De overheid voldoet nog altijd niet aan de afspraken voor het beveiligen van e-mail, ook al had dit in 2019 al geregeld moeten zijn. Daardoor kunnen criminelen namens bijna een kwart van de onderzochte overheidsdomeinen vervalste e-mails versturen. Dat meldt het Forum Standaardisatie op basis van eigen onderzoek.
Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten in 2019 in ieder geval voor e-mail SPF en DMARC juist hebben ingesteld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt.
Een andere standaard die al geïmplementeerd had moeten zijn en dat niet is, is DANE. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.
"Met de implementatie en juiste strikte configuratie van anti-emailvervalsingstandaarden kan phishing worden bestreden. De OBDO streefbeeldafspraak om dat eind 2019 bij 100 procent van de gemeten e-maildomeinen op orde te hebben is nog niet gehaald", stelt het Forum Standaardisatie. "Bijna een kwart van de overheden voldoet nog niet. Phishingmails namens de achterblijvende organisaties (inclusief bewindspersonen) komen daardoor nog steeds bij burgers en bedrijven aan."
Het onderzoek laat verder zien dat e-mailvertrouwelijkheidstandaarden DNSSEC en DANE zelfs een lichte terugval tonen door toenemend gebruik van clouddiensten van voornamelijk Amerikaanse bedrijven, die deze standaarden nog niet ondersteunen. "Het is cruciaal dat overheden die nog niet voldoen aan de verplichtingen, hun leverancier blijven vragen om ondersteuning van alle standaarden. De afspraak was dat overheden uiterlijk eind 2019 ondersteuning hadden voor deze standaarden", merkt het Forum Standaardisatie op.
Microsoft werkt inmiddels voor haar cloudmaildienst Exchange Online aan de implementatie van DNSSEC en DANE. Ondersteuning voor inkomende mail laat langer op zich wachten en zou eind volgend jaar gereed moeten zijn. Het Forum Standaardisatie waarschuwt dat overheden tot die tijd een verhoogd risico op afluisteren van e-mailverkeer hebben.
Om de situatie te verbeteren doet het Forum Standaardisatie verschillende aanbevelingen. Zo kunnen beheerders van de mailserver DANE instellen en is het configureren van een voldoende strikte DMARC-policy volgens de organisatie kwestie van een goed, zorgvuldig configuratietraject door de ict-dienstverlener. Wanneer de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden, aldus één van de aanbevelingen.
Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid. Elk halfjaar voert het een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.