Nieuw aangekochte of ontwikkelde e-mailsystemen bij gemeenten en andere overheden moeten voortaan voldoen aan de e-mailbeveiligingsstandaarden STARTTLS en DANE. Dat heeft het Nationaal Beraad Digitale Overheid onlangs besloten. Deze gaan afluisteren en manipuleren van mailverkeer tegen.
Adoptie-impuls voor 2017
Het Nationaal Beraad heeft de open standaarden toegevoegd aan de lijst met verplichte standaarden; het zogeheten ‘Pas-toe-of-leg-uit’-regime. Voor de standaarden op deze lijst is door het Nationaal Beraad bovendien een adoptie-impuls afgesproken met als streefbeeld dat deze uiterlijk eind 2017 zijn geïmplementeerd.
Combinatie standaarden effectief
Een combinatie van de e-mailbeveiligingstandaarden STARTTLS en DANE zorgt voor solide versleuteling van mailverkeer, zo schrijft Logius. STARTTLS maakt de versleutelde verbinding mogelijk. DANE zorgt er als een aanvullend slot op de deur voor dat de versleuteling daadwerkelijk plaatsvindt. Het nationaal Cyber Security Centrum (NCSC) roept al langere tijd op om deze standaarden toe te passen, zo valt op de website van Logius te lezen. 'Om ook de integriteit en vertrouwelijkheid van mail te garanderen is meer nodig. STARTTLS is hier alleen een effectieve maatregel tegen een passieve, afluisterende aanvaller. De combinatie STARTTLS en DANE beveiligt ook tegen andere mogelijke aanvallen.'
Drie op vijftig gemeenten gebruikt standaarden
Binnenlands Bestuur deed in juni onderzoek naar de toepassing van verplichte beveiligingsstandaarden voor e-mail bij vijftig gemeenten. Slechts drie voldeden aan de moderne standaarden waaronder STARTTLS en DANE. Criminelen kunnen worden daardoor niet optimaal belemmerd met phishingmails. Diverse gemeenten zijn slachtoffer van phishing geweest en het aantal overheden dat er door getroffen wordt groeit.
Standaarden e-mail belangrijke schakel in strijd tegen phishing
Plasterk stelde in antwoord op Kamervragen over het onderzoek dat hij niet denkt dat de beveiliging van persoonsgegevens in het geding is door het niet aanhouden van de standaarden. Wel zegt hij dat ze een belangrijke functie hebben bij de herkenning van spam en phishing. ‘Gebruik van deze standaarden is één van de schakels in de bestrijding van phishing en de beveiliging van persoonsgegevens. Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.’
Bron: Binnenlandsbestuur Digitaal