Overheid heeft beveiliging van web- en e-mailverkeer nog altijd niet op orde

Overheid heeft beveiliging van web- en e-mailverkeer nog altijd niet op orde

Ondanks afspraken heeft de overheid de beveiliging van web- en e-mailverkeer nog altijd niet op orde, waardoor er een verhoogde kans is op manipulatie en afluisteren van verkeer of het versturen van phishingmails uit naam van overheidsorganisaties. Daarvoor waarschuwt het Forum Standaardisatie, een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.

Binnen de overheid zijn afspraken gemaakt om verschillende beveiligingsstandaarden voor mail- en webverkeer uit te rollen, de zogeheten streefbeeldafspraken. “Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen binnen individuele overheidsorganisaties”, aldus het Forum.

Elk halfjaar voert het Forum een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd. Bij de laatste meting in het afgelopen voorjaar werden zo’n 2600 overheidsdomeinen gecontroleerd. Bij 56 procent van de onderzochte domeinen waren de verplichte e-mailstandaarden niet goed geïmplementeerd. Het correct toepassen van websitestandaarden had 47 procent niet op orde.

“Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties, en een verhoogde kans op manipulatie en afluisteren van web- en e-mailverkeer”, zo stelt het Forum. Als het gaat om het toepassen van webstandaarden lopen met name centrale overheid en de gemeenschappelijke regelingen achter. Wordt er gekeken naar mailstandaarden, dan zijn het de waterschappen en gemeentelijke regelingen die nog het nodige te doen hebben.

Zodra de Wet Digitale Overheid van kracht wordt kunnen standaarden wettelijk worden verplicht, zoals de bedoeling is met HTTPS en HSTS. “Ook hier speelt de vraag hoe deze verdergaande verplichtingen de operationele werkvloer bereiken, en hoe vervolgens gestuurd wordt op naleving van de verplichtingen”, aldus het Forum (pdf).

Image

Bron: https://www.security.nl/posting/768921/Overheid+heeft+beveiliging+van+web-+en+e-mailverkeer+nog+altijd+niet+op+orde?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.