image

"Overheid heeft nog jaren nodig voor beveiligen van eigen web- en e-mailverkeer"

woensdag 7 juni 2023, 08:24 door Redactie, 10 reacties

De overheid heeft in het huidige tempo nog jaren nodig voor het beveiligen van het eigen web- en e-mailverkeer, waardoor burgers onnodig aan risico's worden blootgesteld, zo stelt het Forum Standaardisatie op basis van eigen onderzoek. Uit de nieuwste meting blijkt dat vier op de tien overheidsdomeinnamen nog niet voldoen aan de verplichte veiligheidstandaarden voor websites en e-mail. "Zonder aanvullende actie voldoen alle overheidswebsites in het huidige groeitempo pas in 2030 aan de afspraken", aldus het Forum.

Van de gemeten domeinnamen voldeed 56 procent aan alle verplichte websitestandaarden en 50 procent aan de e-mailstandaarden. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 is verlopen. Ten opzichte van de vorige meting is de adoptie van deze standaarden over de gehele overheid met respectievelijk drie en zes procentpunt toegenomen. In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken.

Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort. Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting die begin dit jaar werd uitgevoerd werden zo'n 2654 overheidsdomeinen gecontroleerd.

Volgens het Forum nemen overheden die internetdomeinen niet veilig configureren onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer. "Een prominent voorbeeld van de gevolgen van onveilige configuratie van standaarden is een incident van emailphishing namens @overheid.nl in 2018, toen van tweehonderd burgers DigiD-inloggegevens zijn buitgemaakt. Hoe meer domeinnamen voldoen aan de standaarden, hoe kleiner de kans is dat dergelijke incidenten zich voordoen", aldus de instantie.

Naar aanleiding van de resultaten adviseert het Forum alle overheidsorganisaties om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast worden overheidsorganisaties aangeraden om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter het aantal domeinnamen te laten krimpen.

Tegelijkertijd laat het Forum weten dat grotere leveranciers waar overheden gebruik van maken moeilijk in beweging te krijgen zijn. Dit terwijl steeds meer overheidsonderdelen overstappen naar cloudoplossingen, zoals Microsoft 365 voor e-maildiensten. Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.

Image

Reacties (10)
07-06-2023, 09:00 door Anoniem
waardoor burgers onnodig aan risico's worden blootgesteld
...
Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.

Want IPv6 ondersteuning, dat levert binnen Nederland volstrekt onmisbare bescherming tegen security risico's...
En natuurlijk is de recent ook verplicht gestelde security.txt dé defacto beveiliging tegen datalekken door de rijksoverheid!

We cannot do without!

Die overheids IT afdelingen hebben tonnen en kilo's aan narigheid om op te lossen met hun Technical IT Debt. Laat ze in godsnaam daar nou eens een keer ongestoord aan werken i.p.v. elke keer weer nieuwe spielerei te verzinnen voor die laatste 0,003% verbetering in de security posture waar iedereen weer memo's over moet schrijven om aan te tonen waar er wel en waar er niet voldaan wordt aan deze stuiptrekkingen en zo niet, wanneer wel en een verbeterplan schrijven waar noch de tijd, noch het geld voor is om het te realiseren.
07-06-2023, 09:44 door Anoniem
Klinkt alsof dat na kabinet Rutte XII zal zijn.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.
07-06-2023, 11:00 door Anoniem
Als ik mijn gemeente mail dan komt het bij hun binnen op een outlook mailserver in de USA:

gemeente-naam.mail.protection.outlook.com

Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.

Maar het blijft raar dat er een outlook domein gebruikt wordt.
07-06-2023, 11:02 door Anoniem
Door Anoniem: Klinkt alsof dat na kabinet Rutte XII zal zijn.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.

Of het (zaken)kabinet AI 5 (met de AI geleverd door Skynet)
07-06-2023, 12:55 door Anoniem
Door Anoniem: Als ik mijn gemeente mail dan komt het bij hun binnen op een outlook mailserver in de USA:

gemeente-naam.mail.protection.outlook.com

Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.

Maar het blijft raar dat er een outlook domein gebruikt wordt.

Kan gewoon in de EU gehost worden hoor, als je een mailbox aanmaakt, kan ik gewoon het land aangeven.

Daarnaast postmaster... Dat zie je eigenlijk nergens meer echt gebruikt worden.
07-06-2023, 13:23 door Anoniem
Door Anoniem: Als ik mijn gemeente mail dan komt het bij hun binnen op een outlook mailserver in de USA:
gemeente-naam.mail.protection.outlook.com.

Afhankelijk van de afspraken die zijn gemaakt met Microsoft kan de mailbox in deze tennant zich alleen op servers in Europese Datacentra.Bij mijn weten heeft de nederlandse overheid deze afspraken gemaakt maar weet niet exact of en hoe gemeentes onder deze regeling vallen\gebruik kunnen maken.
07-06-2023, 16:40 door Anoniem
De mailserver van de gemeente geeft zelf het postmaster e-mail adres weer als contact adres. Het kan natuurlijk zijn dat dit automatisch gaat bij het opzetten van de server en er daarna niet meer naar gekeken wordt.

Ondertussen een andere IP locatie tool gebruikt en die geeft dan Oostenrijk en Ierland weer.
07-06-2023, 17:40 door Anoniem
Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl.
[...]
De mailserver van de gemeente geeft zelf het postmaster e-mail adres weer als contact adres.

Ehm. Hoe heeft die server het postmaster adres weergegeven, als je voor die tijd niet weet waar je naartoe moet mailen voor feedback. Wat heb je dan eerst geprobeerd dat faalde/bounce'te.


Kun je hier met wat meer detail op in gaan (reconstrueren wat je deed).
08-06-2023, 17:05 door Anoniem
Tegelijkertijd laat het Forum weten dat grotere leveranciers waar overheden gebruik van maken moeilijk in beweging te krijgen zijn. Dit terwijl steeds meer overheidsonderdelen overstappen naar cloudoplossingen, zoals Microsoft 365 voor e-maildiensten.
Volgens mij is de overheid aan het werken naar open standaarden en tegen vendor lock-ins. Laat microsoft producten in algemene zin nou de slechtste zijn als het gaat om het volgen van standaarden en de beste zijn in het creëren van vendor lock-ins. Waarom doen ze überhaupt nog zaken met zo'n onbetrouwbare partij?
10-06-2023, 00:15 door Anoniem
Door Anoniem:
Tegelijkertijd laat het Forum weten dat grotere leveranciers waar overheden gebruik van maken moeilijk in beweging te krijgen zijn. Dit terwijl steeds meer overheidsonderdelen overstappen naar cloudoplossingen, zoals Microsoft 365 voor e-maildiensten.
Volgens mij is de overheid aan het werken naar open standaarden en tegen vendor lock-ins. Laat microsoft producten in algemene zin nou de slechtste zijn als het gaat om het volgen van standaarden en de beste zijn in het creëren van vendor lock-ins. Waarom doen ze überhaupt nog zaken met zo'n onbetrouwbare partij?
Omdat ze ingepakt zijn. Leuke reisjes krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.