Vertrouwen vereist digitale basishygiëne Moderne Internetstandaarden voor een
betrouwbare overheid
E-mail is onveilig; het is vatbaar voor ‘spoofing’, een trucje waarbij iemand een e-mail kan verzenden met ieder willekeurig e-mailadres als afzender. Zo kunnen mails worden verzonden namens organisaties die daar geen weet van hebben. Aanvallen waarbij misbruik wordt gemaakt van deze kwetsbaarheid kunnen leiden tot grote schade. Onduidelijkheid over de echtheid van e-mails ondermijnt tevens het vertrouwen in digitale overheidscommunicatie. Gelukkig kunnen organisaties spoofing voorkomen door moderne Internetstandaarden toe te passen. Echter worden die door lang niet alle overheidsorganisaties gebruikt.
E-mailvervalsing
Onder meer de Tweede Kamer en de AIVD werden in 2017 gewezen op de mogelijkheid tot vervalsing van hun afzendadres, en losten dit na media-aandacht op.
In april 2020 kwamen het RIVM en Rijksoverheid.nl – drie jaar later – in het nieuws omdat zij nog steeds vatbaar waren voor e-mailvervalsing. Binnen enkele uren na melding door de journalist was een zogenoemde strikte DMARC policy toegepast die de kwetsbaarheid mitigeert. Diezelfde maand meldde de Algemene Rekenkamer dat het mogelijk bleek om e-mails te versturen uit naam van willekeurige Defensiemedewerkers, zoals bijvoorbeeld de Commandant der Strijdkrachten.
“Voorbeelden van (inmiddels opgeloste) kwetsbaarheden waren; [..] Het versturen van e-mails uit naam van willekeurige Defensiemedewerkers, zoals bijvoorbeeld de Commandant der Strijdkrachten. Dergelijk e-mails kunnen er, doordat de ontvanger de afzender denkt te kennen, betrouwbaar uitzien en gebruikers verleiden op malafide hyperlinks te klikken.”
Bron: Algemene Rekenkamer / Rapport Digitalisering aan de grens (2020)
Spoofing voorkomen
Het goede nieuws is dat moderne Internetstandaarden helpen bij het voorkomen van spoofing en e-mailphishing vanuit legitieme domeinnamen. We zien dat veel overheidsorganisaties de standaarden al gebruiken. Het slechte nieuws is dat 42% van de overheidsdomeinen uit onze metingen nog onvoldoende maatregelen hebben getroffen, ondanks de status van verplichte standaard en een overheidsbrede streefbeeldafspraak uit 2018 om de standaarden vóór eind 2019 strikt te implementeren.
“Initiële toegang wordt in veel gevallen met simpele methodes (zoals phishing) verkregen, waarna aanvallers geavanceerde methodes inzetten om netwerken te verkennen en verder binnen te dringen. [..] Het verbeteren van de digitale basishygiëne is een effectieve barrière tegen aanvallen.”
Bron: NCTV / Cybersecuritybeeld Nederland 2019
Juist in onzekere tijden – waarin we afhankelijker zijn van digitale communicatie vanwege het coronavirus – ligt cybercriminaliteit op de loer en is betrouwbare informatie nog noodzakelijker. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt dat organisaties succesvol worden aangevallen met eenvoudige methoden zoals phishing. Deze populaire aanvalsmethodiek wordt zowel door statelijke actoren ingezet voor spionage- en sabotagedoeleinden, als door criminelen. Hoewel organisaties incidenten en schade kunnen voorkomen met behulp van basismaatregelen – zoals de e-mailbeveiligingsstandaarden uit deze meting – worden die door lang niet alle organisaties getroffen.
Onvoldoende urgentie
De noodzaak van bestrijding van phishing werd onderkend, en het Overheidsbreed Beleidsoverleg Digitale Overheid heeft implementatie-afspraken gemaakt rond de veilige configuratie van anti-phishing standaarden. Er is vooruitgang geboekt, maar het lijkt er ook op dat niet alle overheidsorganisaties de urgentie zien van het op orde brengen van e-mailbeveiliging. In bepaalde gevallen worden pas maatregelen getroffen nadat organisaties negatief in het nieuws zijn verschenen, er misbruik is geweest, of als een gezaghebbende partij onderzoek heeft gedaan. Dat komt de reputatie van de digitale overheid niet ten goede, en versterkt een negatief beeld dat de burger wellicht al had bij overheid en ICT.
