Bewustzijn veilig mailen groeit
Een gestage toename van het bewustzijn voor veilig mailen is merkbaar. Maar het gebruik heeft alleen effect als de hele keten meewerkt. Verplicht gebruik zou afdwingbaar moeten zijn. Applicaties voor veilig mailen zijn vooral zinvol als én verzender én ontvanger deze gebruiken. Als partners in de keten geregeld veranderen zoals in het zorgdomein, dan is veilig mailen een nog grotere uitdaging. Respondenten zien unaniem veilig mailen bij voorkeur als een landelijke generieke voorziening. Helaas lijkt het nu vooral ieder voor zich met als gevolg een verkokerd en versnipperd landschap. Cruciale randvoorwaarde voor succes is dat veilig mailen eenvoudig in gebruik moet zijn. Tot slot hebben overheden een morele plicht aan de samenleving om op een veilige en betrouwbare wijze informatie te delen. Het raakt het vertrouwen in de overheid. Dit zijn de belangrijkste uitkomsten van het onderzoek dat Telengy heeft uitgevoerd naar de stand in overheidsland op het gebied van veilig mailen.
Er worden dagelijks vele duizenden e-mails verstuurd vanuit lokale overheden naar andere overheden, ketenpartners en inwoners. Het gaat daarbij vaak om gevoelige informatie en gelukkig komt er steeds meer aandacht voor de vraag hoe dit op een veilige manier kan gebeuren. Wat kan de lokale overheid doen om het veilig uitwisselen van informatie met ketenpartners en inwoners te faciliteren? Op basis van onderzoek geeft Telengy inzicht in hoe de zoektocht naar veilig mailen verloopt en wat er zoal aangetroffen wordt tijdens deze tocht.
Zoektocht
In het voorjaar van 2017 schreef Telengy over veiligheidsstandaarden voor e-mail bij lokale overheden. Daar kwam een wisselend beeld naar voren. Aan de ene kant beschikten de meeste organisaties over een beveiligde verbinding, maar tegelijkertijd had bijna 10% nog geen enkele stap gezet op dit gebied. De meeste organisaties waren wel begonnen aan hun zoektocht om veilig mailen te faciliteren binnen hun organisatie. Hoe staat het eind 2017 met die zoektocht en waar lopen zij tegenaan?
Standaard veilig mailen?
Het bewustzijn op het gebied van informatiebeveiliging neemt bij de lokale overheid gestaag toe en dit geldt ook voor de veiligheidsstandaarden voor e-mail. Ruim een half jaar na onze vorige meting hebben we opnieuw de domeinnamen van lokale overheden getest op de verschillende standaarden voor e-mail, aan de hand van de test van Internet.nl. Het gaat hierbij om standaarden zoals:
- echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF);
- ondertekening van domeinnamen (DNSSEC);
- beveiligde verbinding mogelijk (STARTTLS);
- bereikbaarheid via modern internetadres (IPv6).
Over de hele linie is vooruitgang te zien en voor alle standaarden zien we een hogere score. Waar dit voorjaar slechts 3 organisaties in de test 100% scoorden, zijn dat er nu 15. Bovendien is het aantal organisaties dat geen enkele standaard heeft geïmplementeerd gedaald van 32 naar 2. Het laat zien dat in praktisch alle organisaties inmiddels aandacht is voor de standaarden en dat deze steeds breder gedragen gaan worden. Een bemoedigend teken, ondanks dat de meerderheid van de organisaties de beveiliging nog steeds niet op orde heeft. Er is nog werk aan de winkel.
Verzender en ontvanger
Het lastige met de veiligheidsstandaarden is dat ze pas ten volste gebruikt worden als zowel de verzendende als de ontvangende partij deze geïmplementeerd heeft. Op het moment dat de ontvangende partij bijvoorbeeld geen beveiligde verbinding (STARTTLS) heeft, is er al een kwetsbaarheid. Als organisatie wil je streven naar beveiliging in de hele keten, niet alleen in de eigen organisatie. Dat is strevenswaardig, maar is dat ook haalbaar? Als het gaat om ketenpartners wel, geeft Paul van Bergen in gesprek met Telengy aan. Hij is technisch architect bij het samenwerkingsverband ICT Rijk van Nijmegen.
