image

Staatssecretaris: Gemeenten zijn bezig met veilig e-mailen

dinsdag 23 januari 2018, 11:17 door Redactie, 14 reacties

Alle Nederlandse gemeenten zijn bezig met het nemen van maatregelen om veilig te e-mailen, zo heeft staatssecretaris Knops van Binnenlandse Zaken op Kamervragen van GroenLinks laten weten. Aanleiding voor de vragen was onderzoek waaruit bleek dat de meeste gemeenten onveilig e-mailen.

Bij het onderzoek werd gekeken naar het gebruik van verschillende veiligheidsstandaarden voor e-mail, zoals DMARC, DKIM en SPF, alsmede DNSSEC en STARTTLS. "Over de hele linie is vooruitgang te zien en voor alle standaarden zien we een hogere score. Waar dit voorjaar slechts 3 organisaties in de test 100% scoorden, zijn dat er nu 15. Bovendien is het aantal organisaties dat geen enkele standaard heeft geïmplementeerd gedaald van 32 naar 2", aldus de onderzoekers van Telengy.

GroenLinks-Kamerlid Özütok wilde van Knops weten wat de oorzaken zijn van het feit dat veel gemeenten nog niet volledig gebruik maken van de standaarden voor veilig e-mailverkeer. "Gemeenten werken zonder uitzondering aan hun informatiebeveiliging. Onderdeel daarvan is de implementatie van de informatieveiligheidsstandaarden op de pastoe-of-leg-uit-lijst van het Forum Standaardisatie", antwoordt de staatssecretaris.

Knops merkt op dat gemeenten onder hun eigen integrale verantwoordelijkheid invulling geven aan informatiebeveiliging en daarbij de normen van de Baseline Informatiebeveiliging Gemeenten (BIG) volgen. Daarin worden zij ondersteund door de informatiebeveiligingsdienst voor gemeenten. De visitatiecommissie Informatieveiligheid heeft in de afgelopen tijd een ronde gemaakt langs Nederlandse gemeenten. "Dit toont dat gemeenten op zowel operationeel als bestuurlijk niveau, individueel en gezamenlijk werk maken van informatiebeveiliging. Niet alle gemeenten nemen echter dezelfde maatregelen in hetzelfde tempo en dezelfde volgorde", aldus Knops.

De staatssecretaris laat verder weten dat informatiebeveiliging meer is dan het implementeren van een aantal technische standaarden. "De beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen hangt van techniek af, maar voor een groot deel gaat het ook om veilige (werk)processen, doorlopend werken aan bewustwording onder medewerkers en een veilige inrichting van de organisatie."

Prestaties

Het Forum Standaardisatie meet ieder halfjaar de toepassing van de informatieveiligheidsstandaarden bij overheidsorganisaties. "Gemeenten doen het in deze metingen relatief goed ten opzichte van de medeoverheden als geheel. Gemeenten hebben een flinke inhaalslag gemaakt, en presteren ten opzichte van andere overheden gemiddeld het best", schrijft de staatssecretaris (pdf). In februari wordt de meting van het Forum Standaardisatie over geheel 2017 verwacht.

Reacties (14)
23-01-2018, 11:32 door Anoniem
Gemeenten zijn toch autonoom in hun beleidsbeslissingen, dus deze vraag stellen aan een staatssecretaris ... Zelfs het NCSC verwijst me telkens naar de VNG, dus ...
23-01-2018, 12:17 door Anoniem
Hopelijk volgt er eens een goede open source DMARC RUF/RUA analyser.
Data delen met cloud diensten is niet mijn ding.
23-01-2018, 13:04 door Anoniem
Nu de ministeries nog. Er zijn erbij die nog altijd onversleuteld emails sturen.
23-01-2018, 13:12 door Anoniem
Nog genoeg werk te verzetten. Zie onder andere ook www.faalkaart.nl.
Fijn overzicht om een stuk bewustwording (imago?) mee inzichtelijk te maken.
Gelukkig zijn ze heel gevoelig voor gezichtsverlies richting andere gemeenten; want de buurgemeente heeft het wel op orde...
23-01-2018, 13:13 door Anoniem
Volgens mij beveilig je met de genoemde technieken allen het transport van de email, maar niet de email zelf... op alle tussenpunten komt de mail onbeveiligd voorbij. Veilig mailen heet GPG. De rest is veilig email-transport.
23-01-2018, 13:28 door Anoniem
Door Anoniem: Gemeenten zijn toch autonoom in hun beleidsbeslissingen, dus deze vraag stellen aan een staatssecretaris ... Zelfs het NCSC verwijst me telkens naar de VNG, dus ...

