Beheer

Security
website en e-mail security

Kritiek op niet naleven securityregels overheidswebsites: ‘geen rocketscience’

D66, VVD en Bits of Freedom willen actie vanuit Rijksoverheid.

25 november 2022

D66, VVD en Bits of Freedom willen actie vanuit Rijksoverheid.

De helft van de domeinnamen van overheden voldoet nog steeds niet aan verplichte securitystandaarden, zo werd half november duidelijk uit een meting van Forum Standaardisatie. IT-politici van D66 en VVD, Dave Maasland van ESET Nederland en digitale burgerrechtenorganisatie Bits of Freedom zijn kritisch. “Dit is echt het minimale wat je moet doen”, zegt techonderzoeker Joran van Apeldoorn van Bits of Freedom bijvoorbeeld.

Forum Standaardisatie onderzocht voor ruim 2.500 domeinnamen in hoeverre zij voldoen aan de door de overheid verplicht gestelde informatiebeveiligingsstandaarden en of ze bereikbaar zijn via IPv6. Slechts 53% voldoet aan alle verplichte websitestandaarden en 44% voldoet aan de verplichte e-mailstandaarden. Dat terwijl de deadlines van de adoptieafspraken voor de beide sets standaarden al in 2019 en 2021 zijn verlopen.

Toch gaat het niet om hele ingewikkelde standaarden. Volgens de adoptieafspraken moeten bij alle overheidswebsites waar bij burgers of bedrijven gegevens in moeten voeren, TLS in de vorm van HTTPS toegepast zijn. Ook moet DNSSEC gebruikt worden voor elke domeinnaam waarmee een overheidsorganisatie met burgers of bedrijven communiceert en moet e-mailspoofing bestreden worden door SPF, DKIM en DMARC toe te passen op alle domeinnamen, ook als deze geen gebruikmaken van e-mail. En sinds eind 2021 moeten alle websites en e-maildomeinen ook bereikbaar zijn via IPv6.

De eerste van deze afspraken werd zeven jaar geleden al gemaakt, maar géén van de streefbeelden voor de overheid is als geheel gehaald, stelt Forum Standaardisatie. En de risico’s daarvan kunnen groot zijn, vertelt Dave Maasland, directeur van ESET Nederland. "Het probleem in dit geval is ook dat alle ministeries uiteindelijk onderdeel uitmaken van één orgaan: De overheid. Dus als 1 onderdeel slechts beveiligd is, dan zijn ze allemaal een stukje slechter beveiligd. Ministeries hebben onderling veel contact en dit maakt het voor aanvallers gemakkelijker om binnen te komen en over te springen op andere ministeries. Tot slot is de voorbeeldrol van de overheid belangrijk en wat dit zegt over de overige IT-beveiligingsmaatregelen. Het vertrouwen in overheden en instanties is belangrijk, zeker met de huidige geopolitieke spanningen. De dreiging op gerichte aanvallen, die vaak via phishing beginnen, zijn nog nooit zo groot geweest.”

Van Apeldoorn van Bits of Freedom voegt toe: “Zeker qua e-mail is dit gevaarlijk, omdat er op veel plekken nog e-mailservers draaien die niet goed beschermd zijn tegen spoofing. Aanvallers kunnen zich dan dus voordoen als een overheidsinstantie en phishingmails versturen naar slachtoffers. Ik hoop dat het vooral om mailservers van een project van vijf jaar oud gaat, dat sindsdien niet meer gedraaid heeft.”

Risico’s nog veel groter

Maar dat blijkt lang niet altijd het geval: volgens een gedetailleerde lijst van Forum Standaardisatie is DMARC bijvoorbeeld lang niet bij alle stadsarchieven aanwezig of goed geconfigureerd. En dat geldt ook voor e-mailservers die horen bij de domeinen van een aantal gemeente en provinciale websites. Bij de provincies heeft zelfs maar 55% alle anti-phishingstandaarden volledig geadopteerd. Gemeenten doen dat een stuk beter, met 81%.

De websitestandaarden laten eenzelfde beeld zien: ook de grotere, vaker gebruikte websitedomeinen van overheden voldoen lang niet altijd aan de standaarden. Van Apeldoorn: “Uiteindelijk gaat het allemaal om middelen en informatiebeveiliging is vaak niet het meest interessante verhaal. Het is leuk om een groot nieuw project op te zetten met AI, maar je moet wel de basis op orde hebben. Je ziet vaker bij overheden - en ook wel in het bedrijfsleven - dat het in de basis mis gaat.”

En dat is zorgwekkend, stelt de techonderzoeker. “Dit is echt het minimale wat je moet doen. Er is veel meer nodig om te zorgen dat je echt veilig werkt. Kijk naar de cloud: je kunt wel veilig via HTTPS communiceren, maar je legt je data nog steeds bij andere partijen neer. Hoe gaan die daarmee om en hoe beveiligen ze die? Dus ik maak me zorgen: wie het in deze basis al niet goed doet, doet het echt helemaal niet goed in security.”