Afdwingen?
Als het aan hem ligt mogen overheden best wat strenger zijn richting ketenpartners als het gaat om het geïmplementeerd hebben van de standaarden. “In theorie zou je het moeten afdwingen”, stelt hij, “maar het uitsluiten van ‘achterblijvers’ is nooit een optie.” In de praktijk zou een dergelijk streven betekenen dat je in kaart brengt welke standaarden bij welke organisatie ontbreken om samen tot veilig mailen te komen. Als je die weg bewandelt, valt er aan het einde van de rit feitelijk niks meer af te dwingen; dat is niet meer nodig. Uiteindelijk is dat wel een situatie waar lokale overheden uiteindelijk naar toe moeten willen. Veiligheidsstandaarden komen pas echt tot hun recht als ze hun naam eer aan doen en in de hele keten de standaard zijn geworden.
Een woud van applicaties
Naast de veiligheidsstandaarden is een scala aan applicaties in de markt beschikbaar die (‘kant-en-klaar’) voorzien in het veilig uitwisselen van informatie. Het kan daarbij gaan om applicaties waarmee veilig bestanden gedeeld kunnen worden, maar er zijn ook applicaties die het mailen zelf beveiligen, al dan niet geïntegreerd in de bestaande mailvoorziening (bijvoorbeeld Outlook). In hoeverre bieden deze applicaties een uitkomst als het gaat om veilig mailen?
Lastig te organiseren in ketens
Nog sterker dan bij de standaarden geldt voor de meeste applicaties dat de ontvangende partij ook aangesloten moet zijn op de gebruikte voorziening, want de verschillende applicaties kunnen doorgaans niet met elkaar ‘praten’. In veel gevallen betekent dit dat een ketenpartner hetzelfde product moet aanschaffen om via die lijn veilig informatie uit te wisselen. Een alternatief kan zijn dat de ontvangende partij inlogt op een online portaal, om het bericht op te halen. Dit is iets waar lokale overheden tegenaan lopen bij de aanschaf van een applicatie voor veilig mailen. Met name in het sociaal domein waar veel verschillende ketenpartners zijn, variërend van zorgboerderij tot GGD, kan dit problematisch zijn. Bij de gemeente Montferland hebben ze dit nadrukkelijk ervaren bij de recente keuze voor een applicatie voor veilig mailen. Informatiemanager Marco Robins, van de gemeente Montferland, geeft aan dat er eigenlijk geen enkele applicatie was die door meer dan 20% van hun ketenpartners gebruikt werd. Bovendien kunnen de ketenpartners jaarlijks wijzigen door aanbestedingen, waardoor de dekking kan blijven wisselen.
Wat betekent dit voor de organisatie als er de wens is om veilig te mailen met alle ketenpartners? En hoe zit het met inwoners? De keuze voor een specifieke applicatie blijkt in de praktijk vaak een compromis te zijn. Enerzijds is dat begrijpelijk, want volledige dekking met volledige veiligheid bestaat helaas niet, maar anderzijds moet het aanzetten tot denken. Waarom bepaalt een product met wie de organisatie veilig kan mailen? En is er reden om aan te nemen dat in de toekomst anders zal gaan?
Veilig mailen als landelijke voorziening?
Op landelijk niveau is er weinig sturing als het gaat om veilig mailen. In het kader van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) is er wel aandacht voor het veilig uitwisselen van data over het GGI-netwerk. Daarnaast zijn in de softwarecatalogus van KING de meeste veiligheidsstandaarden voor mail inmiddels op de pas-toe-of-leg-uit lijst gezet voor de kantoorautomatiseringscomponent. Dit betekent dat deze standaarden bij bijvoorbeeld aanbestedingen een meer nadrukkelijke rol spelen. Hoewel het nog geen vuist op tafel is, zet het de standaarden wel beter op de kaart.
