Afgelopen jaar heeft Telengy uitgebreid onderzoek gedaan naar veilig mailen bij lokale overheden. We constateerden dat het belang van veilig mailen steeds meer werd onderkend, maar dat het vaak een uitdaging was voor lokale overheden om het daadwerkelijk te realiseren. In de praktijk betekende het vooral dat er nog vaak onveilig gemaild werd. Naar aanleiding van het onderzoek werden uiteindelijk zelfs Kamervragen gesteld en het werd maar al te duidelijk dat veilig mailen een plek op de agenda verdient. Hoe staat het er december 2018 voor?
Vooruitgang (on)zichtbaar?
Een belangrijk onderdeel om veilig mailen te realiseren is het implementeren van de diverse veiligheidsstandaarden, zoals onder meer STARTTLS en DMARC. Met deze standaarden kan een veilige verbinding opgezet worden en kan worden voorkomen dat het mailverkeer gemanipuleerd wordt. Daarbij is het wel van belang dat zowel de verzender als de ontvanger de standaarden juist heeft geïmplementeerd.
Net als vorig jaar hebben we met behulp van de online tool van Internet.nl alle domeinnamen van de lokale overheden getest. Met deze test kan iedere organisatie te allen tijde de eigen domeinen controleren en inzichtelijk krijgen welke standaarden (goed) geïmplementeerd zijn. Over de hele linie zien we een opmerkelijk beeld bij de verschillende lokale overheden vergeleken met vorig jaar, omdat verrassend veel organisaties slechter lijken te scoren. Dit valt te verklaren doordat Platform Internetstandaarden de test heeft uitgebreid en de verschillende aspecten anders gewogen worden in de test. Hierdoor lijkt het alsof diverse organisaties qua beveiliging achteruit zijn gegaan, maar dit is niet noodzakelijk het geval. Wel betekent een lagere score dat er meer werk aan de winkel is om goed aan de standaard te voldoen.
Landkaart resultaten gemeenten
Het is belangrijk om de standaarden volledig en juist te implementeren om deze goed tot hun recht te laten komen. Een relatief veel voorkomende situatie is dat een standaard als DMARC (waarmee spoofing van e-mail kan worden voorkomen) wel gehanteerd wordt, maar niet is ingesteld wat er met afwijkende berichten moet gebeuren. Het systeem detecteert de afwijking dan wel, maar doet er vervolgens niks mee, behalve het registeren. Een organisatie kan dan alleen achteraf vaststellen dat er onrechtmatig gebruik is gemaakt van hun domeinnaam. Dit is een gebruikelijke situatie tijdens de implementatie van de standaard, maar op termijn is het raadzaam om afwijkende berichten in quarantaine te zetten of zelfs te verwijderen.
Bewustzijn, ook in de keten
Juist omdat de veiligheidsstandaarden pas echt goed tot hun recht komen als zowel de verzender als ontvanger deze juist geïmplementeerd hebben, is het van belang het gesprek hierover te blijven voeren, zowel in uw eigen organisatie als bij uw ketenpartners. Met name in de uitwisseling met andere organisaties bestaat er een aanzienlijk risico dat gegevens, al dan niet per abuis, in verkeerde handen terecht kunnen komen.
Het adequaat kunnen faciliteren van veilig mailen is een belangrijke basis om datalekken te voorkomen. Uit alle onderzoeken blijkt echter nog steeds dat de meest voorkomende oorzaak van datalekken nog steeds de menselijke factor is. Verkeerde adressering, het bijvoegen van verkeerde bestanden of juist teveel informatie meesturen zijn voorbeelden van hoe een fout al snel gemaakt kan zijn.
Het is belangrijk om te beseffen dat organisaties dit aspect alleen echt goed onder controle kunnen krijgen door structureel en periodiek aan de bewustwording van medewerkers te werken. Maak mensen bewust van de risico’s en geef ze de handvatten om het veilig te doen: niet alleen eigen medewerkers maar ook de partijen waar mee samengewerkt wordt. Eventuele technische voorzieningen of software die daarbij ondersteunen zijn mooi meegenomen, maar blind vertrouwen op de techniek is zelden een goed plan. Zeker bij ongestructureerde berichtenuitwisseling zoals e-mail.
Houd het op de agenda
Tot slot is het voor lokale overheden van belang om de beveiliging van e-mailverkeer scherp in beeld te houden, zowel door middel van bewustwording als de implementatie van de veiligheidsstandaarden. Dat laatste komt bovendien nadrukkelijk in beeld met de komst van de Baseline Informatiebeveiliging Overheid (BIO), omdat het gebruik van de standaarden voor onder meer e-mailverkeer daar als expliciete ‘control’ wordt benoemd.
Landkaart resultaten provincies
Meer weten?
Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45, k.lenders@telengy.nl of Telengy-adviseur Rik Duijmelinck, 06 46 66 18 71, r.duijmelinck@telengy.nl.