Cybercrime aangepakt
Content
Gepubliceerd op 01-01-2018
Het e-mailverkeer moet veiliger, en dat kan alleen met behulp van veiligheidsstandaarden. Om ervoor te zorgen dat deze standaarden een platform krijgen, richtten bedrijven, brancheorganisaties en de overheid begin 2017 de Veilige E-mail Coalitie op. “Het is nu zaak dat zoveel mogelijk partijen deze standaarden adopteren. Alleen dan zijn ze effectief”, aldus Maarten Aertsen van het Nationaal Cyber Security Centrum (NCSC).
Digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen
, staat in het Cybersecuritybeeld Nederland 2017 van het NCSC. Het NCSC is het centraleinformatieknooppunt en expertisecentrum voor cybersecurity in Nederland en heeft als missie de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Om die reden is het NCSC ook een van de deelnemers van het Platform Internetstandaarden. Dat isinitiatiefnemer van de site Internet.nl, waarop iedere burgerof organisatie kan testen of zijn website, e-mail of internetverbinding modern en betrouwbaar is. “Overheid, bedrijfsleven en burgers investeren al behoorlijk in het vergroten van de cybersecurity. We zitten bepaald niet stil. Maar de dreiging van beroepscriminelen en statelijke actoren groeit harder dan de maatregelen die we met elkaar treffen”, vertelt Barend Sluijter, coördinerend senior beleidsmedewerker bij het NCSC. Het tempo waarin organisaties veiligheids-maatregelen treffen, moet daarom worden opgeschroefd. Sluijter: “Er moet een tandje bij. Dat is ook de conclusie van het nieuwe kabinet. Daarom reserveert het structureel 95 miljoen euro voor het vergroten van de algehele digitale weerbaarheid van Nederland.”
Phishing en spoofing
Veiliger e-mailverkeer is daarvan een belangrijk onderdeel, omdat veel aanvallen beginnen met phishing. Hierbij sturen kwaadwillenden misleidende e-mails, waardoor internet-gebruikers nietsvermoedend op valse websites inloggen die hun inlogcodes of creditcardgegevens afhandig maken.“Dit is vrij eenvoudig, omdat de standaarden voor communicatie tussen mailservers van origine zwak beveiligd zijn”, zegt Maarten Aertsen, senior adviseur informatie-
Bij de Fraudehelpdesk kwamen in 2016 meer dan een half miljoen meldingen binnen van Nederlanders die een valse e-mail hadden ontvangen.
beveiliging van het NCSC. “E-mails versturen was aanvankelijk veilig. Dat is de aanname waarop veel systemen zijn gebouwd. Als gevolg hiervan zijn de beveiligingssystemen van veel e-mailproviders, overheidsorganisaties en bedrijven die geen moderne beveiligings-standaarden ondersteunen, niet sterk genoeg.”Hierdoor krijgen hackers en cybercriminelen volop de kans om te phishen, te spoofen(e-mails versturen die afkomstige lijken vaneen bepaalde domeinnaam) of e-mails‘af te luisteren’ (het bericht onderscheppen).Aertsen: “Een aanvaller kan, wanneer dee-mailserver niet goed is beveiligd, doen alsof hij mailt vanaf jouw domein. Met alle gevolgen van dien.” Dan kan het zomaar zijn dat een medewerker ogenschijnlijk eene-mail ontvangt van de eigen HR-afdeling,die hem vraagt om zijn inloggegevens te vernieuwen, of dat een internetgebruiker denkt zijn inloggegevens achter te laten opeen betrouwbare website van een bank of de overheid, terwijl deze in werkelijkheid in valse handen is.
Standaarden op de plank
E-mailfraude is helaas aan de orde van de dag. Bij de Fraudehelpdesk alleen al kwamen in 2016 meer dan een half miljoen meldingen binnen van Nederlanders die een valse e-mail hadden ontvangen. Dat worden er elke maand meer. “Die aantallen kunnen drastisch naar beneden,” zegt Aertsen, “mits partijen gebruik maken van internationale standaarden die misbruik van e-mail tegengaan.”Het goede nieuws is dat de standaarden die het e-mailverkeer veiliger maken kant-en-klaar op de plank liggen. Er zijn verschillende internationale standaarden waarmee organisaties enorme veiligheidsslagen kunnen maken. Zo zijn er standaarden die het afluisteren van e-mail onmogelijk maken.Ze staan op de ‘pas toe of leg uit'-lijst van het Forum Standaardisatie en in combinatie versleutelen ze het e-mailverkeer op een solide manier. “Organisaties die deze standaarden adopteren, maken het voor aanvallers onmogelijk om e-mails af te luisteren of te manipuleren”, vertelt Aertsen.SPF, DKIM en DMARC. Om phishing en spoofing tegen te gaan, zijn er de standaarden SPF, DKIM en DMARC. Aertsen legt uit: “SPF staat voor Sender Policy Framework. Dit is een protocol waarmee je vaststelt wie gerechtigd is om mail namens jouw domein te verzenden. Een ontvangende server kan dan op basis van het SPF-record besluiten om de e-mail door te laten, te markeren als onveilig of te weigeren. SPF is relatief eenvoudig te installeren en voorkomt al veel fraude.”
Cybersecurity is gemeengoed geworden. Dat betekent dat de maatregelen die we hiervoor moeten treffen inmiddels ook gemeengoed zijn geworden. We kunnen er niet omheen. Hoe eerder we de standaarden implementeren, hoe kleiner de kans dat internetcriminelen hun slag slaan.
