Vitale sector kwetsbaar voor emailvervalsers

Zembla: risico op phishing, spoofing en ransomware door kwetsbaarheden in mailservers

Dit artikel delen:
email

Bedrijven in de vitale sector hebben hun email slecht beveiligd tegen vervalsing door cybercriminelen. Onder andere de kerncentrale in Borssele, Luchtverkeersleiding Nederland en water- en energiebedrijven scoren slecht. Ook Veiligheidsregio’s laten opvallend vaak steken vallen.

Dat blijkt uit onderzoek van actualiteitenrubriek Zembla. De redactie van het tv-programma onderzocht samen met de Internet Cleanup Foundation de mailservers van honderd organisaties in de vitale sector.

Ze keken of deze voldeden aan de criteria en adviezen van het Forum Standaardisatie en het Nationaal Cyber Security Centrum (NCSC). Die bevelen de implementatie en strikte configuratie van de e-mailveiligheidsstandaarden dmarc, dkim en spf aan.

Het actualiteitenprogramma en de stichting voor vertrouwelijkheid en integriteit op internet concluderen dat 57 van de honderd bedrijven de aanbevolen veiligheidsstandaarden geïmplementeerd en strikt geconfigureerd hebben. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden of was deze onvoldoende strikt geconfigureerd.

43 procent van de onderzochte bedrijven blijkt dus de emailsystemen niet optimaal te hebben beveiligd. Dat kan hen kwetsbaar maken voor criminelen die uit naam van die organisaties vervalste emails versturen om vervolgens te proberen om binnen te dringen in systemen of data willen gijzelen.

Reacties

"Organisaties in de vitale sector geven toe dat hun email niet maximaal beveiligd is en beloven beterschap"

In reactie op het onderzoek zeggen 34 van de 43 bedrijven en organisaties die de zaken niet op orde hebben, hun mailbeveiliging verder aan te scherpen.

De exploitant van de kerncentrale in Borssele, EPZ, erkent dat de mail niet maximaal is beveiligd, maar zegt desondanks ‘goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren’. EPZ scherpt de beveiliging van e-mail verder aan. Ook de bedrijven in de luchtvaartsector kwamen met vergelijkbare reacties op de ontdekte kwetsbaarheden.

Een woordvoerder van hoogspanningsbeheerder Tennet, dat de mail ook onvoldoende beveiligde, reageert: ‘Ook wij hebben weleens op een verkeerde link geklikt of een besmet bestand geopend.' De woordvoerder stelt dat het bedrijf beschikt over goed beveiligde systemen, goed opgeleid personeel en security-processen, waardoor acties niet tot verdere schade leiden of hebben geleid.

Veiligheidsregio’s

Opvallend is verder dat de veiligheidsregio’s slecht scoren, terwijl de veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog getroffen werd door een ransomware-aanval.

Van de 25 veiligheidsregio’s hadden er dertien hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn. ‘Verbetering kost tijd’, aldus de veiligheidsregio’s, die zeggen te kampen met een ‘complex ict-landschap’ nadat de systemen van de organisaties zijn samengevoegd.

Er worden versneld extra veiligheidsmaatregelen genomen, melden de samenwerkingsverbanden voor crisisbeheersing, hulpverlening, openbare orde en veiligheid aan Zembla.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Zembla profileert zichzelf als een opiniërende actualiteitenrubriek, ze zoeken graag naar de spreekwoordelijke storm in een glas water want ik mag aannemen dat de IT van de vitale sector niet gekoppeld is aan de OT. Natuurlijk is er - zoals Colonial hack liet zien - een risico dat ransomware delen in de vitale sector lam legt maar naar ik heb begrepen zijn er interessantere aanvalsvlakken. Het is natuurlijk goed dat er aandacht gegeven wordt aan de onveiligheid van e-mail, zonder streepje is het een laagje dat op de pannen zit, maar we hadden deze week ook een storm in een glas water over Facebook die problemen had met een DNS routering. Voor alle duidelijkheid, parlementaire nota KWetsbaarheden INternet (9 juli 2001) wees al op de zwakheden van e-mail welke 20 jaar later nog niet opgelost zijn omdat we blijven bezuinigen op de postzegels.

Wat betreft oude maar nog altijd relevante rapportages is ook jet opvolgende rapport over het beleid aangaande de bescherming van de vitale sectoren interessant, sommige molens draaien nu eenmaal niet zo snel. In het kaartspel van de 'risicokaarten' mist nog de joker want sinds 2005 is het eigenaarschap van de vitale infrastructuur nog verder verslechterd en de geconstateerde bestuurlijke zwakheden aangaande een integrale aanpak zijn daarom nog altijd niet opgelost. We hebben namelijk wel een NCSC maar als deze uiteindelijk geen autoriteit heeft dan is het een blaffende hond, divide et impere.....

@Oudlid
Je zegt: "het valt allemaal eigenlijk wel mee" .." ..want ik mag aannemen dat de IT van de vitale sector niet gekoppeld is aan de OT..". Maar op welke basis maak jij die aanname eigenlijk?

Zonder IT werkt vaak de OT ook niet meer en dat is dus in veel gevallen de reden waarom er losgeld betaald wordt. Zonder IT heb je geen actieve bedrijfsprocessen. Als je dan niet betaalt, dan heb je na een paar weken de-facto geen bedrijf meer.



@KJ
Als eerste zie ik de OT van processturing en -automatisering als een andere wereld dan de IT van de kantoorautomatisering, ik neem daarin aan dat een e-mail systeem niet (direct) is gekoppeld aan een SCADA systeem. Basis voor die aanname is emperisch hoewel er natuurlijk altijd 'achterdeurtjes' zijn welke al dan niet gautoriseerd zijn omdat we liever lui dan moe zijn middels 'remote management' via een netwerk. De oude RS-232 stekker is dan vervangen door een RJ-45 stekker maar meestal is dat 'management' netwerk een van de buitenwereld afgesloten netwerk, meestal maar niet altijd want zoals gezegd zijn er andere aanvalsvlakken dan SMTP. Zembla kleppert met de brievenbus die misschien essentieel is voor de administratie maar veelal niet vitaal voor de productie. Dus ja, het valt misschien allemaal wel mee hoewel er natuurlijk zorgen blijven over een vitale infrastructuur als die omvalt door achterstallig onderhoud.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-10-07T11:05:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.