Het e-mailverkeer moet veiliger, en dat kan alleen met behulp van veiligheidsstandaarden. Om ervoor te zorgen dat deze standaarden een platform krijgen, richtten bedrijven, brancheorganisaties en de overheid begin 2017 de Veilige E-mail Coalitie op. “Het is nu zaak dat zoveel mogelijk partijen deze standaarden adopteren”, aldus Maarten Aertsen van het Nationaal Cyber Security Centrum.
Beeld: Rijksoverheid/Viewfinder
“De digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen”, staat in het Cybersecuritybeeld Nederland 2017 van het NCSC. Het NCSC is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland en heeft als missie de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Om die reden is het NCSC ook een van de deelnemers van het Platform Internetstandaarden. Dat is initiatiefnemer van de site Internet.nl, waarop iedere burger of organisatie kan testen of zijn website, e-mail of internetverbinding modern en betrouwbaar is.
“Overheid, bedrijfsleven en burgers investeren al behoorlijk in het vergroten van de cybersecurity. We zitten bepaald niet stil. Maar de dreiging van beroepscriminelen en statelijke actoren groeit harder dan de maatregelen die we met elkaar treffen”, vertelt Barend Sluijter, coördinerend senior beleidsmedewerker bij het NCSC. Het tempo waarin organisaties veiligheidsmaatregelen treffen, moet daarom worden opgeschroefd. Sluijter: “Er moet een tandje bij. Dat is ook de conclusie van het nieuwe kabinet. Daarom reserveert het structureel 95 miljoen euro voor het vergroten van de algehele digitale weerbaarheid van Nederland.”
Nationaal Cyber Security Centrum: de organisatie
Het Nationaal Cyber Security Centrum (NCSC) is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. Het NCSC draagt bij aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving. Verder is het NCSC onder meer internationaal het Nederlandse aanspreekpunt op het gebied van ICT-dreigingen en cybersecurity-incidenten.
Phishing en spoofing
Veiliger e-mailverkeer is daarvan een belangrijk onderdeel, omdat veel aanvallen beginnen met phishing. Hierbij sturen kwaadwillenden misleidende e-mails, waardoor internetgebruikers nietsvermoedend op valse websites inloggen die hun inlogcodes of creditcardgegevens afhandig maken. “Dit is vrij eenvoudig, omdat de standaarden voor communicatie tussen mailservers van origine zwak beveiligd zijn”, zegt Maarten Aertsen, senior adviseur informatiebeveiliging van het NCSC. “E-mails versturen was aanvankelijk veilig. Dat is de aanname waarop veel systemen zijn gebouwd. Als gevolg hiervan zijn de beveiligingssystemen van veel e-mailproviders, overheidsorganisaties en bedrijven die geen moderne beveiligingsstandaarden ondersteunen, niet sterk genoeg.” Hierdoor krijgen hackers en cybercriminelen volop de kans om te phishen, te spoofen (e-mails versturen die afkomstige lijken van een bepaalde domeinnaam) of e-mails ‘af te luisteren’ (het bericht onderscheppen). Aertsen: “Een aanvaller kan, wanneer de e-mailserver niet goed is beveiligd, doen alsof hij mailt vanaf jouw domein. Met alle gevolgen van dien.” Dan kan het zomaar zijn dat een medewerker ogenschijnlijk een e-mail ontvangt van de eigen HR-afdeling, die hem vraagt om zijn inloggegevens te vernieuwen, of dat een internetgebruiker denkt zijn inloggegevens achter te laten op een betrouwbare website van een bank of de overheid, terwijl deze in werkelijkheid in valse handen is.
Standaarden op de plank
E-mailfraude is helaas aan de orde van de dag. Bij de Fraudehelpdesk alleen al kwamen in 2016 meer dan een half miljoen meldingen binnen van Nederlanders die een valse e-mail hadden ontvangen. Dat worden er elke maand meer. “Die aantallen kunnen drastisch naar beneden,” zegt Aertsen, “mits partijen gebruik maken van internationale standaarden die misbruik van e-mail tegengaan.”
Het goede nieuws is dat de standaarden die het e-mailverkeer veiliger maken kant-en-klaar op de plank liggen. Er zijn verschillende internationale standaarden waarmee organisaties enorme veiligheidsslagen kunnen maken. Zo zijn er standaarden die het afluisteren van e-mail onmogelijk maken. Ze staan op de ‘pas-toe-of-leg-uit-lijst’ van het Forum Standaardisatie en in combinatie versleutelen ze het e-mailverkeer op een solide manier. “Organisaties die deze standaarden adopteren, maken het voor aanvallers onmogelijk om e-mails af te luisteren of te manipuleren”, vertelt Aertsen.
SPF, DKIM en DMARC
Om phishing en spoofing tegen te gaan, zijn er de standaarden SPF, DKIM en DMARC. Aertsen legt uit: “SPF staat voor Sender Policy Framework. Dit is een protocol waarmee je vaststelt wie gerechtigd is om mail namens jouw domein te verzenden. Een ontvangende server kan dan op basis van het SPF-record besluiten om de e-mail door te laten, te markeren als onveilig of te weigeren. SPF is relatief eenvoudig te installeren en voorkomt al veel fraude.”
