Nieuws

'Beveiliging e-mailsysteem Veiligheidsregio IJsselland niet op orde'

Gebouw van de Veiligheidsregio IJsselland in Zwolle
Gebouw van de Veiligheidsregio IJsselland in Zwolle © RTV Oost, Oscar Siep
Het e-mailsysteem van de Veiligheidsregio IJsseland is onvoldoende beschermd tegen cybercriminaliteit. Dat meldt het BNNVARA-programma Zembla, dat samen met de stichting Internet CleanUp Foundation de servers onderzocht. Veiligheidsregio Twente had de mailbeveiliging wel op orde.
Twee van de drie veiligheidsstandaarden ontbraken volledig bij IJsselland, zegt een medewerker van Zembla. "Terwijl overheidsorganisaties verplicht zijn de meest strikte standaarden in te stellen."

Phishing, spoofing en ransomware

Zembla screende de servers van honderd bedrijven en overheidsinstellingen. Ze onderzochten in hoeverre de emailserver was beschermd tegen onder meer phishing, spoofing en ransomware. Bij 43 instanties ontbrak één of meer veiligheidsstandaard.
Deze drie veiligheidsstandaarden zijn DMARC, SPF en DKIM. Deze controleren samen of de afzender van een mailtje daadwerkelijk die afzender is. Alle drie moeten geactiveerd zijn om goed te werken. Bij IJsselland ontbraken zowel DMARC als DKIM volledig, zegt Zembla.

Reactie Veiligheidsregio's

De Veiligheidsregio IJsselland herkent zich in de bevindingen van Zembla. Ook was bekend dat de e-mailveiligheid niet op orde was, zegt een woordvoerder. "Voor DMARC waren al maatregelen in voorbereiding. Deze zijn naar aanleiding van de vraag van Zembla versneld doorgevoerd. DKIM was tijdens het onderzoek al op orde."
In een gezamenlijke reactie van alle veiligheidsregio's staat dat ze 'al jaren met prioriteit inzetten op cybersecurity, maar daarbij te maken hebben met een complex ICT-landschap.'
Dit komt mede door de vorming van de 25 veiligheidsregio's zoals ze nu zijn, 'waarbij gemeentelijke organisaties zijn ontvlochten', staat in de reactie. Hierdoor wegen Veiligheidsregio's zelf de risico's af, waardoor de ene regio beter beveiligd is dan de andere.

Urenco en Vitens

Van de 25 Veiligheidsregio’s hadden er dertien hun e-mail onvoldoende tegen phishing beveiligd, zegt Zembla. Op de lijst staan ook twee Overijsselse bedrijven, die allebei goed beveiligd waren; Urenco Almelo en Vitens uit Zwolle.
Hof van Twente kwam vorig jaar landelijk in het nieuws nadat hackers het gemeentesysteem binnen waren gedrongen. Ze kregen hierbij alle data van de gemeente in handen. De gemeente heeft zeker een jaar nodig om een nieuwe infrastructuur op te bouwen; de kosten lopen in de miljoenen.
De Zembla-aflevering ‘Gehackt en gegijzeld’ is vanavond om 20.25 uur op NPO 2.

Heb je een nieuwstip of nieuwe informatie? Tip de redactie via WhatsApp of via de mail.