Nee, ze zijn autonoom in de invulling van beleid dat door de centrale overheid opgesteld is. Zo werkt dat overal: een hogere in rang (in dit geval de overheid: verantwoordelijk voor het gehele land) kan taken delegeren naar ondergeschikten met daarbij de doelstellingen (wat moet er bereikt worden) en de kaders (waar moet je je aan houden bij het uitvoeren).
Zo werkt dat in iedere organisatie: een directeur geeft niet aan medewerkers instructies hoe ze stap voor stap hun werk moeten doen (bv. pak de kwats, stop hem in de verf, beweeg nu met de kwast tegen de schutting op en neer totdat de hele schutting in de verf zit) maar wat ze moeten bereiken (ga bij klant X de schutting schilderen, en graag voor volgende week af) omdat de directeur wel weet WAT er gedaan moet worden en binnen welke kaders maar niet HOE.

Bij overheid is er ook een hierarchie: De centrale overheid geeft via beleid aan dat communicatie veilig moet, en de gemeenten vullen dat in.

Hierbij zijn de gemeenten overigens niet helemaal autonoom: ze zitten met z'n allen in de VNG en hebben daar vastgesteld dat het implementeren van de diverse standaarden (SPF, DKIM, DMARC) de beste manier is (de invulling, het HOE). Omdat ze dat samen hebben besloten (is veel efficienter dan iedere gemeente voor zich) hebben ze zich ook gecommit om op deze manier veilige communicatie te implementeren. (en bv. dus niet per aangetekende brieven)

Q
23-01-2018, 14:09 door Anoniem
Door Anoniem: Gemeenten zijn toch autonoom in hun beleidsbeslissingen, dus deze vraag stellen aan een staatssecretaris ... Zelfs het NCSC verwijst me telkens naar de VNG, dus ...

Ik probeer te snappen wat je hier wilt zeggen, wat is je punt?
23-01-2018, 14:52 door Anoniem
Even gechecked; de 4 G's hebben allen Dmarc niet in Reject mode staan.................kan nog wel even doorgaan. Een grote farce het antwoord van de staatssecretaris. Teveel projecten te weinig kennis en handjes, niemand heeft het overzicht.
23-01-2018, 16:54 door Anoniem
Als iedereen s/mime en/of pgp zou gebruiken dan zou alle meuk ertussenin niet meer uitmaken en zou er ook geen spam en phishing meer zijn. Dus waarom concentreert men zich niet daarop?
23-01-2018, 17:33 door Anoniem
Door Anoniem: Gemeenten zijn toch autonoom in hun beleidsbeslissingen, dus deze vraag stellen aan een staatssecretaris ... Zelfs het NCSC verwijst me telkens naar de VNG, dus ...

Niet helemaal waar. Pasgeleden hebben we nog wat meldingen gedaan naar het NCSC met betrekking tot de Gemeenten. Deze hebben ze netjes doorgestuurd en afgehandeld.
23-01-2018, 17:41 door Anoniem
Door Anoniem: Als iedereen s/mime en/of pgp zou gebruiken dan zou alle meuk ertussenin niet meer uitmaken en zou er ook geen spam en phishing meer zijn. Dus waarom concentreert men zich niet daarop?
Omdat het makkelijker is om het probleem in de infrastructuur op te lossen (SPF, DKIM, DMARC). Het is misschien niet 100% maar dat is s/mime en pgp ook niet.

