, maar ja 2e kamer.)

Ik denk dat ik niet duidelijk mijn grieven heb beschreven. Natuurlijk is email beveiliging een structureel probleem, maar morgen is het publieke web site bescherming, overmorgen betreft het de anti-malware op werkplekken, en daarna is er wel weer iets anders.
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.

Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.

Q
07-06-2016, 20:05 door Ron625 - Bijgewerkt: 07-06-2016, 20:06
Door karma4:Kan dat te maken hebben met het overhevelen van dat soort taken naar gemeentes in combinatie met de bezuinigingen gsdrang?
Nee, dat heeft m.i. te maken met laksheid.
Een voorbeeld:
Toen MS stopte met de ondersteuning van XP (april 2014), heb ik 6 maanden later (oktober) gevraagd, waarom er bij de gemeente nog steeds met XP werd gewerkt.
Het verbazende antwoord was, dat in een nieuwere Windows versie de scripts voor formulieren niet werkten.
Onzin, een Windows script is toch een .bat file, maar ze hadden het dus over het Office (2007) pakket.
Nadat ik ze vertelde, dat hetzelfde office (2007) pakket ook werkte onder Windows-7, was er verbazing al om.
De ICT afdeling wist het, maar wachtte op het management, maar het management had geen idee!!!!!
Toen ik ze ook nog vertelde, dat ze al (minimaal) 3 jaar eerder hadden kunnen (en moeten) beginnen met een overstap, was de boot aan.
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen, maar bij een (lokale) overheid schijnt dit soort geblunder te mogen, zonder dat het consequenties heeft voor betrokken ambtenaar.
[/OffTopic]
08-06-2016, 06:59 door Anoniem
Ik denk dat ik niet duidelijk mijn grieven heb beschreven. Natuurlijk is email beveiliging een structureel probleem, maar morgen is het publieke web site bescherming, overmorgen betreft het de anti-malware op werkplekken, en daarna is er wel weer iets anders.
Mijn opmerking betreft het nu noemen van één ding, terwijl er al een BIG (Baseline Informatiebeveiliging Gemeente en BIR: Baseline Informatiebeveiliging Rijksoverheid) is. De BIG is een strategisch/taktisch normenkader gebaseerd op ISO27000 die dit soort zaken adresseert. Omdat het strategisch/taktisch is worden er geen expliciete technieken genoemd zoals DKIM of DMARC, maar wordt in hoofdlijnen beschreven dat er informatiebeveiliging moet zijn en hoe dit op hoofdlijnen moet worden ingericht. Het probleem is dat diverse overheidsinstellingen stil blijven staan omdat er of geen jaarlijkse evaluatie is, of de lokale kennis ontbreekt om de informatiebeveiliging te laten mee groeien met nieuwe technieken en dreigingen.

Vandaar mijn opmerking: als er nu een jaarlijkse toelichting is, waarbij nieuwe dreigingen en beschermingstechnieken worden toegelicht, dan kan een overheids instelling zich niet verschuilen achter opmerkingen als: "Oh, ik heb nog nooit van DKIM gehoord, moet dat dan?". Dat is vele malen effectiever dan proberen om continue strategische normenkaders toe te voegen die gericht zijn op operationele zaken.

Q

De overheid kan zich sowieso nooit verschuilen achter een gebrek aan kennis. Meer papier en controle is niet de oplossing naar mijn mening. Papier is geduldig, we hebben er al te veel van en het verschil tussen papier en de werkelijkeid wordt alsmaar groter. De VNG heeft een taak in educatie en advies. Ik zie meer in het positief agenderen dan nog meer regeltjes.

De Tweede Kamer heeft een controlerende taak, dus ik zie daar geen probleem. Als er een misstand wordt aangekaart is dat prima.
08-06-2016, 08:47 door karma4 - Bijgewerkt: 08-06-2016, 08:47
Door Ron625:Nee, dat heeft m.i. te maken met laksheid.
..
In het bedrijfsleven hadden er gelijk een paar onbenullen uitgevlogen,
..
Als je naar de root cause op zoek bent is wat je zegt best on-topic. Met dat voorbeeld wat je laksheid noemt kan ik me goed in vinden. Ook dat er op de vloer best mensen te vinden waren die wisten wat er gebeuren moest.
Wat je aangeeft is den ik geen laksheid maar onkunde en bewust negeren dan wel andere agenda's van de managers.

Dat is een cultuur dat in het bedrijfsleven nog veel sterker is dan bij overheden. Het is de macht en monopolie vanuit de hiërarchie. Als je als betrokken werknemer wat zegt dan kan je vertrekken. Dat heb jij ook ervaren (de boot was aan)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.