Antwoord op vragen van het lid Özütok over het bericht
‘Merendeel gemeenten mailt onveilig’
Vraag 1
Kent u het bericht ‘Merendeel gemeente mailt onveilig’? 1)
Ja.
Vraag 2
Deelt u de zorg dat het risicovol is dat veel gemeenten nog geen gebruik maken
van de standaarden voor veilig e-mailverkeer? Zo nee, waarom niet?
Het Nationaal Beraad Digitale Overheid, waarin ook gemeenten zijn
vertegenwoordigd, heeft het streefbeeld afgesproken om een aantal
informatieveiligheidsstandaarden eind 2017 overal waar van toepassing te
hebben geïmplementeerd. Het gaat specifiek om SPF, DKIM en DMARC (ter
preventie van e-mailphishing en -spoofing), DNSSEC (domeinnaambeveiliging) en
HTTPS/TLS (veilige websiteverbindingen). Het deel van de overheidsorganisaties
dat de standaarden nog niet heeft geïmplementeerd loopt een hoger risico dan de
organisaties die de standaarden wel gebruiken.
Vraag 3
Wat zijn volgens u de oorzaken van het feit dat veel gemeenten nog niet volledig
gebruik maken van de standaarden voor veilig e-mailverkeer?
Gemeenten werken zonder uitzondering aan hun informatiebeveiliging. Onderdeel
daarvan is de implementatie van de informatieveiligheidsstandaarden op de pastoe-of-leg-uit-lijst
van het Forum Standaardisatie. De informatiebeveiligingsdienst
voor gemeenten (IBD), een initiatief van alle Nederlandse gemeenten, promoot de
standaarden actief. Daarnaast maken de standaarden deel uit van de
gemeentelijke model inkoopvoorwaarden (GIBIT) en de gemeentelijke model
architectuur (GEMMA).
Het is goed om te beseffen dat informatiebeveiliging meer is dan het
implementeren van een aantal technische standaarden. De beschikbaarheid,
integriteit en vertrouwelijkheid van gegevens en systemen hangt van techniek af,
maar voor een groot deel gaat het ook om veilige (werk)processen, doorlopend
werken aan bewustwording onder medewerkers en een veilige inrichting van de
organisatie.
Gemeenten geven onder hun eigen integrale verantwoordelijkheid invulling aan
informatiebeveiliging langs de normen van de Baseline Informatiebeveiliging
Gemeenten (BIG). Daarin worden zij ondersteund door de IBD. De
visitatiecommissie Informatieveiligheid heeft in de afgelopen tijd een ronde
gemaakt langs Nederlandse gemeenten – dit toont dat gemeenten op zowel
operationeel als bestuurlijk niveau, individueel en gezamenlijk werk maken van
informatiebeveiliging. Niet alle gemeenten nemen echter dezelfde maatregelen in
hetzelfde tempo en dezelfde volgorde.
Vraag 4
Zijn u gegevens bekend over hoe andere decentrale overheden en zelfstandige
bestuursorganen de standaarden voor veilig e-mailverkeer toepassen? Zo ja, hoe
is het algemene beeld van het gebruik van standaarden voor veilig e-mailverkeer
bij deze medeoverheden?
Forum Standaardisatie meet ieder halfjaar de toepassing van de
informatieveiligheidsstandaarden, die onderdeel zijn van de streefbeeldafspraak
van het Nationaal Beraad, bij overheidsorganisaties. Gemeenten doen het in deze
metingen relatief goed ten opzichte van de medeoverheden als geheel.
Gemeenten hebben een flinke inhaalslag gemaakt, en presteren ten opzichte van
andere overheden gemiddeld het best.1
In februari 2018 wordt de meting van het
Forum Standaardisatie over geheel 2017 verwacht.
De metingen worden uitgevoerd met behulp van de testtool Internet.nl die
ontwikkeld is door het Platform Internetstandaarden, waarin private en publieke
organisaties in Nederland samenwerken. Iedere gemeente kan deze tool ook zelf
gebruiken om te controleren of zij de informatieveiligheidsstandaarden toepast en
om kennis op te doen over hoe deze standaarden kunnen worden
geïmplementeerd.
Vraag 5
Hoe beoordeelt u de unanieme wens van de respondenten voor een landelijke
generieke voorziening, zoals deze uit het onderzoek naar voren komt? Wat zijn de
voor- en nadelen van een landelijke generieke voorziening?
Vraag 6
Bent u bereid om in samenspraak met de medeoverheden te bekijken of er een
landelijke generieke voorziening kan komen? Zo nee, waarom niet?
Antwoord 5 en 6
Ik onderschrijf het belang van en herken de behoefte aan een mogelijkheid voor
de overheid tot veilige communicatie via e-mail. E-mail is een populair doelwit
voor aanvallers, die daarnaast voortdurend op zoek zijn naar nieuwe middelen om
een aanval mee op te zetten.2
Om aan deze veranderende dreiging het hoofd te
kunnen bieden, worden diverse acties ondernomen.
Om de veiligheid van e-mail in den brede te vergroten is in februari 2017 de
Veilige E-mail Coalitie opgericht met steun van het Ministerie van EZK en het
Forum Standaardisatie. De aangesloten bedrijven, brancheorganisaties en
overheden hebben met een ondertekende intentieverklaring afgesproken aan de
slag te gaan met het invoeren van standaarden voor het beveiligen van e
mailverkeer en daarbij samen te werken. Op die manier kan zowel phishing als het
afluisteren van e-mail worden tegengegaan.3
Het NCSC heeft factsheets uitgebracht om organisaties te helpen bij het juiste
gebruik van de standaarden.
Voor veilige communicatie tussen overheid en burgers bestaat een landelijke
voorziening in de vorm van de berichtenbox van MijnOverheid. Deze is geïnitieerd
met als doel een veilig communicatiekanaal te creëren waarin berichten
gegarandeerd en tijdig worden afgeleverd en geen onduidelijkheid ontstaat over
de daadwerkelijke afzender of de authenticiteit van overheidsberichten en waarin
niemand mee kan kijken. Deze voorziening wordt zowel door burgers als
overheidsdienstverleners – ook gemeenten – steeds meer gebruikt.
Naast deze acties zijn er geen plannen om te komen tot een ICT-project voor
generieke e-mail bij de overheid.
1) http://www.binnenlandsbestuur.nl/bestuur-en-organisatie/nieuws/merendeelgemeenten-mailt-onveilig.9577096.lynkx?
utm_source=NB_BB_bb20171219_dagelijks_dinsdag&utm_medium=email&utm_te
rm=&utm_content=&utm_campaign=19-12-
2017&mt=YMI7NpkpbIB4avtwlW4R8Q&vk=f17W0JP2dJnbybrtiBvkOg&pub=1002&
io_utm_source=newsletter
1 Zie figuur 5 van de meting medio 2017
(https://digitaleoverheid.pleio.nl/file/download/53285162).
2 CSBN 2017, Vergaderjaar 2016-2017, Kamerstuk 26643 nr. 477.
3 Zie: https://internet.nl/article/nederland-voor-veilig-emailverkeer/