Aldus Patricia Zorko, Directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid.
Domain Keys Identified Mail (DKIM) kan een aanvulling zijn op SPF. Sluijter: “DKIM is een digitale handtekening onder een e-mail. Hiermee kan de ontvanger controleren ofde e-mail zonder aanpassingen is verstuurdvanaf de vermoedelijke afzender. Voorwaardeis wel dat die controle echt plaatsvindt. Dezender kan zo’n handtekening onder zijne-mail plaatsen, maar als de ontvanger hiergeen aandacht voor heeft, is deze maatregelalsnog zinloos.”Tot slot is er DMARC. Aertsen: “Dit is eenoverkoepelende standaard die aangeeft water precies moet gebeuren als SPF en DKIMmelden dat een e-mail niet legitiem is. Infeite bepaalt een organisatie met DMARCwat de bestemming is van zo’n foute e-mail: de prullenbak of spammap bijvoorbeeld.”
Veilige E-mail Coalitie
“Bovengenoemde standaarden vormen momenteel wereldwijd dé oplossing voor het verhelpen van onveilig e-mailverkeer.Organisaties hoeven ze alleen nog maarte adopteren”, vertelt Aertsen. Hoe eerder,hoe beter. Want hoe meer partijen deze standaarden gebruiken, des te beter het hele systeem werkt.”Aertsen: “Grote internationale e-mailproviders gebruiken deze standaarden vaak al jaren.Maar er zijn talloze organisaties, waaronder de overheid, die de slag nog geheel of gedeeltelijk moeten maken. Bijvoorbeeld door de standaarden ook toe te passen op domeinen van waaruit deze organisaties nooit mailen.”Zo maakte onderzoekplatform Follow the Money eind 2017 nog bekend dat het vrij eenvoudig is om e-mails te vervalsen die afkomstig zijn van tweedekamer.nl, de Algemene Inlichtingen- en Veiligheidsdienst(AIVD) en zelfs het ministerie van Defensie.Hier waren SPF, DKIM en DMARC nog niet geïmplementeerd. Aertsen: “Wij adviseren daarom alle overheidsinstellingen haast te maken met het adopteren van de standaarden. Maar ook bedrijven moeten aan de bak. We hebben ons om die reden aangesloten bij de Veilige E-mail Coalitie.”Aertsen doelt op het initiatief van bedrijven en brancheorganisaties die onder regie van het ministerie van Economische Zaken en Klimaat en Forum Standaardisatie begin 2017een coalitie startten om de adoptie van deze standaarden te stimuleren. In de coalitie hebben ook grote partijen de krachten gebundeld: PostNL, KPN, Betaalvereniging Nederland, Thuiswinkel.org, VNO-NCW en MKB-Nederland, maar ook de Dutch Hosting Provider Association (DHPA), het ministerie van Binnenlandse Zaken en Koninkrijksrelaties,de Belastingdienst, de Fraudehelpdesk en het NCSC.
Niemand is veilig
Aertsen: “Al deze partijen gebruiken de standaarden om het e-mailverkeer te beveiligen. Maar door het open karakter zijn ze voor alle organisaties beschikbaar. Ook als je niet bij de coalitie bent. Aertsen houdt een warm pleidooi voor het massaal adopteren van de standaarden voor het beveiligen van het e-mailverkeer. “Het is voor de grootste bedrijven een flinke en dure klus om de standaarden door te voeren. Toch hebben bedrijven als KPN en PostNL deze standaarden wel degelijk geïmplementeerd, omdat hiervoor een duidelijke business case was. Voor kleinere bedrijven is het een stuk eenvoudiger. Soms is een paar uur algenoeg om de juiste maatregelen treffen.”
Dit artikel kwam tot stand met medewerking van Maarten Aertsen, Senior adviseur informatiebeveiliging Nationaal Cyber Security Centrum.
Standaarden voor communicatie tussen mailservers zijn van origine zwak beveiligd.
Hoe dan ook, geen enkel bedrijf kan het zich volgens Aertsen vandaag de dag veroorloven om een adequate beveiliging van e-mail achterwege te laten. Ook bedrijven met domeinen van waaruit geen e-mail wordt gestuurd. Aertsen: “Een ondernemer die een domeinnaam uitsluitend gebruikt voor een evenement, denkt wellicht dat het niet nodig is om maatregelen te treffen tegen misbruik van e-mail. Maar criminelen kunnen zijn domeinnaam wel degelijk misbruiken voor het verzenden van valse e-mails. Niemand is veilig voor cybercriminaliteit. We moeten er met zijn allen de schouders onder zetten. Alleen dan zijn de maatregelen effectief.”
Er zijn maar weinig landen ter wereld waar publieke en private ondernemingen zo goed met elkaar samenwerken als in Nederland. Dat kan ons geheime wapen zijn in de strijd tegen cybercrime. Hoe groterde vuist is die we met elkaar kunnen maken – zeker daar waar het gaat om de adoptie van veiligheidsstandaarden – hoe beter we ons kunnen weren.
Aldus Hans de Vries, Hoofd Nationaal Cyber Security Centrum
Standaardwerken: het belang van verbinden
Dit is één van de praktijkvoorbeelden uit magazine 'Standaardwerken: het belang van verbinden'. Wilt u een gedrukte versie ontvangen? Neem contact met ons op.
Bekijk meer praktijkvoorbeelden op: