Vragen van het lid Özütok (GroenLinks) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het bericht «Merendeel gemeenten mailt onveilig» (ingezonden 20 december 2017).

Antwoord van Staatssecretaris Knops (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 23 januari 2018).

Vraag 1

Kent u het bericht «Merendeel gemeente mailt onveilig»?1

Antwoord 1

Ja.

Vraag 2

Deelt u de zorg dat het risicovol is dat veel gemeenten nog geen gebruik maken van de standaarden voor veilig e-mailverkeer? Zo nee, waarom niet?

Antwoord 2

Het Nationaal Beraad Digitale Overheid, waarin ook gemeenten zijn vertegenwoordigd, heeft het streefbeeld afgesproken om een aantal informatieveiligheidsstandaarden eind 2017 overal waar van toepassing te hebben geïmplementeerd. Het gaat specifiek om SPF, DKIM en DMARC (ter preventie van e-mailphishing en -spoofing), DNSSEC (domeinnaambeveiliging) en HTTPS/TLS (veilige websiteverbindingen). Het deel van de overheidsorganisaties dat de standaarden nog niet heeft geïmplementeerd loopt een hoger risico dan de organisaties die de standaarden wel gebruiken.

Vraag 3

Wat zijn volgens u de oorzaken van het feit dat veel gemeenten nog niet volledig gebruik maken van de standaarden voor veilig e-mailverkeer?

Antwoord 3

Gemeenten werken zonder uitzondering aan hun informatiebeveiliging. Onderdeel daarvan is de implementatie van de informatieveiligheidsstandaarden op de pas-toe-of-leg-uit-lijst van het Forum Standaardisatie. De informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van alle Nederlandse gemeenten, promoot de standaarden actief. Daarnaast maken de standaarden deel uit van de gemeentelijke model inkoopvoorwaarden (GIBIT) en de gemeentelijke model architectuur (GEMMA).

Het is goed om te beseffen dat informatiebeveiliging meer is dan het implementeren van een aantal technische standaarden. De beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen hangt van techniek af, maar voor een groot deel gaat het ook om veilige (werk)processen, doorlopend werken aan bewustwording onder medewerkers en een veilige inrichting van de organisatie.

Gemeenten geven onder hun eigen integrale verantwoordelijkheid invulling aan informatiebeveiliging langs de normen van de Baseline Informatiebeveiliging Gemeenten (BIG). Daarin worden zij ondersteund door de IBD. De visitatiecommissie Informatieveiligheid heeft in de afgelopen tijd een ronde gemaakt langs Nederlandse gemeenten – dit toont dat gemeenten op zowel operationeel als bestuurlijk niveau, individueel en gezamenlijk werk maken van informatiebeveiliging. Niet alle gemeenten nemen echter dezelfde maatregelen in hetzelfde tempo en dezelfde volgorde.

Vraag 4

Zijn u gegevens bekend over hoe andere decentrale overheden en zelfstandige bestuursorganen de standaarden voor veilig e-mailverkeer toepassen? Zo ja, hoe is het algemene beeld van het gebruik van standaarden voor veilig e-mailverkeer bij deze medeoverheden?

Antwoord 4

Forum Standaardisatie meet ieder halfjaar de toepassing van de informatieveiligheidsstandaarden, die onderdeel zijn van de streefbeeldafspraak van het Nationaal Beraad, bij overheidsorganisaties. Gemeenten doen het in deze metingen relatief goed ten opzichte van de medeoverheden als geheel. Gemeenten hebben een flinke inhaalslag gemaakt, en presteren ten opzichte van andere overheden gemiddeld het best.2 In februari 2018 wordt de meting van het Forum Standaardisatie over geheel 2017 verwacht.

De metingen worden uitgevoerd met behulp van de testtool Internet.nl die ontwikkeld is door het Platform Internetstandaarden, waarin private en publieke organisaties in Nederland samenwerken. Iedere gemeente kan deze tool ook zelf gebruiken om te controleren of zij de informatieveiligheidsstandaarden toepast en om kennis op te doen over hoe deze standaarden kunnen worden geïmplementeerd.

Vraag 5, 6

Hoe beoordeelt u de unanieme wens van de respondenten voor een landelijke generieke voorziening, zoals deze uit het onderzoek naar voren komt? Wat zijn de voor- en nadelen van een landelijke generieke voorziening?

Bent u bereid om in samenspraak met de medeoverheden te bekijken of er een landelijke generieke voorziening kan komen? Zo nee, waarom niet?

Antwoord 5, 6

Ik onderschrijf het belang van en herken de behoefte aan een mogelijkheid voor de overheid tot veilige communicatie via e-mail. E-mail is een populair doelwit voor aanvallers, die daarnaast voortdurend op zoek zijn naar nieuwe middelen om een aanval mee op te zetten.3 Om aan deze veranderende dreiging het hoofd te kunnen bieden, worden diverse acties ondernomen.

Om de veiligheid van e-mail in den brede te vergroten is in februari 2017 de Veilige E-mail Coalitie opgericht met steun van het Ministerie van EZK en het Forum Standaardisatie. De aangesloten bedrijven, brancheorganisaties en overheden hebben met een ondertekende intentieverklaring afgesproken aan de slag te gaan met het invoeren van standaarden voor het beveiligen van e-mailverkeer en daarbij samen te werken. Op die manier kan zowel phishing als het afluisteren van e-mail worden tegengegaan.4

Het NCSC heeft factsheets uitgebracht om organisaties te helpen bij het juiste gebruik van de standaarden.

Voor veilige communicatie tussen overheid en burgers bestaat een landelijke voorziening in de vorm van de berichtenbox van MijnOverheid. Deze is geïnitieerd met als doel een veilig communicatiekanaal te creëren waarin berichten gegarandeerd en tijdig worden afgeleverd en geen onduidelijkheid ontstaat over de daadwerkelijke afzender of de authenticiteit van overheidsberichten en waarin niemand mee kan kijken. Deze voorziening wordt zowel door burgers als overheidsdienstverleners – ook gemeenten – steeds meer gebruikt.

Naast deze acties zijn er geen plannen om te komen tot een ICT-project voor generieke e-mail bij de overheid.

Naar boven