Domain Keys Identified Mail (DKIM) kan een aanvulling zijn op SPF. Sluijter: “DKIM is een digitale handtekening onder een e-mail. Hiermee kan de ontvanger controleren of de e-mail zonder aanpassingen is verstuurd vanaf de vermoedelijke afzender. Voorwaarde is wel dat die controle echt plaatsvindt. De zender kan zo’n handtekening onder zijn e-mail plaatsen, maar als de ontvanger hier geen aandacht voor heeft, is deze maatregel alsnog zinloos.”
Tot slot is er DMARC. Aertsen: “Dit is een overkoepelende standaard die aangeeft wat er precies moet gebeuren als SPF en DKIM melden dat een e-mail niet legitiem is. In feite bepaalt een organisatie met DMARC wat de bestemming is van zo’n foute e-mail: de prullenbak of spammap bijvoorbeeld.”
Veilige E-mail Coalitie
“Bovengenoemde standaarden vormen momenteel wereldwijd dé oplossing voor het verhelpen van onveilig e-mailverkeer. Organisaties hoeven ze alleen nog maar te adopteren”, vertelt Aertsen. Hoe eerder, hoe beter. Want hoe meer partijen deze standaarden gebruiken, des te beter het hele systeem werkt. Grote internationale e-mailproviders gebruiken deze standaarden vaak al jaren. Maar er zijn talloze organisaties, waaronder de overheid, die de slag nog geheel of gedeeltelijk moeten maken. Bijvoorbeeld door de standaarden ook toe te passen op domeinen van waaruit deze organisaties nooit mailen.”
500.000
Bij de Fraudehelpdesk kwamen in 2016 meer dan een half miljoen meldingen binnen van Nederlanders die een valse e-mail hadden ontvangen.
Zo maakte onderzoekplatform Follow the Money eind 2017 nog bekend dat het vrij eenvoudig is om e-mails te vervalsen die afkomstig zijn van tweedekamer.nl, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en zelfs het ministerie van Defensie. Hier waren SPF, DKIM en DMARC nog niet geïmplementeerd. Aertsen: “Wij adviseren daarom alle overheidsinstellingen haast te maken met het adopteren van de standaarden. Maar ook bedrijven moeten aan de bak. We hebben ons om die reden aangesloten bij de Veilige E-mail Coalitie.” Aertsen doelt op het initiatief van bedrijven en brancheorganisaties die onder regie van het ministerie van Economische Zaken en Klimaat en Forum Standaardisatie begin 2017 een coalitie startten om de adoptie van deze standaarden te stimuleren. In de coalitie hebben ook grote partijen de krachten gebundeld: PostNL, KPN, Betaalvereniging Nederland, Thuiswinkel.org, VNO–NCW en MKB-Nederland, maar ook de Dutch Hosting Provider Association (DHPA), het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, de Belastingdienst, de Fraudehelpdesk en het NCSC.
Niemand is veilig
Aertsen: “Al deze partijen gebruiken de standaarden om het e-mailverkeer te beveiligen. Maar door het open karakter zijn ze voor alle organisaties beschikbaar. Ook als je niet bij de coalitie bent. Aertsen houdt een warm pleidooi voor het massaal adopteren van de standaarden voor het beveiligen van het e-mailverkeer. “Het is voor de grootste bedrijven een flinke en dure klus om de standaarden door te voeren. Toch hebben bedrijven als KPN en PostNL deze standaarden wel degelijk geïmplementeerd, omdat hiervoor een duidelijke business case was. Voor kleinere bedrijven is het een stuk eenvoudiger. Soms is een paar uur al genoeg om de juiste maatregelen treffen.” Hoe dan ook, geen enkel bedrijf kan het zich volgens Aertsen vandaag de dag veroorloven om een adequate beveiliging van e-mail achterwege te laten. Ook bedrijven met domeinen van waaruit geen e-mail wordt gestuurd. Aertsen: “Een ondernemer die een domeinnaam uitsluitend gebruikt voor een evenement, denkt wellicht dat het niet nodig is om maatregelen te treffen tegen misbruik van e-mail. Maar criminelen kunnen zijn domeinnaam wel degelijk misbruiken voor het verzenden van valse e-mails. Niemand is veilig voor cybercriminaliteit. We moeten er met zijn allen de schouders onder zetten. Alleen dan zijn de maatregelen effectief.
Patricia Zorko, directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid
“Cybersecurity is gemeengoed geworden. Dat betekent dat de maatregelen die we hiervoor moeten treffen inmiddels ook gemeengoed zijn geworden. We kunnen er niet omheen. Hoe eerder we de standaarden implementeren, hoe kleiner de kans dat internetcriminelen hun slag slaan.”
Hans de Vries, hoofd Nationaal Cyber Security Centrum
“Er zijn maar weinig landen ter wereld waar publieke en private ondernemingen zo goed met elkaar samenwerken als in Nederland. Dat kan ons geheime wapen zijn in de strijd tegen cybercrime. Hoe groter de vuist is die we met elkaar kunnen maken – zeker daar waar het gaat om de adoptie van veiligheidsstandaarden – hoe beter we ons kunnen weren.”
Deze bijdrage is ook terug te vinden in het magazine Standaardwerken, een uitgave van Forum Standaardisatie
