Het ministerie van Defensie neemt maatregelen om te voorkomen dat kwaadwillenden e-mailadressen kunnen aanmaken die eruitzien alsof ze van het ministerie zijn. “We kennen het probleem al langer en zijn ermee bezig dit zo snel mogelijk op te lossen”, aldus een woordvoerder, nadat de NOS had ontdekt dat diverse overheidsorganisaties hun beveiliging tegen dit soort misbruik niet op orde hebben.
Niet alleen defensie is vatbaar voor ‘spoofing‘, computertaal voor het verzenden van e-mails onder een vervalste naam. De website Follow the Money (FTM) liet maandag al zien dat het mogelijk was om bijvoorbeeld e-mailadressen aan te maken die eindigen op @tweedekamer.nl. De ontvanger kan zo om de tuin worden geleid.
Vervolgstappen zijn nodig
Na de publicatie nam de Tweede Kamer maatregelen om de grootste kwetsbaarheden in de beveiliging te verhelpen. Om misbruik echt goed tegen te gaan zijn nog vervolgstappen nodig.
Technische oplossingen
Er bestaan meerdere technische systemen om dergelijke fopmail tegen te gaan. Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft die twee jaar terug op een rij gezet, maar lang niet alle overheden hebben de adviezen van de experts opgevolgd. Volgens de NOS is bijvoorbeeld ook het internetdomein van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) te misbruiken.
>> Meer lezen over cybersecurity? Klik hier voor een overzicht van het hoe, wat en waarom van cybersecurity en informatiebeveiliging.
Nepadressen met @aivd.nl
Een woordvoerder van het ministerie van Binnenlandse Zaken laat weten dat de e-mailadressen die de AIVD zelf in gebruik heeft eindigen op @minbzk.nl. Die zijn volgens hem goed beveiligd. Maar het blijkt wel mogelijk om nepadressen aan te maken die eindigen op @aivd.nl. Hoewel de AIVD die zelf dus niet gebruikt, wordt nu wel de beveiliging aangescherpt om tegen te gaan dat mensen zich langs deze weg in een e-mail kunnen voordoen als medewerkers van de geheime dienst.
Risico’s
Volgens de NCSC is geen diepgaande technische kennis nodig om iemand op deze manier op te lichten. Het gevaar schuilt erin dat de ontvanger denkt dat hij e-mail krijgt van een betrouwbare organisatie en daarom bijvoorbeeld eerder op links zal klikken of gegevens zal delen.
>> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.