image

Alle overheden moeten e-mailbeveiliging eind 2019 op orde hebben

woensdag 2 mei 2018, 13:47 door Redactie, 30 reacties

Alle overheden moeten eind 2019 de e-mailbeveiliging op orde hebben en maatregelen tegen afluisteren en phishing hebben uitgerold. Daar heeft het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op advies van Forum Standaardisatie mee ingestemd.

De nieuwe afspraak volgt op de overheidsbrede streefbeeldafspraak die eind 2017 afliep. Deze laatste afspraak ging over de implementatie van DNSSEC, TLS en DMARC+DKIM+SPF. Maatregelen die gebruikers respectievelijk tegen malafide websites beschermen, van versleutelde verbindingen gebruik laten maken en phishingmails tegengegaan. Inmiddels maakt 80 procent van de overheidsdomeinen hier gebruik van.

Als onderdeel van de nieuwe streefbeeldafspraak moeten alle overheden voor eind 2019 de beveiligingsmaatregelen STARTTLS en DANE hebben geïmplementeerd, alsmede strikte instellingen voor DMARC en SPF hebben doorgevoerd. STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. "Door STARTTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren", aldus Forum Standaardisatie.

Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen. Via DMARC kunnen organisaties voorkomen dat anderen e-mails namens het e-maildomein van de organisatie versturen. DMARC maakt gebruik van SPF. Via het Sender Policy Framework (SPF) kunnen providers controleren of een e-mail ook daadwerkelijk van het opgegeven e-mailadres afkomstig is.

Alle genoemde standaarden staan ook op de 'pas toe of leg uit'-lijst die overheden verplicht om bij aanschaf van nieuwe ict-systemen te kiezen voor deze standaarden. Forum Standaardisatie blijft meten hoe ver overheden met de implementatie van de maatregelen zijn en zal dit aan het OBDO rapporteren.

Reacties (30)
02-05-2018, 14:10 door Anoniem
Zolang het geen end-to-end encryption is, blijft het natuurlijk een wassen neus: teveel mensen kunnen mee lezen.
02-05-2018, 14:26 door Anoniem
En weer zijn het geen harde afspraken maar richtlijnen. Want je mag afwijken als je een goed excuus hebt. Nou reken maar dat die gevonden gaan worden.

Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?

Als dit net zo gaat als bij de AP, dan zal er niets veranderen, en blijft de boel lek. Want geen boetes als straf is geen stok achter de deur om te veranderen.


TheYOSH
02-05-2018, 14:31 door Anoniem
Hoeveel belastinggeld gaat er nu weer verspild worden door de roverheid?
02-05-2018, 15:04 door Anoniem
Overheden! Meervoud?
ajb, ik vind 1 (één) overheid wel genoeg.
02-05-2018, 15:13 door Anoniem
Ach - even niet verder gelezen dan mijn neus lang was!

Via https://dnssec-analyzer.verisignlabs.com/mijnoverheid.nl kan je een en ander natuurlijk zelf controleren!

TheYOSH
02-05-2018, 15:34 door Anoniem
Door Anoniem: En weer zijn het geen harde afspraken maar richtlijnen. Want je mag afwijken als je een goed excuus hebt. Nou reken maar dat die gevonden gaan worden.

Hmm.. hoe weet jij dat het geen harde afspraken zijn? Of heb ik iets gemist? Ik zie het toverwoord 'moeten' :)

G.
02-05-2018, 15:38 door Anoniem
Wel weer de typische jank-opmerkingen hier: alles wat de overheden doen is per definitie slecht. Beetje jammer, want ik denk dat dergelijke richtlijnen weldegelijk bij kunnen dragen aan een veiliger internet.
02-05-2018, 16:01 door -karma4
Door Anoniem: Hoeveel belastinggeld gaat er nu weer verspild worden door de roverheid?

Figuren die over 'de roverheid' spreken verdienen het om geregeerd te worden! Vooral gewoon netjes doen wat je gezegd wordt! Niet zelf gaan nadenken! (Dat zal op andere vlakken ook niet zo'n succes zijn geweest, nietwaar?)
02-05-2018, 16:02 door Anoniem
Door Anoniem: Hoeveel belastinggeld gaat er nu weer verspild worden door de roverheid?

Kun je eens uitleggen waarom je in elke post weer moet laten weten waarom je de overheid "roverheid" noemt?
Wat zijn je concrete redenen?
02-05-2018, 16:07 door karma4
Eenvoudiger is om interne overheidsmail niet over een publiek internet uit te wisselen.
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.
02-05-2018, 16:21 door Anoniem
topic: "Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen."