Kritiek politiek

Tweede Kamerleden Lisa van Ginneken (D66) en Queeny Rajkowski (VVD) zijn dan ook kritisch op de resultaten. “Dit is zeer kwalijk, zeker ook omdat de standaarden vrij basale zaken vragen, zoals betrouwbare websiteverbindingen en goede beveiliging tegen misbruik via e-mail. Dit is geen rocketscience”, zegt Van Ginneken in reactie op vragen van AG Connect.

“In de Kamer hameren we er constant op hoe belangrijk het is dat je cybersecurity sterk staat zodat criminelen of andere kwaadwillenden buiten de deur gehouden kunnen worden. De overheid zou hierin het goede voorbeeld moeten geven en het is pijnlijk dat dit niet voldoende gebeurt”, voegt Rajkowski toe.

Overzicht snel verloren

Maar waarom gaat het dan nog steeds fout? Van Apeldoorn vermoedt dat dit te maken heeft met de enorme hoeveelheid domeinnamen. “Het is over het algemeen niet zo ingewikkeld om deze standaarden te implementeren als je één website of mailserver draait. Maar zeker bij kleinere overheden is het moeilijker om overzicht te houden op wat er allemaal is.” Bovendien heeft iedereen last van een tekort aan IT’ers, waardoor er mogelijk niet overal genoeg mensen zijn die de standaarden kunnen implementeren.

Van Apeldoorn hoopt met name dat de Rijksoverheid – waar meer middelen zijn dan bij kleinere overheden – kan helpen. “Ga helpen op plekken waar mensen niet weten hoe het zit. En wat gebeurt er eigenlijk na zo’n meting als dit? Gaat er dan ook een bericht uit naar al die systeembeheerders, of wordt er alleen een rapport gepubliceerd?”

Ook de VVD vindt, volgens Rajkowski, dan ook dat hierin een rol is weggelegd voor staatssecretaris Alexandra van Huffelen van Digitalisering. “Allereerst moet de staatssecretaris in kaart brengen hoe het komt dat zoveel overheidswebsites niet aan de standaarden voldoen. Het is voor ons onduidelijk of het eraan ligt dat ambtenaren niet weten hoe de standaarden werken of dat ambtenaren prioriteiten geven aan andere zaken. Pas als dit bekend is, kan de staatssecretaris ook gericht actie ondernemen en aangezien dit probleem al langer duurt is een gerichte aanpak nu echt nodig. Tenslotte moet de staatssecretaris gaan controleren of het na een bepaalde periode wel op orde is.”

Ook Van Ginneken ziet een rol voor Van Huffelen. “Het moet gewoon geregeld worden. De staatssecretaris kan lokale overheden helpen met een stappenplan en implementatiekader, zodat de drempel lager wordt.”

Update 13:32: Reactie van ESET Nederland toegevoegd.

2
Reacties
R.Heinen 02 januari 2023 13:47

Dank voor het bericht "Kritiek op niet naleven securityregels overheidswebsites: geen rocketscience".

In deze context is het mogelijk informatief voor U dat we het Ndax Quantum "Intrusion Detection & Prevention" systeem hebben draaien over de Nederlands-Duitse Internet-Exchange Ndix.

Op https://photos.app.goo.gl/XRcRX84H48EvhX9i9 kunt U wat voorbeelden vinden van situaties waarin dit systeem operationeel is.

Om ons te beschermen tegen bijvoorbeeld illegale toegang tot informatie door derden en de privacy van gebruikers te beschermen zijn dit soort communicatie systemen operationeel.

Met dit systeem worden in de voorbeelden hierboven PhD kandidaten en onderzoek onafhankelijk beoordeeld door experts wereldwijd.

Er is een verplichte geheimhouding voor de beoordelaars, zie ook de hierboven gegeven link.

Om deze experts vrij hun mening te kunnen laten geven is hun privacy en veiligheid gegarandeerd (bronbescherming) door gebruik te maken van dit systeem.

Met dit Ndax systeem stellen we vast dat er intrusions zijn door Microsoft op emails welke naar Universiteitsmedewerkers worden gestuurd.

Universiteitshoogleraren hebben hiervoor eerder ook gewaarschuwd, zie https://accss.nl/podium/open-brieven/overstappen-naar-de-cloud-bezint-e…

Erwin1 25 november 2022 14:19

Forum Standaardisatie stelt de regels een aanbevelingen op, in de zogenaamde Pas Toe Of Leg Uit lijst. Alleen het is volkomen onduidelijk aan wie je dan eventueel moet uitleggen waarom je een standaard niet toepast, wie een en ander controleert, en wat de sanctie er op is. Je hebt dus een heleboel regels afgesproken, zonder toezicht op naleving, zonder handhaving en zonder consequenties. Daarnaast is het compleet onduidelijk bij welke beleidsmaker dit thuis hoort, is het Binnenlandse Zaken, is het Justitie, is het Algemene Zaken. Ofwel, we hebben regels maar niemand die ze handhaaft....

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.