Jouw oplossing schaalt niet:
- s/mime vereist een (centrale) infrastructuur die de betreffende certificaten kan uitgeven. Leuk (maar kostbaar en complex) voor bedrijven maar geen oplossing voor particulieren. Of wil je een centraal DigiD-achtige structuur om s/mime te ondersteunen?
- pgp vereist dat je de communicatie partner op één of andere manier kent en sleutels hebt uitgewisseld, of weer een centrale proxy die op basis van een web-of-trust aangeeft of de betreffende sleutels en email adressen bij elkaar horen. Dat laatste is echter eenvoudig te faken: pak een groep van 100 accounts die onderling elkaars keys tekent, en je hebt een zelfstandige web-of-trust. Daarnaast is het voor de gemiddelde gebruiker niet te doen.

Q
23-01-2018, 19:05 door Anoniem
Door Anoniem:
Door Anoniem: Gemeenten zijn toch autonoom in hun beleidsbeslissingen, dus deze vraag stellen aan een staatssecretaris ... Zelfs het NCSC verwijst me telkens naar de VNG, dus ...

Ik probeer te snappen wat je hier wilt zeggen, wat is je punt?

Ik ben niet de auteur van deze reactie, maar ik snap 'm wel. De antwoorden zijn niet in lijn met de inrichting van het Nederlandse openbaar bestuur. We hebben in Nederland een kleine 400 gemeentes. Deze gemeentes zijn qua ICT zelf beslissingsbevoegd. De Staatssecretaris kan Gemeentes wel verzoeken iets te doen, maar niet zomaar opleggen (kaders van Algemene Wet Bestuursrecht en Gemeentewet).

Het lijkt erop dat de auteur ook contact heeft gehad met het Nationaal Cyber Security Center (NCSC) en dat het NCSC voor een antwoord naar VNG heeft verwezen. Nu ken ik de vraag niet, dus is oordelen over deze verwijzing kan ik niet. Maar VNG is niets anders dan een lobbyclub van gemeentes. Ook de VNG heeft niets te vertellen over wat gemeentes doen en moeten. Als je iets van Gemeentes wil weten, zal je ze - als je het van allemaal wil weten - alle 380 langs moeten gaan.
24-01-2018, 11:30 door Anoniem
Door Anoniem: Volgens mij beveilig je met de genoemde technieken allen het transport van de email, maar niet de email zelf... op alle tussenpunten komt de mail onbeveiligd voorbij. Veilig mailen heet GPG. De rest is veilig email-transport.
Ha, volgens mij ben jij de enige die het snapt. Veilige e-mail uitwisseling behelst meer dan alleen het transport ervan. Ook al gebruik je de transport beveiligingen, stuur een vertrouwelijk document naar een verkeerde ontvanger en dat document komt daar dan ook veilig aan, maar is dat veilige e-mail? Denk het niet want er moet ook nog een versleutelingslaag overheen om ook de inhoud zelf veilig te maken zodat de onbevoegde wel iets binnen kan krijgen maar daar verder niets mee kan..
Maar misschien moeten we wel helemaal van dat gedrocht e-mail af en over naar een soort corporate P2P oplossingen. Als ik met jou gegevens moet delen starten we een P2P verbinding en wisselen daar de gegevens via uit. Versleutelde verbinding met versleutelde gegevens die alleen de juiste ontvanger kan openen. Lijkt mij technisch niet eens zo heel ingewikkeld uit te voeren.
29-01-2018, 17:44 door Anoniem
het draaft soms helemaal door! bij de Gemeente Rotterdam kunnen ze zelfs naar collega’s geen excel bestand sturen omdat dit attachment type niet geregistreerd is. Natuurlijk is beveiliging belangrijk, maar waar we villedig aan voorbij gaan zijn 2 belangrijke punten:
- als je het ongandig en ingewikkeld maakt, gaan mensen alternatieven zoeken die meteen veel onveiliger zijn
- je moet niet teveel lapmiddeltjes gebruiken om iemand te laten drijven, je moet de persoon leren zwemmen,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.