Hoe voorkom je dat computercriminelen e-mail namens een gemeente versturen en mensen naar nep-websites doorsluizen waar hun gegevens worden gestolen? Door open beveiligingsstandaarden te gebruiken. Heerlen en ’s-Hertogenbosch doen het.
Paddy Verberne, IT-specialist bij de gemeente ’s-Hertogenbosch, hoeft niet lang na te denken waarom zijn gemeente de open beveiligingsstandaarden voor websites en e-mail implementeerde: “Burgers en bedrijven doen verplicht zaken met ons, ze kunnen nergens anders heen. Dat betekent dat wij er verantwoordelijk voor zijn dat ze veilig met ons kunnen communiceren. Zodat mensen zeker weten dat de e-mail die ze van ons krijgen ook echt van ons komt. En dat de website van de gemeente echt die van ons is en niet een nep-website waarop criminelen hun gegevens proberen te stelen.”
De gemeente ’s-Hertogenbosch was de eerste gemeente die alle standaarden invoerde (zie kader over deze standaarden). Ook de gemeente Heerlen was er vroeg bij. De gemeente werkt voor IT samen met andere gemeenten in Parkstad IT en beheert de ICT-infrastructuur van veel omringende overheden. John Dautzenberg, IT-specialist bij de gemeente Heerlen: “We beheren een kleine driehonderd domeinnamen voor overheden, we hebben de status van een lokale internet service provider. Dat geeft ons een extra verantwoordelijkheid om te zorgen dat onze websites en e-mail gateways optimaal worden beveiligd.”
Onveilige omgeving
Uit cijfers van het Forum Standaardisatie blijkt dat gemeenten qua invoering van open beveiligingsstandaarden gelijk oplopen met rijksoverheid en bedrijfsleven. Dat is echter geen reden om achterover te leunen, want het Forum Standaardisatie zou graag zien dat de standaarden breed worden toegepast. Ze zijn verplicht bij nieuwe implementaties en aanbestedingen, volgens het principe van pas-toe-of-leg-uit. Overheden hebben met elkaar afgesproken de standaarden ook te implementeren in bestaande situaties.
De standaarden zijn hard nodig, want de internet- en e-mailstandaarden zijn inherent onveilig, zegt Verberne: “Het internet is in eerste instantie gebouwd als een min of meer besloten netwerk voor Amerikaanse overheden en universiteiten. Beveiliging was geen aandachtspunt bij het ontwerp ervan.” Nu de hele wereld internet gebruikt en misbruik door computercriminelen veel voorkomt, is beveiliging van websites en e-mail cruciaal. Daar helpen deze open beveiligingsstandaarden bij.
Aandacht
De gemeente Heerlen implementeerde de standaarden en hoefde daarvoor nauwelijks extra investeringen te doen. Anders dan het merendeel van de gemeenten heeft Heerlen de serversoftware in eigen beheer, ze hadden hierdoor geen leveranciers nodig bij de implementatie. “We gebruiken voor de besturing van onze e-mail gateways open source software,” zegt Dautzenberg. De software moet de standaarden wel ondersteunen, maar voor de meeste is dat het geval, zeggen Dautzenberg en Verberne. Als dat niet zo is dan is uitbreiding van de software op het web te vinden. Dautzenberg: “We houden de software die we gebruiken goed bij en deze standaarden worden al langere tijd ondersteund. Soms zat de functionaliteit er niet in en dan moet je op internet zoeken hoe je deze implementeert.” Bij beide gemeenten kwamen ze er goed uit, deze implementatie is geen “rocket science”, in de woorden van Verberne. Al heb je er uiteraard wel technische kennis voor nodig. Daar ziet Verberne een aandachtspunt: “In het algemeen is er bij IT’ers weinig kennis en kunde van IT-security. Ook bij gemeenten. Je kunt er specialisten voor inhuren, maar een externe specialist weet niet hoe jouw organisatie in elkaar zit qua IT en processen. Dus je zult je er ook zelf in moeten verdiepen. Het zou goed zijn als hier meer aandacht voor komt.”
Onbetrouwbare e-mail
Technisch gezien liepen beide gemeenten tegen weinig problemen aan bij de implementatie van de open beveiligingsstandaarden. Organisatorisch bleek het vooral van belang om goed in kaart te hebben hoe de gemeentelijke IT eruitziet, in dit geval vanaf welke systemen e-mail wordt verstuurd en waar de gemeentelijke websites worden gehost. De standaarden moeten op al deze plekken worden ingevoerd. Als dat niet gebeurt, dan wordt bijvoorbeeld e-mail afkomstig van een server die de standaard niet gebruikt als onbetrouwbaar gezien. Afhankelijk van de instellingen van de ontvangende partij wordt die e-mail geweigerd of in de spambox gezet. In Heerlen bleken vier bronnen legitiem namens de gemeente e-mail te versturen. “Uit onze inventarisatie bleek dat de afdeling communicatie samenwerkte met een e-mail service provider die namens hen e-mail verzond. Dat ontdekten we doordat één van deze standaarden, DMARC, functionaliteit bevat waarmee je in kaart brengt welke e-mail namens de gemeente wordt verstuurd.”