Hoe werkt e-mailspoofing?
E-mailspoofing is een methode om je voor te doen als een ander door het afzendadres van een e-mail te vervalsen. Criminelen gebruiken dat voor phishing-aanvallen.
Forum Standaardisatie benadrukt het belang van het borgen van veilige informatie-uitwisseling tussen overheidsorganisaties met burgers, bedrijven en medeoverheden voor de betrouwbaarheid van de (digitale) overheid. Vanwege de tweezijdigheid van deze informatie-uitwisseling liggen de risico's van misbruik niet alleen bij de overheidsorganisaties zelf, maar ook bij partijen waar zij digitaal mee communiceert. Naast een verplichting om de standaarden uit deze meting te gebruiken, hebben overheidsorganisaties een zorgplicht naar burgers, bedrijven en medeoverheden om de digitale veiligheid op orde te brengen. Het proactief beveiligen van e-mail is daar een wezenlijk onderdeel van.
E-mailspoofing is een methode om je voor te doen als een ander door het afzendadres van een e-mail te vervalsen. Criminelen gebruiken dat voor phishing-aanvallen.
Met phishing probeert een aanvaller iemand te verleiden om belangrijke informatie prijs te geven, zoals bijvoorbeeld inloggegevens of creditcardgegevens. Phishing gebeurt vaak via e-mails (e-mailphishing). Maar aanvallers doen het ook via de telefoon, een sms of een app-bericht. Voor een grotere kans op succes bij een phishing-aanval kan de aanvaller iemand misleiden door te doen alsof hij iemand anders is. Dit noemen we spoofing. Er zijn veel soorten spoofing. Een aanvaller kan zich in een e-mail voordoen als een ander door het afzendadres te vervalsen (e-mailspoofing).
Door het juist toepassen van de e-mailbeveiligingsstandaarden DKIM, SPF en DMARC kan een organisatie spoofing van de eigen domeinnamen voorkomen.
Zie voor meer informatie de themapagina ‘Bestrijd e-mailfraude’ op de website van Forum Standaardisatie. Nieuws- en opiniewebsite Vox.com legde onlangs in begrijpelijke taal uit hoe e-mailspoofing werkt en voorkomen kan worden: Why coronavirus scammers can send fake emails from the WHO.
Hoe werkt e-mailspoofing?
Vertrouwen vereist digitale basishygiëne Moderne Internetstandaarden voor een
betrouwbare overheid
E-mail is onveilig; het is vatbaar voor ‘spoofing’, een trucje waarbij iemand een e-mail kan verzenden met ieder willekeurig e-mailadres als afzender. Zo kunnen mails worden verzonden namens organisaties die daar geen weet van hebben. Aanvallen waarbij misbruik wordt gemaakt van deze kwetsbaarheid kunnen leiden tot grote schade. Onduidelijkheid over de echtheid van e-mails ondermijnt tevens het vertrouwen in digitale overheidscommunicatie. Gelukkig kunnen organisaties spoofing voorkomen door moderne Internetstandaarden toe te passen. Echter worden die door lang niet alle overheidsorganisaties gebruikt.
E-mailvervalsing
Onder meer de Tweede Kamer en de AIVD werden in 2017 gewezen op de mogelijkheid tot vervalsing van hun afzendadres, en losten dit na media-aandacht op.
In april 2020 kwamen het RIVM en Rijksoverheid.nl – drie jaar later – in het nieuws omdat zij nog steeds vatbaar waren voor e-mailvervalsing. Binnen enkele uren na melding door de journalist was een zogenoemde strikte DMARC policy toegepast die de kwetsbaarheid mitigeert. Diezelfde maand meldde de Algemene Rekenkamer dat het mogelijk bleek om e-mails te versturen uit naam van willekeurige Defensiemedewerkers, zoals bijvoorbeeld de Commandant der Strijdkrachten.
“Voorbeelden van (inmiddels opgeloste) kwetsbaarheden waren; [..] Het versturen van e-mails uit naam van willekeurige Defensiemedewerkers, zoals bijvoorbeeld de Commandant der Strijdkrachten. Dergelijk e-mails kunnen er, doordat de ontvanger de afzender denkt te kennen, betrouwbaar uitzien en gebruikers verleiden op malafide hyperlinks te klikken.”