Waarom nou weer STARTTLS? Waarom niet meteen SSL/TLS?
Of is een smtp-server misschien niet zodanig aan te passen dat hij onmiddellijk SSL/TLS accepteert?
02-05-2018, 16:28 door Anoniem
Door karma4: Eenvoudiger is om interne overheidsmail niet over een publiek internet uit te wisselen.
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.

Volgens mij hebben ze het over publiek mailverkeer. Het mailverkeer zal ooit toch op het woeste Internet moeten verschijnen om te kunnen communiceren met de buitenwereld. En vice versa.

G.
02-05-2018, 16:35 door Anoniem
Door Anoniem:
Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?
TheYOSH
Het controleren gebeurt gelukkig al een jaar of 2, zie https://faalkaart.nl.
Hier is een groep onderzoekers/publicisten bezig met het inzicht geven per gemeente.

Helaas zitten er geen maatregelen (of boetes) aan vast.
Als burger kan je er natuurlijk wel vragen over stellen, maar ja.
Hopen dat het een imago-ding wordt onder burgermeesters...!
02-05-2018, 16:48 door Anoniem
Door Anoniem:
Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?
TheYOSH
Het controleren gebeurt gelukkig al een jaar of 2, zie https://faalkaart.nl.
Hier is een groep onderzoekers/publicisten bezig met het inzicht geven per gemeente.

Helaas zitten er geen maatregelen (of boetes) aan vast.
Als burger kan je er natuurlijk wel vragen over stellen, maar ja.
Hopen dat het een imago-ding wordt onder burgermeesters...!
02-05-2018, 16:58 door Anoniem
DMARC maakt gebruik van SPF *en* DKIM, niet enkel SPF. Gelukkig overigens, want SPF is ruk.
02-05-2018, 18:07 door Anoniem
Door Anoniem: DMARC maakt gebruik van SPF *en* DKIM, niet enkel SPF. Gelukkig overigens, want SPF is ruk.
SPF en/of DKIM...
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.
02-05-2018, 19:29 door karma4
Door Anoniem:
Door karma4: Eenvoudiger is om interne overheidsmail niet over een publiek internet uit te wisselen.
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.

Volgens mij hebben ze het over publiek mailverkeer. Het mailverkeer zal ooit toch op het woeste Internet moeten verschijnen om te kunnen communiceren met de buitenwereld. En vice versa.

G.
Doe je een aanname over het besloten zijn van het overheidsnetwerk? De digikoppeling is zoiets maar voorziet niet in mail
https://www.logius.nl/diensten/diginetwerk/ er wordt aan gewerkt https://magazines.rvig.nl/idee/2018/2/diginetwerkmail Als overheden intern met elkaar mailen is nu de er tussenliggende kwetsbaarheid publieke infrastructuur van het woeste internet. Dit is vaak informatie welke je intern in de overheid gecontroleerd wilt houden.

Het forum standaardisatie heeft het enkele over de techniek. Daar heb je gelijk dat zou goed op orde moeten zijn voor communiceren buiten de overheid. Zodra het buiten de overheid komt is het een andere risicoklasse. Er is geen controle meer mogelijk wie wat eventueel doorstuurt.
02-05-2018, 20:15 door Anoniem
Je kan ook domeinnamen checken op deze standaarden mbv de e-mailtest op https://internet.nl.
02-05-2018, 20:22 door Anoniem
Een streefbeeldafspraak is geen verplichting, het is een losse afspraak. Van die afspraken die gemaakt worden tijdens een avondje stappen. Iemand stelt dan voor om toch echt eens met z'n allen naar een concert van een of ander obscuur bandje te gaan, en waarop iedereen dan ja zegt. De vraag en het instemmen zijn op dat moment leuk voor de saamhorigheid. Maar als het er op aan komt is maar een klein deel van het groepje bereid om geld te lappen en tijd vrij te maken om er echt heen te gaan. Dat gaat goed zolang iedereen kan accepteren dat de uitkomst niet is wat is afgesproken. Niemand voert controle uit of de streefbeeldafspraken wel worden nagekomen en dat is voor de overheden die er mee instemde prima. Die hebben geen behoefte om er een verplichting van te maken.
02-05-2018, 20:22 door Anoniem
Door Anoniem:
Door Anoniem: DMARC maakt gebruik van SPF *en* DKIM, niet enkel SPF. Gelukkig overigens, want SPF is ruk.
SPF en/of DKIM...
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.

