Maak websites en e-mail zo veilig mogelijk

Hoe voorkom je dat computercriminelen e-mail namens een gemeente versturen en mensen naar nepwebsites doorsluizen waar hun gegevens worden gestolen? Door open beveiligingsstandaarden te gebruiken. Heerlen en ’s-Hertogenbosch doen het.

Veilig communiceren

Paddy Verberne, IT-specialist bij de gemeente ’s-Hertogenbosch, hoeft niet lang na te denken waarom zijn gemeente de open beveiligingsstandaarden voor websites en e-mail implementeerde: “Burgers en bedrijven doen verplicht zaken met ons, ze kunnen nergens anders heen. Dat betekent dat wij er verantwoordelijk voor zijn dat ze veilig met ons kunnen communiceren.” De gemeente ’s-Hertogenbosch was de eerste gemeente die alle standaarden invoerde. Ook de gemeente Heerlen implementeerde alle standaarden. De gemeente werkt voor IT samen met andere gemeenten in Parkstad IT en beheert de ICT-infrastructuur van veel omringende overheden. John Dautzenberg, IT-specialist bij de gemeente Heerlen: “We beheren een kleine driehonderd domeinnamen voor overheden, we hebben de status van een lokale internet service provider. Dat geeft ons een extra verantwoordelijkheid om te zorgen dat onze websites en e-mail gateways optimaal worden beveiligd.”

Onveilige omgeving

Uit cijfers van het Forum Standaardisatie blijkt dat gemeenten qua invoering van open beveiligingsstandaarden gelijk oplopen met rijksoverheid en bedrijfsleven. Dat is echter geen reden om achterover te leunen, want het Forum Standaardisatie zou graag zien dat de standaarden breed worden toegepast. De standaarden zijn hard nodig, want de internet- en e-mailstandaarden zijn inherent onveilig, zegt Verberne: “Het internet is in eerste instantie gebouwd als een min of meer besloten netwerk voor Amerikaanse overheden en universiteiten. Beveiliging was geen aandachtspunt bij het ontwerp ervan.”

Voorbeeldrol

Technisch gezien liepen Heerlen en ’s-Hertogenbosch tegen weinig problemen aan bij de implementatie van de open beveiligingsstandaarden. Organisatorisch bleek het vooral van belang om goed in kaart te hebben hoe de gemeentelijke IT eruitziet, in dit geval vanaf welke systemen e-mail wordt verstuurd en waar de gemeentelijke websites worden gehost. De standaarden moeten op al deze plekken worden ingevoerd. Als dat niet gebeurt, dan wordt bijvoorbeeld e-mail afkomstig van een server die de standaard niet gebruikt als onbetrouwbaar gezien. Afhankelijk van de instellingen van de ontvangende partij wordt die e-mail geweigerd of in de spambox gezet.
Met de invoering van deze open beveiligingsstandaarden weten gemeenten zeker dat hun e-mail en websites zo veilig mogelijk zijn voor misbruik door anderen. Er zitten echter twee kanten aan dit verhaal, want de ontvangende partij moet deze standaarden ook gebruiken. Die moet bijvoorbeeld verifiëren of de digitale handtekening die de e-mailstandaarden aan een e-mail toevoegen authentiek is. “Gelukkig werken de grootste e-mailproviders, zoals Gmail, met deze technologie,” zegt Verberne. “Maar er zijn ook partijen die deze e-mailstandaarden niet gebruiken. Wat dat betreft vind ik dat wij als overheid een voorbeeldrol hebben, want we geven door deze standaarden te gebruiken aan hoe belangrijk wij veilige websites en e-mail vinden.”

U leest het hele artikel op iBestuur.