Bron: Algemene Rekenkamer / Rapport Digitalisering aan de grens (2020)
Spoofing voorkomen
Het goede nieuws is dat moderne Internetstandaarden helpen bij het voorkomen van spoofing en e-mailphishing vanuit legitieme domeinnamen. We zien dat veel overheidsorganisaties de standaarden al gebruiken. Het slechte nieuws is dat 42% van de overheidsdomeinen uit onze metingen nog onvoldoende maatregelen hebben getroffen, ondanks de status van verplichte standaard en een overheidsbrede streefbeeldafspraak uit 2018 om de standaarden vóór eind 2019 strikt te implementeren.
“Initiële toegang wordt in veel gevallen met simpele methodes (zoals phishing) verkregen, waarna aanvallers geavanceerde methodes inzetten om netwerken te verkennen en verder binnen te dringen. [..] Het verbeteren van de digitale basishygiëne is een effectieve barrière tegen aanvallen.”
Bron: NCTV / Cybersecuritybeeld Nederland 2019
Basishygiëne
Juist in onzekere tijden – waarin we afhankelijker zijn van digitale communicatie vanwege het coronavirus – ligt cybercriminaliteit op de loer en is betrouwbare informatie nog noodzakelijker. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt dat organisaties succesvol worden aangevallen met eenvoudige methoden zoals phishing. Deze populaire aanvalsmethodiek wordt zowel door statelijke actoren ingezet voor spionage- en sabotagedoeleinden, als door criminelen. Hoewel organisaties incidenten en schade kunnen voorkomen met behulp van basismaatregelen – zoals de e-mailbeveiligingsstandaarden uit deze meting – worden die door lang niet alle organisaties getroffen.
Onvoldoende urgentie
De noodzaak van bestrijding van phishing werd onderkend, en het Overheidsbreed Beleidsoverleg Digitale Overheid heeft implementatie-afspraken gemaakt rond de veilige configuratie van anti-phishing standaarden. Er is vooruitgang geboekt, maar het lijkt er ook op dat niet alle overheidsorganisaties de urgentie zien van het op orde brengen van e-mailbeveiliging. In bepaalde gevallen worden pas maatregelen getroffen nadat organisaties negatief in het nieuws zijn verschenen, er misbruik is geweest, of als een gezaghebbende partij onderzoek heeft gedaan. Dat komt de reputatie van de digitale overheid niet ten goede, en versterkt een negatief beeld dat de burger wellicht al had bij overheid en ICT.
Hoe werkt e-mailspoofing?
E-mailspoofing is een methode om je voor te doen als een ander door het afzendadres van een e-mail te vervalsen. Criminelen gebruiken dat voor phishing-aanvallen.
Het belang van veilige informatie-uitwisseling
Forum Standaardisatie benadrukt het belang van het borgen van veilige informatie-uitwisseling tussen overheidsorganisaties met burgers, bedrijven en medeoverheden voor de betrouwbaarheid van de (digitale) overheid. Vanwege de tweezijdigheid van deze informatie-uitwisseling liggen de risico's van misbruik niet alleen bij de overheidsorganisaties zelf, maar ook bij partijen waar zij digitaal mee communiceert. Naast een verplichting om de standaarden uit deze meting te gebruiken, hebben overheidsorganisaties een zorgplicht naar burgers, bedrijven en medeoverheden om de digitale veiligheid op orde te brengen. Het proactief beveiligen van e-mail is daar een wezenlijk onderdeel van.
Met phishing probeert een aanvaller iemand te verleiden om belangrijke informatie prijs te geven, zoals bijvoorbeeld inloggegevens of creditcardgegevens. Phishing gebeurt vaak via e-mails (e-mailphishing). Maar aanvallers doen het ook via de telefoon, een sms of een app-bericht. Voor een grotere kans op succes bij een phishing-aanval kan de aanvaller iemand misleiden door te doen alsof hij iemand anders is. Dit noemen we spoofing. Er zijn veel soorten spoofing. Een aanvaller kan zich in een e-mail voordoen als een ander door het afzendadres te vervalsen (e-mailspoofing).
Door het juist toepassen van de e-mailbeveiligingsstandaarden DKIM, SPF en DMARC kan een organisatie spoofing van de eigen domeinnamen voorkomen.
Zie voor meer informatie de themapagina ‘Bestrijd e-mailfraude’ op de website van Forum Standaardisatie. Nieuws- en opiniewebsite Vox.com legde onlangs in begrijpelijke taal uit hoe e-mailspoofing werkt en voorkomen kan worden: Why coronavirus scammers can send fake emails from the WHO.