De helft van de overheidsdomeinen is kwetsbaar voor e-mailspoofing waardoor de derde overheidsbrede streefbeeldafspraak waarschijnlijk niet wordt gehaald, zo blijkt uit een meting van het Forum Standaardisatie onder 548 domeinnamen van de overheid (pdf).
Voor de meting werd er gekeken naar het toepassen van web- en mailbeveiligingsstandaarden op overheidsdomeinen. De webstandaarden worden gemiddeld beter toegepast dan de mailstandaarden (92 procent versus 77 procent). Het gaat dan om gebruik van standaarden zoals https en hsts die voor een versleutelde verbinding zorgen.
Bij mailstandaarden is dat een ander verhaal. Het gebruik van DNSSEC op mailservers neemt juist af en de anti-spoofing e-mailstandaard DMARC is op slechts 49 procent van de overheidsdomeinen voldoende strikt geconfigureerd. DMARC helpt, in combinatie met e-mailstandaarden DKIM en SPF, om e-mailspoofing te voorkomen.
"E-mailspoofing is dat een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen. Zo bleek het in 2017 mogelijk om namens Mark Rutte en de AIVD te mailen, en hebben de Tweede Kamer en de AIVD sindsdien hun e-mailbeveiliging op orde gebracht", zo legt het Forum uit.
Ook het gebruik van DANE is met 45 procent nog onvoldoende. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.
Binnen de overheid zijn afspraken gemaakt om de eerder genoemde standaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moeten eind dit jaar in ieder geval STARTTLS en DANE voor encryptie van mailverkeer en SPF en DMARC juist hebben ingesteld. "Zonder aanvullende inspanningen zal zo goed als volledige adoptie van de mailstandaarden uit de derde streefbeeldafspraak eind 2019 lastig te realiseren zijn", zo stelt het Forum Standaardisatie.
Met name de waterschappen lopen achter als het om mailstandaarden gaat, terwijl die samen met gemeenten op het gebied van webstandaarden juist weer voorop lopen. Volgens het Forum is het van belang dat overheidsorganisaties hun verantwoordelijkheid nemen en domeinen, websites en e-mail adequaat beveiligen en daarin de informatieveiligheidstandaarden meenemen. Om de uitrol van e-mailstandaarden te versnellen wordt er gekeken naar het in beweging krijgen van grotere mailleveranciers en een wettelijke verplichting.
Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid.
Deze posting is gelocked. Reageren is niet meer mogelijk.