"Overheid heeft nog jaren nodig voor beveiligen van eigen web- en e-mailverkeer"
De overheid heeft in het huidige tempo nog jaren nodig voor het beveiligen van het eigen web- en e-mailverkeer, waardoor burgers onnodig aan risico's worden blootgesteld, zo stelt het Forum Standaardisatie op basis van eigen onderzoek. Uit de nieuwste meting blijkt dat vier op de tien overheidsdomeinnamen nog niet voldoen aan de verplichte veiligheidstandaarden voor websites en e-mail. "Zonder aanvullende actie voldoen alle overheidswebsites in het huidige groeitempo pas in 2030 aan de afspraken", aldus het Forum.
Van de gemeten domeinnamen voldeed 56 procent aan alle verplichte websitestandaarden en 50 procent aan de e-mailstandaarden. Over beide sets standaarden zijn in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) adoptieafspraken gemaakt, waarvan de deadline eind 2021 is verlopen. Ten opzichte van de vorige meting is de adoptie van deze standaarden over de gehele overheid met respectievelijk drie en zes procentpunt toegenomen. In dit groeitempo voldoen overheidswebsites pas in 2030 aan de huidige adoptieafspraken.
Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort. Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting die begin dit jaar werd uitgevoerd werden zo'n 2654 overheidsdomeinen gecontroleerd.
Volgens het Forum nemen overheden die internetdomeinen niet veilig configureren onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer. "Een prominent voorbeeld van de gevolgen van onveilige configuratie van standaarden is een incident van emailphishing namens @overheid.nl in 2018, toen van tweehonderd burgers DigiD-inloggegevens zijn buitgemaakt. Hoe meer domeinnamen voldoen aan de standaarden, hoe kleiner de kans is dat dergelijke incidenten zich voordoen", aldus de instantie.
Naar aanleiding van de resultaten adviseert het Forum alle overheidsorganisaties om een plan van aanpak te maken om de verplichte standaarden effectief te implementeren. Daarnaast worden overheidsorganisaties aangeraden om regie op internetdomeinen te organiseren en daarbij in te zetten op een groeistop en idealiter het aantal domeinnamen te laten krimpen.
Tegelijkertijd laat het Forum weten dat grotere leveranciers waar overheden gebruik van maken moeilijk in beweging te krijgen zijn. Dit terwijl steeds meer overheidsonderdelen overstappen naar cloudoplossingen, zoals Microsoft 365 voor e-maildiensten. Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.
...
Zo blijkt dat van de binnenkomende mailservers 34 procent (510 van 1502) een nameserver van Microsoft Office 365 gebruikt zonder IPv6-ondersteuning.
Want IPv6 ondersteuning, dat levert binnen Nederland volstrekt onmisbare bescherming tegen security risico's...
En natuurlijk is de recent ook verplicht gestelde security.txt dé defacto beveiliging tegen datalekken door de rijksoverheid!
We cannot do without!
Die overheids IT afdelingen hebben tonnen en kilo's aan narigheid om op te lossen met hun Technical IT Debt. Laat ze in godsnaam daar nou eens een keer ongestoord aan werken i.p.v. elke keer weer nieuwe spielerei te verzinnen voor die laatste 0,003% verbetering in de security posture waar iedereen weer memo's over moet schrijven om aan te tonen waar er wel en waar er niet voldaan wordt aan deze stuiptrekkingen en zo niet, wanneer wel en een verbeterplan schrijven waar noch de tijd, noch het geld voor is om het te realiseren.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.
gemeente-naam.mail.protection.outlook.com
Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.
Maar het blijft raar dat er een outlook domein gebruikt wordt.
Misschien dan maar meteen IPv6 meenemen, dat zal tezijnertijd wellicht vaker gebruikt worden dan pakweg 25 jaar geleden.
Of het (zaken)kabinet AI 5 (met de AI geleverd door Skynet)
gemeente-naam.mail.protection.outlook.com
Als ik daar over wil e-mailen, geven zij aan dat dan aan dat kan op postmaster@gemeente-naam.nl. Het e-mail adres blijkt dan niet te bestaan. Ik ben wel in contact gekomen via het info@gemeente-naam.nl.
Maar het blijft raar dat er een outlook domein gebruikt wordt.
Kan gewoon in de EU gehost worden hoor, als je een mailbox aanmaakt, kan ik gewoon het land aangeven.
Daarnaast postmaster... Dat zie je eigenlijk nergens meer echt gebruikt worden.
gemeente-naam.mail.protection.outlook.com.
Afhankelijk van de afspraken die zijn gemaakt met Microsoft kan de mailbox in deze tennant zich alleen op servers in Europese Datacentra.Bij mijn weten heeft de nederlandse overheid deze afspraken gemaakt maar weet niet exact of en hoe gemeentes onder deze regeling vallen\gebruik kunnen maken.
Ondertussen een andere IP locatie tool gebruikt en die geeft dan Oostenrijk en Ierland weer.
[...]
De mailserver van de gemeente geeft zelf het postmaster e-mail adres weer als contact adres.
Ehm. Hoe heeft die server het postmaster adres weergegeven, als je voor die tijd niet weet waar je naartoe moet mailen voor feedback. Wat heb je dan eerst geprobeerd dat faalde/bounce'te.
Kun je hier met wat meer detail op in gaan (reconstrueren wat je deed).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
