Mark Koek

E‑mailbeveiliging: overheid verslaat bedrijfsleven

HackDefense onderzocht of de overheid zich aan de eigen aanbevelingen houdt voor wat betreft de beveiliging van e‑mail. En of het bedrijfsleven het beter doet. Nu verwacht je misschien dat de ministeries het onderspit moeten delven. Maar niets is minder waar. Tijd voor het bedrijfsleven om zich achter de oren te krabben.

Klikgedrag van volksvertegenwoordigers viel tegen

In een eerdere blog lazen we al hoe Mark, directeur van HackDefense en medeoprichter van Phishingtest​.nl, Opgelicht!? hielp te onderzoeken hoe het met het klikgedrag van onze volks­ver­tegen­woor­digers staat. Eerst checken, dan klikken’ — de campagne van het ministerie van Justitie en Veiligheid — was duidelijk nog niet helemaal in de Tweede Kamer doorgedrongen. Nu heeft HackDefense onderzocht of de overheid zich aan de eigen aanbevelingen houdt wat betreft de beveiliging van e‑mail en hoe de 25 grootste Nederlandse bedrijven het doen.

Verbeterpunten voor de overheid, slechte score AEX-bedrijven

Wat blijkt? De overheid heeft wat verbeterpunten, maar doet het eigenlijk best goed. De 25 bedrijven in de AEX doen het daarentegen een stuk slechter. Hoe hebben we dit onderzoek uitgevoerd? We hebben 25 veelgebruikte domeinnamen van de overheid en 25 bedrijven in de AEX onderzocht met behulp van testtool Internet​.nl, een initiatief van het Platform Internetstandaarden. Via deze tool kun je checken of je website en e‑mail voldoen aan moderne internetstandaarden, bijvoorbeeld voor beveiliging.

De belangrijkste conclusies

  • Het ondersteunen van Internet Protocol versie 6 blijft een uitdaging. Acht van de 25 overheids-mailservers en drie van de 25 grote bedrijven ondersteunen het nog maar (zie afbeeldingen onderaan deze blog). 
  • DNSSEC – bescherming tegen het vervalsen van domeinnamen – wordt door bijna de hele overheid ondersteund, en door geen enkel bedrijf in de AEX, met uitzondering van KPN.
  • Maatregelen tegen afzendervervalsing (SPF, DKIM, DMARC, met name belangrijk tegen phishing) worden vrijwel overal allemaal ondersteund, met uitzondering van Shell​.nl en Vopak​.nl, die geen van drieën ondersteunen.
  • Ook wonderlijk is dat multinationals als Philips en Galapagos, maar ook het Ministerie van Algemene Zaken, niet aan DKIM doen. DKIM is het digitaal ondertekenen van e‑mails waardoor spam bestreden kan worden.
  • Behalve het ministerie van Algemene Zaken ondersteunt de hele overheid sterke e‑mailversleuteling middels STARTTLS, terwijl maar liefst zes van de 25 AEX-fondsen daar niet aan doen. Onder de niet-ondersteuners bevindt zich, tot onze grote verbazing, ABNAMRO​.nl.

Anders dan verwacht

Het is misschien niet wat je zou verwachten, maar de overheid heeft z’n e‑mailzaakjes een stuk beter voor elkaar dan de grote bedrijven van Nederland. 

Meer weten?

Ben je benieuwd wat wij met onze ethische hacker”-mindset voor jouw organisatie kunnen betekenen? Neem dan gerust contact met ons op. We denken graag met je mee. 

Schermafbeelding2 20200312 Schermafbeelding3 20200312

Download hier alle resultaten van het onderzoek