In de gesprekken met lokale overheden komt steevast naar voren dat er een sterke wens bestaat om veilig mailen als generieke voorziening beschikbaar te hebben, zonder dat het bereik beperkt wordt door specifieke producten. Eenduidigheid in de manier waarop de overheid veilig mailt maakt het meer aantrekkelijk voor andere partijen om daarbij aan te haken. Bovendien voorkom je dat iedere organisatie zelf uit gaat zoeken hoe veilig mailen geregeld kan worden en het versnipperde landschap in stand gehouden wordt.
Lokale overheden kunnen daar samen in optreden en de eerste stappen zetten. Paul Flachs, strategisch adviseur bij de BsGW, geeft aan dat zij met andere belastingkantoren om de tafel zitten om informatieveiligheid, waaronder veilig mailen, zoveel mogelijk samen te organiseren. Het wordt dan ook makkelijker om bijvoorbeeld ketenpartners hierin mee te nemen. Samen organiseren kan het vliegwiel zijn voor veilig mailen.
Het gebruik van veilig mailen
Als er eenmaal een applicatie in huis is om veilig te mailen, dient het volgende vraagstuk zich aan: hoe zorg je ervoor dat medewerkers het daadwerkelijk gaan gebruiken? Een aparte applicatie betekent vaak dat er een onderscheid is tussen veilig mailen en regulier mailen. Unaniem vinden de respondenten van het kwalitatieve onderzoek dat het gebruik van de applicatie zo eenvoudig mogelijk moet zijn. Als het veilig mailen te veel extra werk kost, haken gebruikers af. Volgens de respondenten zijn gebruiksvriendelijkheid en integratie in bestaande mailvoorzieningen de belangrijkste factoren om veilig mailen een succes te maken onder gebruikers.
Bewustzijn is urgent
Vanuit de techniek is het niet altijd mogelijk om veilig mailen bij gebruikers af te dwingen en daarnaast blijft de reguliere ‘onveilige’ mail ook nog bestaan. Dat is een realiteit waar de organisatie mee om moet gaan. Dat betekent dat gebruikers er bewust voor moeten kiezen om iets veilig te versturen. Juist die bewustwording is een sleutelfactor om van veilig mailen een succes te maken. Het gaat erom dat mensen bewust verstandig willen handelen en zorgvuldig met gegevens om willen gaan. Bewustzijn kweken en deze onderhouden zijn daarbij noodzakelijke stappen in de organisatie.
Dat bewustwording een sleutelfactor is, geeft ook ICT-adviseur Paddy Verberne van de gemeente ’s-Hertogenbosch aan. Hij heeft werk gemaakt van de veiligheidsstandaarden in ’s-Hertogenbosch (100 %-score in de internet.nl test). Maar daarmee is de organisatie er nog niet. “Als gebruikers zich realiseren dat het gaat om het zorgvuldig omgaan met gegevens van inwoners, dan is veilig mailen een middel dat ze helpt om dat doel te bereiken. Als ambtenaar heb je daar wat dat betreft ook een morele plicht toe richting de samenleving”, benadrukt Paddy.
Het oog wil ook wat
Bij het zorgvuldig omgaan met gegevens hoort ook dat de overheid vertrouwen uitstraalt naar inwoners en organisaties. Met name in het sociaal domein, waar veelal gevoelige informatie van kwetsbare inwoners verwerkt wordt, is die vertrouwensband met de inwoner een groot goed. Dat speelt ook mee in de communicatie naar de inwoners, geeft Esther Hazeleger aan.
Zij is kwaliteitsmedewerker jeugd bij de gemeente Zeist en werkt veel samen met het Centrum voor Jeugd en Gezin (CJG). Veel applicaties om veilig informatie uit te wisselen maken gebruik van automatisch gegenereerde berichten die naar de ontvanger verstuurd worden. Dit zijn statische en onpersoonlijke berichten en in de communicatie met de inwoner is het belangrijk om stil te staan hoe zulke berichten overkomen en of dat past binnen de dienstverlening.
