Onveilige gemeentelijke mailsystemen bedreiging voor privacy (jeugd)zorg

button-815779_640

Met als kop “Gemeentelijke e-mail ‘gênant slecht’ beveiligd” verscheen vandaag op de website www.binnenlandsbestuur een artikel over het enorme gebrek aan beveiliging van het e-mailverkeer van vele gemeenten. Uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten blijken slechts drie gemeenten aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, ‘s-Hertogenbosch en Woerden. Grote gemeenten als Amsterdam, Rotterdam en Utrecht lukt dat niet. Kwaadwillenden kunnen met phishing-mails zich controle verschaffen en controle krijgen over de mailserver van een gemeente. Aangezien veel gemeenten hun communicatie met burgers over de jeugdzorg via de gewone mail laten verlopen is die informatie ook “at-risk”. Een snelle scan op het internet laat bij bijv. bij gemeenten als Koggenland, Alkmaar en Utrecht zien dat voor de communicatie over jeugdzorg gebruik wordt gemaakt van mailverkeer.

 

Hardleers

Gemeenten zijn al langere tijd zeer hardleers als het gaat om implementatie van adequate, state-of-the-art beveiliging van elektronische hulpmiddelen. Vaak gaat het niet eens om het installeren van zeer sterke beveiligings-software, maar om het bijhouden van updates van de bij de gemeenten draaiende besturingssystemen en basissoftware. In 2011 stelde de journalist Brenno de Winter in samenwerking met Webwereld de gammele toegang van o.a. gemeentelijk websites aan de kaak in de geruchtmakende Lektober-maand. Windows als besturingssysteem bleek vaak niet geüpdatet te zijn waardoor het zelf mogelijk was DOS-commando’s op de website uit te voeren en toegang te krijgen tot het achterliggende Content Management Systeem(CMS). Ook waren veel gemeentelijke websites niet beveiligd tegen SQL-injecties waardoor onbevoegd toegang te verkrijgen was tot onderliggende systemen. Nog gênanter was dat het bedrijf dat gemeenten assisteerde bij de beveiliging ook lek bleek bij SQL-injectie. Vrij recent, in maart 2016, onthulde RTL Nieuws dat een groot aantal gemeentelijke websites niet veilig waren voor een DROWN-aanval. Met certificaten beveiligde gemeentelijke websites(https) bleken kwetsbaar door het gebruik van verouderde SSL-2.0 software op de servers. Nu blijkt er met de mail niet gebruik gemaakt te worden van open-internetstandaarden die de kans op inbraken middels phishing-mail verkleint. Het gaat daarbij om SPF, DKIM, DMARC die ervoor zorgen dat men er beter op kan vertrouwen dat er zekerheid is dat de verzender van de mail is wie hij zegt te zijn. Alle grote partijen, zoals Yahoo!, Gmail en Live gebruiken die open-standaarden overigens al jaren. Het Forum Standaardisatie van de centrale overheid rekent die open-standaarden tot de Pas-toe-of-leg-uit-software. Daarmee wordt bedoeld dat overheden die open-standaarden moeten eisen bij aangeschafte software OF in een jaarverslag moeten uitleggen welke zwaarwegende redenen ze hebben om die open-standaarden niet te (laten) implementeren.

Communicatie

Al eerder werd duidelijk dat veel communicatie tussen burgers en wijkteams in het kader van de (jeugd)zorg via de e-mail plaatsvindt. Ook leden van wijkteams wisselen onderling informatie op deze wijze uit. Huisartsen wordt via-e-mail om informatie gevraagd over al dan niet jonge burgers die in een wijkteam besproken worden. Zulks terwijl huisartsen al enige tijd zorggegevens uitsluitend via beveiligde mail verzenden(bijv. Zorgmail). Nu dus duidelijk is dat zeer veel gemeenten hun mailservers ook niet voorzien hebben van state-of-the-art-software voor de e-mail moet er toch ernstig getwijfeld worden aan de rechtmatigheid van het gebruik van e-mail bij het uitwisselen van zeer privacy gevoelige informatie door gemeenten.

APK

De vraag bij alle vormen van achterblijvende implementatie van relevante beveiligingssoftware is waarom gemeenten er zo laks mee zijn. Is het desinteresse? Denkt men: “Dat overkomt ons toch niet”? Wordt er bezuinigd op ICT-beheer? Het is moeilijk te peilen, maar wat fundamenteel bij veel gemeenten ontbreekt, is de basisgedachte dat dienstbaarheid aan de burger ook betekent dat de eigen systemen en de daarop draaiende software op orde zijn.

Voor auto’s hebben we een jaarlijkse Apk-keuring in Nederland. We zullen voor de gemeentelijk ICT-systemen en software ook die kant op moeten. Minister Plasterk lijkt echter niet zo geïmponeerd door de meldingen van de gemeentelijk ICT-sores.

Gelukkig behoort mijn gemeente tot de drie goede uitzonderingen ten aanzien van het mailverkeer.

W.J. Jongejan