Staatssecretaris: Gemeenten zijn bezig met veilig e-mailen
Alle Nederlandse gemeenten zijn bezig met het nemen van maatregelen om veilig te e-mailen, zo heeft staatssecretaris Knops van Binnenlandse Zaken op Kamervragen van GroenLinks laten weten. Aanleiding voor de vragen was onderzoek waaruit bleek dat de meeste gemeenten onveilig e-mailen.
Bij het onderzoek werd gekeken naar het gebruik van verschillende veiligheidsstandaarden voor e-mail, zoals DMARC, DKIM en SPF, alsmede DNSSEC en STARTTLS. "Over de hele linie is vooruitgang te zien en voor alle standaarden zien we een hogere score. Waar dit voorjaar slechts 3 organisaties in de test 100% scoorden, zijn dat er nu 15. Bovendien is het aantal organisaties dat geen enkele standaard heeft geïmplementeerd gedaald van 32 naar 2", aldus de onderzoekers van Telengy.
GroenLinks-Kamerlid Özütok wilde van Knops weten wat de oorzaken zijn van het feit dat veel gemeenten nog niet volledig gebruik maken van de standaarden voor veilig e-mailverkeer. "Gemeenten werken zonder uitzondering aan hun informatiebeveiliging. Onderdeel daarvan is de implementatie van de informatieveiligheidsstandaarden op de pastoe-of-leg-uit-lijst van het Forum Standaardisatie", antwoordt de staatssecretaris.
Knops merkt op dat gemeenten onder hun eigen integrale verantwoordelijkheid invulling geven aan informatiebeveiliging en daarbij de normen van de Baseline Informatiebeveiliging Gemeenten (BIG) volgen. Daarin worden zij ondersteund door de informatiebeveiligingsdienst voor gemeenten. De visitatiecommissie Informatieveiligheid heeft in de afgelopen tijd een ronde gemaakt langs Nederlandse gemeenten. "Dit toont dat gemeenten op zowel operationeel als bestuurlijk niveau, individueel en gezamenlijk werk maken van informatiebeveiliging. Niet alle gemeenten nemen echter dezelfde maatregelen in hetzelfde tempo en dezelfde volgorde", aldus Knops.
De staatssecretaris laat verder weten dat informatiebeveiliging meer is dan het implementeren van een aantal technische standaarden. "De beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen hangt van techniek af, maar voor een groot deel gaat het ook om veilige (werk)processen, doorlopend werken aan bewustwording onder medewerkers en een veilige inrichting van de organisatie."
Prestaties
Het Forum Standaardisatie meet ieder halfjaar de toepassing van de informatieveiligheidsstandaarden bij overheidsorganisaties. "Gemeenten doen het in deze metingen relatief goed ten opzichte van de medeoverheden als geheel. Gemeenten hebben een flinke inhaalslag gemaakt, en presteren ten opzichte van andere overheden gemiddeld het best", schrijft de staatssecretaris (pdf). In februari wordt de meting van het Forum Standaardisatie over geheel 2017 verwacht.
Data delen met cloud diensten is niet mijn ding.
Fijn overzicht om een stuk bewustwording (imago?) mee inzichtelijk te maken.
Gelukkig zijn ze heel gevoelig voor gezichtsverlies richting andere gemeenten; want de buurgemeente heeft het wel op orde...
Nee, ze zijn autonoom in de invulling van beleid dat door de centrale overheid opgesteld is. Zo werkt dat overal: een hogere in rang (in dit geval de overheid: verantwoordelijk voor het gehele land) kan taken delegeren naar ondergeschikten met daarbij de doelstellingen (wat moet er bereikt worden) en de kaders (waar moet je je aan houden bij het uitvoeren).
Zo werkt dat in iedere organisatie: een directeur geeft niet aan medewerkers instructies hoe ze stap voor stap hun werk moeten doen (bv. pak de kwats, stop hem in de verf, beweeg nu met de kwast tegen de schutting op en neer totdat de hele schutting in de verf zit) maar wat ze moeten bereiken (ga bij klant X de schutting schilderen, en graag voor volgende week af) omdat de directeur wel weet WAT er gedaan moet worden en binnen welke kaders maar niet HOE.
Bij overheid is er ook een hierarchie: De centrale overheid geeft via beleid aan dat communicatie veilig moet, en de gemeenten vullen dat in.
Hierbij zijn de gemeenten overigens niet helemaal autonoom: ze zitten met z'n allen in de VNG en hebben daar vastgesteld dat het implementeren van de diverse standaarden (SPF, DKIM, DMARC) de beste manier is (de invulling, het HOE). Omdat ze dat samen hebben besloten (is veel efficienter dan iedere gemeente voor zich) hebben ze zich ook gecommit om op deze manier veilige communicatie te implementeren. (en bv. dus niet per aangetekende brieven)
Q
Ik probeer te snappen wat je hier wilt zeggen, wat is je punt?
Niet helemaal waar. Pasgeleden hebben we nog wat meldingen gedaan naar het NCSC met betrekking tot de Gemeenten. Deze hebben ze netjes doorgestuurd en afgehandeld.
Jouw oplossing schaalt niet:
- s/mime vereist een (centrale) infrastructuur die de betreffende certificaten kan uitgeven. Leuk (maar kostbaar en complex) voor bedrijven maar geen oplossing voor particulieren. Of wil je een centraal DigiD-achtige structuur om s/mime te ondersteunen?
- pgp vereist dat je de communicatie partner op één of andere manier kent en sleutels hebt uitgewisseld, of weer een centrale proxy die op basis van een web-of-trust aangeeft of de betreffende sleutels en email adressen bij elkaar horen. Dat laatste is echter eenvoudig te faken: pak een groep van 100 accounts die onderling elkaars keys tekent, en je hebt een zelfstandige web-of-trust. Daarnaast is het voor de gemiddelde gebruiker niet te doen.
Q
Ik probeer te snappen wat je hier wilt zeggen, wat is je punt?
Ik ben niet de auteur van deze reactie, maar ik snap 'm wel. De antwoorden zijn niet in lijn met de inrichting van het Nederlandse openbaar bestuur. We hebben in Nederland een kleine 400 gemeentes. Deze gemeentes zijn qua ICT zelf beslissingsbevoegd. De Staatssecretaris kan Gemeentes wel verzoeken iets te doen, maar niet zomaar opleggen (kaders van Algemene Wet Bestuursrecht en Gemeentewet).
Het lijkt erop dat de auteur ook contact heeft gehad met het Nationaal Cyber Security Center (NCSC) en dat het NCSC voor een antwoord naar VNG heeft verwezen. Nu ken ik de vraag niet, dus is oordelen over deze verwijzing kan ik niet. Maar VNG is niets anders dan een lobbyclub van gemeentes. Ook de VNG heeft niets te vertellen over wat gemeentes doen en moeten. Als je iets van Gemeentes wil weten, zal je ze - als je het van allemaal wil weten - alle 380 langs moeten gaan.
Maar misschien moeten we wel helemaal van dat gedrocht e-mail af en over naar een soort corporate P2P oplossingen. Als ik met jou gegevens moet delen starten we een P2P verbinding en wisselen daar de gegevens via uit. Versleutelde verbinding met versleutelde gegevens die alleen de juiste ontvanger kan openen. Lijkt mij technisch niet eens zo heel ingewikkeld uit te voeren.
- als je het ongandig en ingewikkeld maakt, gaan mensen alternatieven zoeken die meteen veel onveiliger zijn
- je moet niet teveel lapmiddeltjes gebruiken om iemand te laten drijven, je moet de persoon leren zwemmen,
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