Standaarden
De aanbevolen en verplichte open beveiligingsstandaarden voor veilig e-mailverkeer en websites staan op de lijst van het Forum Standaardisatie. Het gaat om TLS, DNSSEC, SPF, DKIM, DMARC, STARTTLS en DANE. Overheden die deze beveiligingsstandaarden invoeren voorkomen onder meer dat computercriminelen e-mail vanaf het adres van deze overheid versturen en dat bezoekers van een overheidswebsite zonder dat deze daar zelf erg in hebben worden omgeleid naar een frauduleuze website. De standaarden worden uitgelegd op de website van het Forum Standaardisatie. Ook is er een video over gemaakt, die op een toegankelijke manier uitlegt wat deze standaarden doen. De Informatiebeveiligingsdienst voor gemeenten (IBD) ondersteunt gemeenten bij de invoering ervan, onder meer met handreikingen en factsheets over de implementatie van TLS, DNSSEC, SPF, DKIM en DMARC. Gemeenten kunnen contact opnemen met de IBD helpdesk voor vragen bij de implementatie: info@IBDgemeenten.nl.
Het IT-landschap van gemeenten is behoorlijk complex en dat neemt alleen maar toe, mede omdat men vaak met derde partijen samenwerkt. Verberne: “De onderaannemers van de gemeente moeten ook aan onze veiligheidseisen voldoen, daar moet je op letten.” Overigens kan met de invoering van deze standaarden worden gekozen om de veiligheidschecks gefaseerd in te voeren. Dautzenberg: “In eerste instantie hebben we zes maanden uitgetrokken om inzicht te krijgen welke e-mailbronnen legitiem zijn voor het versturen van e-mail namens de gemeente Heerlen. Vervolgens is binnen een periode van twee weken binnen DMARC de reject-policy van nul tot honderd procent gezet”.
Voorbeeld
Met de invoering van deze open beveiligingsstandaarden weten gemeenten zeker dat hun e-mail en websites veilig zijn voor misbruik door anderen. Er zitten echter twee kanten aan dit verhaal, want de ontvangende partij moet deze standaarden ook gebruiken. Die moet bijvoorbeeld verifiëren of de digitale handtekening die de e-mailstandaarden aan een e-mail toevoegen authentiek is en als dit niet het geval is de e-mail weigeren of in quarantaine plaatsen. “Gelukkig werken de grootste e-mailproviders, zoals Gmail, met deze technologie,” zegt Verberne. “Maar er zijn ook partijen die deze e-mailstandaarden niet gebruiken. Wat dat betreft vind ik dat wij als overheid een voorbeeldrol hebben, want we geven door deze standaarden te gebruiken aan hoe belangrijk wij veilige websites en e-mail vinden.”
Aangestoken
Het invoeren van de open beveiligingsstandaarden is geen majeure operatie, maar moet wel zorgvuldig worden aangepakt. Er is de nodige technische kennis voor nodig, zeggen Dautzenberg en Verberne, al is een groot deel van de standaarden in de software voor websites en e-mail ingebakken. Organisatorisch gezien moet je de processen kennen en weten wie e-mail verstuurt. Daarna is het een kwestie van implementeren. Waarom gebruiken dan nog niet alle gemeenten deze standaarden? Volgens Dautzenberg is het een kwestie van tijd en capaciteit: “Ik breng deze standaarden regelmatig onder de aandacht bij de I&A-coördinatoren en beveiligingsmensen van de gemeenten waarmee wij samenwerken in Parkstad IT, maar in de praktijk zijn er zoveel andere dingen die zij moeten doen dat dit er bij inschiet.”
Dat Heerlen en ’s-Hertogenbosch hier zo ver mee zijn, is grotendeels te danken aan de betrokkenheid van Dautzenberg en Verberne. Verberne: “Ik deed mijn dienstplicht bij de Militaire Inlichtendienst en daar ben ik een beetje aangestoken. Security is niet mijn specialisatie binnen de gemeente, ik ben een IT-specialist met een voorliefde voor security en privacy.” Beide benadrukken dat informatiebeveiliging om continue aandacht vraagt, want computercriminelen zitten niet stil. Verberne besluit: “Je hoeft echter niet voorop te lopen. Wat je in ieder geval moet doen is de standaarden gebruiken die er zijn voor security en privacy. Als je dat niet doet, dan weet je zeker dat de bad guys winnen.”