Incorrect. Je kunt in DMARC aangeven welke van de twee geldig moeten zijn, dat kan dus ook best beide zijn.
02-05-2018, 20:26 door Anoniem
Goed voorbeeld doet goed volgen, petje af!
02-05-2018, 20:37 door Anoniem
Nou een toetsingscommissie maakt ook wel eens fouten,waar gwerkt wordt kunnen altijd wel fouten ontstaan. Dus ook bij de nieuwe wet persoonsgegevens bescherming. Misschien nu juist nog extra,omdat alle instanties nog aan alle nieuwe regels moeten wennen.
02-05-2018, 23:28 door Briolet
Door Anoniem: DMARC maakt gebruik van SPF *en* DKIM, niet enkel SPF. Gelukkig overigens, want SPF is ruk.
Het is echt *of*.

DMARC test wel beide, maar het is voldoende dat één van beide klopt. Dus mail met alleen SPF, zonder DKIM of zelfs falende DKIM, wordt goedgekeurd door DMARC. De eisen aan SPF zijn wel strenger dan een pure SPF check.
03-05-2018, 01:26 door Anoniem
Via https://dnssec-analyzer.verisignlabs.com/mijnoverheid.nl kan je een en ander natuurlijk zelf controleren!

Die test DNSSEC.

op https://internet.nl/ test je daarnaast ook nog: TLS, IPv6, DMARC, DKIM, SPF op domeinnamen en, als je wilt, ook nog of je eigen verbinding aan IPv6 en DNSSEC (validatie) doet.
03-05-2018, 01:28 door Anoniem
Door Anoniem: Je kan ook domeinnamen checken op deze standaarden mbv de e-mailtest op https://internet.nl.

Jammer... security.nl scoort geen 100%...

https://internet.nl/site/security.nl/235599/
03-05-2018, 09:03 door Anoniem
Zolang het geen end-to-end encryption is, blijft het natuurlijk een wassen neus: teveel mensen kunnen mee lezen

Geen enkele maatregel maakt onkwetsbaar. Niet anders dan bij je huis. Een slot op je voordeur voorkomt niet dat men je raam ingooit, en zo binnenkomt. Toch neem ik aan dat je bijvoorbeeld je voordeur op slot doet.

Overigens zegt end-to-end encryptie weer geheel niets over de veiligheid van data-at-rest, enkel van data-in-motion. Is E2E nu plotseling ook ''een wassen neus'' ?
03-05-2018, 10:39 door Anoniem
Wat wordt verstaan onder e-mailbeveiliging?
Vallen afluisteren en phishing ook niet onder e-mailbeveiliging?

Ik vind het allemaal maar krapjes geformuleerd en ononderbouwd. Je weet nu niet op basis waarvan er tot al de maatregelen wordt gekomen die vervolgens worden opgeschreven.

Waar komt de risico-analyse in het verhaal terug? Waar zijn de business eisen? Wat zijn wettelijke eisen die er worden gesteld? Dit zijn vragen die helpen wat we verstaan onder adequate e-mailbeveiliging.
03-05-2018, 12:40 door Anoniem
Door Anoniem: Je kan ook domeinnamen checken op deze standaarden mbv de e-mailtest op https://internet.nl.

Waardeloze site. geeft alleen maar foutmelding terug.
03-05-2018, 15:46 door Anoniem
Door Anoniem: 2-5-2018 20:22
Door Anoniem:
Door Anoniem: DMARC maakt gebruik van SPF *en* DKIM, niet enkel SPF. Gelukkig overigens, want SPF is ruk.
SPF en/of DKIM...
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.

Incorrect. Je kunt in DMARC aangeven welke van de twee geldig moeten zijn, dat kan dus ook best beide zijn.

Zou je aan kunnen geven hoe?
AFAIK niet volgens:
https://tools.ietf.org/html/rfc7489
04-05-2018, 21:37 door karma4
Door Anoniem: Wat wordt verstaan onder e-mailbeveiliging?
Vallen afluisteren en phishing ook niet onder e-mailbeveiliging?

Ik vind het allemaal maar krapjes geformuleerd en ononderbouwd. Je weet nu niet op basis waarvan er tot al de maatregelen wordt gekomen die vervolgens worden opgeschreven.

Waar komt de risico-analyse in het verhaal terug? Waar zijn de business eisen? Wat zijn wettelijke eisen die er worden gesteld? Dit zijn vragen die helpen wat we verstaan onder adequate e-mailbeveiliging.
Eens ... goede vragen. De nerds verliezen zich in de techniek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.