Het e-mailsysteem van de Veiligheidsregio IJsseland is onvoldoende beschermd tegen cybercriminaliteit. Dat meldt het BNNVARA-programma Zembla, dat samen met de stichting Internet CleanUp Foundation de servers onderzocht. Veiligheidsregio Twente had de mailbeveiliging wel op orde.

Twee van de drie veiligheidsstandaarden ontbraken volledig bij IJsselland, zegt een medewerker van Zembla. "Terwijl overheidsorganisaties verplicht zijn de meest strikte standaarden in te stellen."

Phishing, spoofing en ransomware

Zembla screende de servers van honderd bedrijven en overheidsinstellingen. Ze onderzochten in hoeverre de emailserver was beschermd tegen onder meer phishing, spoofing en ransomware. Bij 43 instanties ontbrak één of meer veiligheidsstandaard.

Deze drie veiligheidsstandaarden zijn DMARC, SPF en DKIM. Deze controleren samen of de afzender van een mailtje daadwerkelijk die afzender is. Alle drie moeten geactiveerd zijn om goed te werken. Bij IJsselland ontbraken zowel DMARC als DKIM volledig, zegt Zembla.

Reactie Veiligheidsregio's

De veiligheidsregio heeft nog niet gereageerd op onze mail, waarin we vragen of het emailsysteem (inmiddels) veilig is. In een gezamenlijke reactie van alle veiligheidsregio's staat dat ze 'al jaren met prioriteit inzetten op cybersecurity, maar daarbij te maken hebben met een complex ICT-landschap.'

Dit komt mede door de vorming van de 25 veiligheidsregio's zoals ze nu zijn, 'waarbij gemeentelijke organisaties zijn ontvlochten', staat in de reactie. Hierdoor wegen Veiligheidsregio's zelf de risico's af, waardoor de ene regio beter beveiligd is dan de andere.

Urenco en Vitens

Van de 25 Veiligheidsregio’s hadden er dertien hun e-mail onvoldoende tegen phishing beveiligd, zegt Zembla. Op de lijst staan ook twee Overijsselse bedrijven, die allebei goed beveiligd waren; Urenco Almelo en Vitens uit Zwolle.

Hof van Twente kwam vorig jaar landelijk in het nieuws nadat hackers het gemeentesysteem binnen waren gedrongen. Ze kregen hierbij alle data van de gemeente in handen. De gemeente heeft zeker een jaar nodig om een nieuwe infrastructuur op te bouwen; de kosten lopen in de miljoenen.

De Zembla-aflevering ‘Gehackt en gegijzeld’ is vanavond om 20.25 uur op NPO 2.