Positief vooruitzicht voor vertrouwelijkheid overheidsmail

08 apr 2020

Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren, om zo ‘afluisteren’ van e-mail te voorkomen. Slechts 50% van de overheidsorganisaties heeft DANE voor deze deadline geïmplementeerd. Het ontbreken van ondersteuning voor DANE in cloudproduct Office 365 bleek een knelpunt te zijn. Microsoft heeft op 6 april aangekondigd dat zij DANE eind 2021 volledig zullen ondersteunen in Office 365 Exchange Online.

Eind 2021 volledige ondersteuning DANE in Exchange Online

In de aankondiging geeft Microsoft aan dat implementatie gefaseerd zal plaatsvinden. De eerste fase omvat ondersteuning voor e-mail verzonden vanuit Exchange Online. Deze zal eind 2020 zijn afgerond. De tweede fase omvat ondersteuning voor ontvangst van e-mail in Exchange Online. Die wordt voor het eind van 2021 afgerond.

Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan 100 overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen.

Microsoft wijst klanten erop dat zij in de tussentijd de optie hebben om eigen SMTP-gateways te gebruiken die wel DNSSEC en DANE ondersteunen. E-mailberichten kunnen eventueel tussen de gateways en Exchange Online worden uitgewisseld via connectoren. Een dergelijke relay gateway brengt complexiteit en kosten met zich mee. Om die redenen is inherente ondersteuning van de standaarden in Exchange Online cruciaal, ook in producten van andere leveranciers. Forum Standaardisatie adviseert overheidsorganisaties die willen overstappen op Exchange Online te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd.

Diverse leveranciers bieden op dit moment al ondersteuning voor DANE. Meer dan de helft van de overheidsorganisaties maakt gebruik van DANE mogelijk voor veilig e-mailverkeer. Zo passen bijvoorbeeld de gemeente Den Bosch, rijksdienstverlener SSC-ICT, de Tweede Kamer en de politie dit toe.

DANE en de Baseline Informatiebeveiliging Overheid

DANE voorkomt dat aanvallers mailverkeer kunnen ‘afluisteren’ of aanpassen. Het staat voor DNS-Based Authentication of Named Entities en is een verplichte standaard voor de overheid. De techniek bouwt voort op DNSSEC (standaard voor domeinnaambeveiliging) en geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af. Dit voorkomt dat een aanvaller de opzet van een met STARTTLS beveiligde verbinding kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.

Het correct toepassen van standaarden DNSSEC, DANE en STARTTLS is wat minimaal verwacht mag worden van overheidsmail. Deze standaarden zijn daarom ook onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) via maatregel 13.2.3.1 (BBN1). BBN1 is het beveiligingsniveau waar alle overheidssystemen als minimum aan moeten voldoen.

Het borgen van veilig e-mailverkeer tussen overheidsorganisaties met burgers, bedrijven en medeoverheden is van belang voor de betrouwbaarheid van de (digitale) overheid. Vanwege de tweezijdigheid van deze informatie-uitwisseling liggen de risico's van kwetsbaarheden niet alleen bij de betreffende overheidsorganisaties, maar ook bij partijen waar zij digitaal mee communiceren. Overheidsorganisaties hebben een zorgplicht naar burgers, bedrijven en medeoverheden om de digitale veiligheid op orde te brengen.

Hoe weet ik of mijn e-mailverkeer kan worden meegelezen?

Via Internet.nl kan je testen of het e-mailverkeer van jouw organisatie is beschermd tegen afluisteren en spionage. Deze tool toetst op de toepassing van encryptiestandaarden STARTTLS en DANE. Door een correcte toepassing van deze standaarden op een mailserver helpen zij afluisteren en spionage voorkomen.

Achtergrond

De overheid sprak in 2018 af om DANE te implementeren uiterlijk voor eind 2019. Uit een meting in maart 2020  onder 548 belangrijke overheidsdomeinen blijkt dat dit bij slechts 50% van de organisaties is gelukt.

Uit halfjaarlijkse metingen zag Forum Standaardisatie vorig jaar al een negatieve trend in het toepassen van DNSSEC op mailservers. Uit analyse bleek dat dit kwam omdat sommige overheidsinstanties de overstap maken naar Exchange Online, dit veelgebruikte product biedt op dit moment nog geen ondersteuning voor de voor overheid verplichte standaarden DNSSEC en DANE.

In juli vorig jaar heeft Strategisch Leveranciersmanagement Microsoft Rijk in samenwerking met Forum Standaardisatie een verzoek gedaan bij Microsoft om ondersteuning te bieden voor DNSSEC en DANE bij het gebruik van Office 365-mailservers. In navolging hierop hebben diverse overheidsorganisaties, bedrijven en buitenlandse overheden Microsoft ook gevraagd om ondersteuning van DNSSEC en DANE.