Overheid heeft beveiliging van web- en e-mailverkeer nog altijd niet op orde
Ondanks afspraken heeft de overheid de beveiliging van web- en e-mailverkeer nog altijd niet op orde, waardoor er een verhoogde kans is op manipulatie en afluisteren van verkeer of het versturen van phishingmails uit naam van overheidsorganisaties. Daarvoor waarschuwt het Forum Standaardisatie, een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.
Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. "Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties", aldus het Forum.
Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting in het afgelopen voorjaar werden zo'n 2600 overheidsdomeinen gecontroleerd. Bij 56 procent van de onderzochte domeinen waren de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde.
"Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer", zo stelt het Forum. Als het gaat om het toepassen van webstandaarden lopen met name centrale overheid en de gemeenschappelijke regelingen achter. Wordt er gekeken naar mailstandaarden, dan zijn het de waterschappen en gemeentelijke regelingen die nog het nodige te doen hebben.
Zodra de Wet Digitale Overheid van kracht wordt kunnen standaarden wettelijk worden verplicht, zoals de bedoeling is met HTTPS en HSTS. "Ook hier speelt de vraag hoe deze verdergaande verplichtingen de operationele werkvloer bereiken, en hoe vervolgens gestuurd wordt op naleving van de verplichtingen", aldus het Forum (pdf).
Leuk al die fratsen zoals DNSSEC en DMARC, maar als je niet weet of domeinnaam X van de overheid is, schiet je niets op met al die technische maatregelen. En al die "vraag-maar-aan" domeinnamen verlopen op een gegeven moment, met alle risico's van dien (twee voorbeelden: [1], [2]). Of kijk naar http://nijkerk.nl/ (Plesk) versus https://nijkerk.eu/, of https://werkenbij.overheid.nl/ (404) of https://werkenbijde.overheid.nl/ (ook 404).
Extreem voorbeeld: out of the blue moeten burgers kennelijk "ruiken" dat een e-mail van zivver.com in hun spambox met daarin een klik-link die begint met https://app.zivver.com/[...] géén phishing zou zijn, maar zelfs "secure", en daadwerkelijk namens een gemeente zou zijn verzonden (zie [3]).
[1] https://www.security.nl/posting/417132/Politie+laat+geregistreerde+domeinnamen+verlopen
[2] https://www.security.nl/posting/604877/Jeugdzorg+lekte+duizenden+dossiers+kinderen+via+verlopen+domein
[3] https://www.security.nl/posting/767506/Gemeente+verstuurd+email+die+alles+weg+heeft+van+een+phising+bericht_#posting767635
Ohja... burgers uitpersen. Dat krijgen ze vlekkeloos voor elkaar. De burger 7 miljard (!) onterecht aan belasting laten betalen en zeggen: 'we hebben het geld nodig voor andere dingen' lukt zo ook. Een keer iets fatsoenlijks regelen... No way.
BS. Ook een Exchange-server kan heel goed mét DANE geconfigureerd worden en bv 100% scoren op internet.nl.
Het is voor mij inmiddels zo'n vijftien jaar geleden dat ik werken ben ontvlucht in organisaties die geregeerd werden door in mijn beleving steeds idiotere managementmodes. De term "streefbeeld" ken ik uit de tijd dat ik meemaakte dat er steeds harder gewerkt werd om steeds minder af te krijgen en dat steeds meer werd ingebed in wollige termen. Bevredigende banen waarin je dingen gedaan kreeg werden zo wat later bullshit jobs zijn gaan heten.
Ik kan me herinneren dat er duidelijke doelen werden gesteld (die we "doelen" noemden) en dat we er heel concreet aan werkten om die te bereiken. Een streefbeeld is (zegt het woord zelf) een beeld waar je naar streeft, en streven naar een beeld is een stuk minder concreet dan een doel stellen en realiseren. Het is een wollige term die vermijdt te benoemen waar het om gaat.
De gedachte komt bij me op dat het daarom niet lukt.
BS. Ook een Exchange-server kan heel goed mét DANE geconfigureerd worden en bv 100% scoren op internet.nl.
Dan doe je dat waarschiijnlijk al jaren zonder TLS 1.3. Die komt pas volgend jaar, het werkt nu alleen met Windows 2022.
Exchange wordt actief ontraden door Microsoft en ze voeren al 5 jaar een ontmoedigingsbeleid. De volgende versie van Exchange zou in 2021 hebben moeten verschijnen en komt nu pas in 2025, ruim na de datum van EOL van versie 2019. Ze proberen overduidelijk iedereen te pushen over te gaan naar 365, waarbij je privacy verliest aan een Amerikaans bedrijf. Microsoft kan met de mails doen wat ze willen en dat demonstreren ze ook met de opties die ze geven zoals het onderscheppen van alle links. Ook links naar persoonlijke gegevens.
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/ba-p/3421389
Gebruik een beveiligde email voorziening uit eigen land, bijvoorbeeld ezorg.
Het is voor mij inmiddels zo'n vijftien jaar geleden dat ik werken ben ontvlucht in organisaties die geregeerd werden door in mijn beleving steeds idiotere managementmodes. De term "streefbeeld" ken ik uit de tijd dat ik meemaakte dat er steeds harder gewerkt werd om steeds minder af te krijgen en dat steeds meer werd ingebed in wollige termen. Bevredigende banen waarin je dingen gedaan kreeg werden zo wat later bullshit jobs zijn gaan heten.
Ik kan me herinneren dat er duidelijke doelen werden gesteld (die we "doelen" noemden) en dat we er heel concreet aan werkten om die te bereiken. Een streefbeeld is (zegt het woord zelf) een beeld waar je naar streeft, en streven naar een beeld is een stuk minder concreet dan een doel stellen en realiseren. Het is een wollige term die vermijdt te benoemen waar het om gaat.
De gedachte komt bij me op dat het daarom niet lukt.
Wanneer je de roos van een dartbord uitbreidt tot alle bogen eromheen met allerlei roos-achtige namen is het in de roos werpen gegarandeerd.
Netwerken en uitwerken wat je opgedragen wordt, volgt voor de laag daaronder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
