‘Overheid kwetsbaar door onvoldoende ondersteuning veiligheidstandaarden’

Het gebruik van verplichte standaarden voor de beveiliging van overheidswebsites en overheidsmail toont in het afgelopen halfjaar een bescheiden groei van gemiddeld 2 procent. En doordat afgesproken anti-phishing standaarden nog niet zijn geadopteerd, komt valse e-mail, verstuurd uit naam van overheidsorganisaties, nog steeds bij burgers, bedrijven en ambtenaren aan. Met alle risico’s op ransomware, ceo-fraude, phishing en desinformatie van dien.

Om phishingmails uit naam van overheidsorganisaties te voorkomen, moet bijna een kwart van de halfjaarlijks gemeten domeinen nog een strikt DMARC-beleid instellen. Overheden hadden dit voor eind 2019 al moeten regelen.

De e-mailvertrouwelijkheidstandaarden DNSSEC en DANE (versleuteling van e-mailtransport) tonen een lichte terugval door toenemend gebruik van clouddiensten van voornamelijk Amerikaanse (moeder)bedrijven, die deze standaarden nog niet ondersteunen.

Microsoft werkt voor haar cloudmaildienst Exchange Online aan de implementatie van DNSSEC en DANE. Statistieken van SIDNlabs tonen aan dat Microsoft bezig is met de uitrol van DANE voor uitgaande mail. Ondersteuning voor inkomende mail laat langer op zich wachten, dit staat gepland voor eind 2022, tot die tijd hebben overheden een verhoogd risico op afluisteren van e-mailverkeer.

Implementatie van standaarden is primair een verantwoordelijkheid van individuele overheden. Zij dienen de standaarden zelf te implementeren waar mogelijk. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed is het van belang de dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to’s en te vragen om een concrete planning.