Alle overheden moeten e-mailbeveiliging eind 2019 op orde hebben
Alle overheden moeten eind 2019 de e-mailbeveiliging op orde hebben en maatregelen tegen afluisteren en phishing hebben uitgerold. Daar heeft het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op advies van Forum Standaardisatie mee ingestemd.
De nieuwe afspraak volgt op de overheidsbrede streefbeeldafspraak die eind 2017 afliep. Deze laatste afspraak ging over de implementatie van DNSSEC, TLS en DMARC+DKIM+SPF. Maatregelen die gebruikers respectievelijk tegen malafide websites beschermen, van versleutelde verbindingen gebruik laten maken en phishingmails tegengegaan. Inmiddels maakt 80 procent van de overheidsdomeinen hier gebruik van.
Als onderdeel van de nieuwe streefbeeldafspraak moeten alle overheden voor eind 2019 de beveiligingsmaatregelen STARTTLS en DANE hebben geïmplementeerd, alsmede strikte instellingen voor DMARC en SPF hebben doorgevoerd. STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. "Door STARTTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren", aldus Forum Standaardisatie.
Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen. Via DMARC kunnen organisaties voorkomen dat anderen e-mails namens het e-maildomein van de organisatie versturen. DMARC maakt gebruik van SPF. Via het Sender Policy Framework (SPF) kunnen providers controleren of een e-mail ook daadwerkelijk van het opgegeven e-mailadres afkomstig is.
Alle genoemde standaarden staan ook op de 'pas toe of leg uit'-lijst die overheden verplicht om bij aanschaf van nieuwe ict-systemen te kiezen voor deze standaarden. Forum Standaardisatie blijft meten hoe ver overheden met de implementatie van de maatregelen zijn en zal dit aan het OBDO rapporteren.
Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?
Als dit net zo gaat als bij de AP, dan zal er niets veranderen, en blijft de boel lek. Want geen boetes als straf is geen stok achter de deur om te veranderen.
TheYOSH
Via https://dnssec-analyzer.verisignlabs.com/mijnoverheid.nl kan je een en ander natuurlijk zelf controleren!
TheYOSH
Hmm.. hoe weet jij dat het geen harde afspraken zijn? Of heb ik iets gemist? Ik zie het toverwoord 'moeten' :)
G.
Figuren die over 'de roverheid' spreken verdienen het om geregeerd te worden! Vooral gewoon netjes doen wat je gezegd wordt! Niet zelf gaan nadenken! (Dat zal op andere vlakken ook niet zo'n succes zijn geweest, nietwaar?)
Kun je eens uitleggen waarom je in elke post weer moet laten weten waarom je de overheid "roverheid" noemt?
Wat zijn je concrete redenen?
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.
Waarom nou weer STARTTLS? Waarom niet meteen SSL/TLS?
Of is een smtp-server misschien niet zodanig aan te passen dat hij onmiddellijk SSL/TLS accepteert?
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.
Volgens mij hebben ze het over publiek mailverkeer. Het mailverkeer zal ooit toch op het woeste Internet moeten verschijnen om te kunnen communiceren met de buitenwereld. En vice versa.
G.
Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?
TheYOSH
Hier is een groep onderzoekers/publicisten bezig met het inzicht geven per gemeente.
Helaas zitten er geen maatregelen (of boetes) aan vast.
Als burger kan je er natuurlijk wel vragen over stellen, maar ja.
Hopen dat het een imago-ding wordt onder burgermeesters...!
Zolang de overheid alleen maar papieren tijgers maakt, zal er niets veranderen. Wie gaat dit controleren? En wat zijn de maatregelen als ze niet aan de eisen voldoen? Komen er boetes?
TheYOSH
Hier is een groep onderzoekers/publicisten bezig met het inzicht geven per gemeente.
Helaas zitten er geen maatregelen (of boetes) aan vast.
Als burger kan je er natuurlijk wel vragen over stellen, maar ja.
Hopen dat het een imago-ding wordt onder burgermeesters...!
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.
Laat nu die samenwerking van vele overheidsdiensten een uitdaging via het uitbesteden hebben.
Volgens mij hebben ze het over publiek mailverkeer. Het mailverkeer zal ooit toch op het woeste Internet moeten verschijnen om te kunnen communiceren met de buitenwereld. En vice versa.
G.
https://www.logius.nl/diensten/diginetwerk/ er wordt aan gewerkt https://magazines.rvig.nl/idee/2018/2/diginetwerkmail Als overheden intern met elkaar mailen is nu de er tussenliggende kwetsbaarheid publieke infrastructuur van het woeste internet. Dit is vaak informatie welke je intern in de overheid gecontroleerd wilt houden.
Het forum standaardisatie heeft het enkele over de techniek. Daar heb je gelijk dat zou goed op orde moeten zijn voor communiceren buiten de overheid. Zodra het buiten de overheid komt is het een andere risicoklasse. Er is geen controle meer mogelijk wie wat eventueel doorstuurt.
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.
Incorrect. Je kunt in DMARC aangeven welke van de twee geldig moeten zijn, dat kan dus ook best beide zijn.
DMARC test wel beide, maar het is voldoende dat één van beide klopt. Dus mail met alleen SPF, zonder DKIM of zelfs falende DKIM, wordt goedgekeurd door DMARC. De eisen aan SPF zijn wel strenger dan een pure SPF check.
Die test DNSSEC.
op https://internet.nl/ test je daarnaast ook nog: TLS, IPv6, DMARC, DKIM, SPF op domeinnamen en, als je wilt, ook nog of je eigen verbinding aan IPv6 en DNSSEC (validatie) doet.
Jammer... security.nl scoort geen 100%...
https://internet.nl/site/security.nl/235599/
Geen enkele maatregel maakt onkwetsbaar. Niet anders dan bij je huis. Een slot op je voordeur voorkomt niet dat men je raam ingooit, en zo binnenkomt. Toch neem ik aan dat je bijvoorbeeld je voordeur op slot doet.
Overigens zegt end-to-end encryptie weer geheel niets over de veiligheid van data-at-rest, enkel van data-in-motion. Is E2E nu plotseling ook ''een wassen neus'' ?
Vallen afluisteren en phishing ook niet onder e-mailbeveiliging?
Ik vind het allemaal maar krapjes geformuleerd en ononderbouwd. Je weet nu niet op basis waarvan er tot al de maatregelen wordt gekomen die vervolgens worden opgeschreven.
Waar komt de risico-analyse in het verhaal terug? Waar zijn de business eisen? Wat zijn wettelijke eisen die er worden gesteld? Dit zijn vragen die helpen wat we verstaan onder adequate e-mailbeveiliging.
Waardeloze site. geeft alleen maar foutmelding terug.
voor DMARC hoeft maar een van de twee ok te zijn voor een pass.
Incorrect. Je kunt in DMARC aangeven welke van de twee geldig moeten zijn, dat kan dus ook best beide zijn.
Zou je aan kunnen geven hoe?
AFAIK niet volgens:
https://tools.ietf.org/html/rfc7489
Vallen afluisteren en phishing ook niet onder e-mailbeveiliging?
Ik vind het allemaal maar krapjes geformuleerd en ononderbouwd. Je weet nu niet op basis waarvan er tot al de maatregelen wordt gekomen die vervolgens worden opgeschreven.
Waar komt de risico-analyse in het verhaal terug? Waar zijn de business eisen? Wat zijn wettelijke eisen die er worden gesteld? Dit zijn vragen die helpen wat we verstaan onder adequate e-mailbeveiliging.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