Bij een andere gemeente werd in een pilot voor het veilig delen van bestanden geconstateerd dat er bij het delen een automatisch bericht werd verstuurd met de tekst ‘Proficiat, er staat een bestand voor u klaar’. In het geval dat je een beschikking, met wellicht een afwijzing, naar een inwoner stuurt kun je je afvragen of ‘proficiat’ de meeste empathische tekst is. Dit soort kleine dingen kunnen grote invloed hebben op het vertrouwen van de inwoner. Als dit negatief is, zullen gebruikers dit middel niet snel inzetten.
Hoe verder met veilig mailen?
Uiteindelijk is iedereen gebaat bij veilige e-mail en hoort het bij een betrouwbare dienstverlening vanuit de overheid. Als je als organisatie een betrouwbare en veilige dienstverlening hoog in het vaandel hebt staan, is veilig mailen een belangrijk middel om tot dat doel te kunnen komen. In een tijd van digitalisering en toenemende cybercriminaliteit is het noodzakelijk om daar gepaste maatregelen voor te nemen en moeten overheden zich rekenschap geven van deze ontwikkelingen.
In den lande gebeurt dit ook, maar is het vaak ieder voor zich. Dit levert een verkokerd en versnipperd landschap op, waardoor het bereik van veilig mailen structureel beperkt wordt. De veiligheidsstandaarden bieden een uitkomst zolang verzender en ontvanger deze hanteren, maar daarbuiten is men veelal aangewezen op een van de vele applicaties. Voor afzonderlijke organisaties is dit vanuit pragmatisch oogpunt erg begrijpelijk. Tegelijkertijd moet er nagedacht worden over hoe veilig mailen in de hele keten gemeengoed kan worden. Los van welke leverancier dan ook en los van de ontvanger.
Op landelijk niveau zou samen gekeken kunnen worden waar de gemeenschappelijke behoeften liggen. Van onderaf doen organisaties er goed aan om de samenwerking in de regio op te zoeken en medewerkers mee te nemen in de bewustwording van informatieveiligheid en het delen van informatie.
Score per organisatie
Bent u benieuwd hoe veilig het mailverkeer van uw gemeente is? Via onderstaande linkjes en kaartje vindt u het percentage op basis van de onderzoeksrapportage. Bent u geïnteresseerd in de onderzoeksrapportage, dan kunt u deze opvragen bij een van de onderstaande Telengy-adviseurs. U kunt natuurlijk ook zelf de test uitvoeren via internet.nl.
- Veilig mailen bij provincies
- Veilig mailen bij waterschappen
- Veilig mailen bij omgevingsdiensten
- Veilig mailen bij belastingkantoren
- Ruwe data vragenlijst applicaties veilig mailen
Wat hebben we gedaan?
Dit onderzoek is een vervolg op een eerste meting via internet.nl onder gemeenten, omgevingsdiensten en belastingsamenwerkingen in het voorjaar van 2017.
In de eerste plaats hebben we de domeinnamen van 388 gemeenten, 12 provincies, 21 waterschappen, 15 belastingsamenwerkingen en 29 omgevingsdiensten getest op veiligheidsstandaarden voor e-mail via internet.nl.
Vervolgens hebben we organisaties via een enquête gevraagd welke factoren meespelen bij de keuze voor een veilig mailen oplossing. 33 respondenten hebben gereageerd. Hoewel de uitkomsten hiervan niet representatief zijn voor alle overheden, geven de uitkomsten op een diverse punten een eenduidig beeld.
Tot slot zijn we met verschillende organisaties in gesprek gegaan. In 7 interviews hebben we gesproken met medewerkers uit het sociaal domein, ICT-afdelingen, informatiemanagement en op strategisch niveau. De uitkomsten van de interviews zijn vervolgens voorgelegd aan een controlegroep van 3 gemeenten. Zij onderschreven de bevindingen uit de interviews.
Meer weten?
Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45, k.lenders@telengy.nl of Telengy-adviseur Luciënne Wynans, 06 50 62 15 28 l.wynans@telengy.nl.