Internet Standaarden
Inhoud
Internetstandaarden
Forum Standaardisatie en NCSC
Welke beveiligingsmaatregelen gebruikt de politie voor de ICT?
Beleid voor virussen en anti-malware
Beleid voor encryptie, spam, phishing en spoofing
Afhandeling van berichten
Standaarden
Internetstandaarden
Overheden en burgers kunnen veel schade van cybercriminaliteit ondervinden.
Door onbeveiligde websites en via e-mail kunnen gevoelige gegevens in verkeerde handen vallen.
Via malware (virussen) kan er schade worden toegebracht aan informatiesystemen, waaronder het uitvallen van systemen.
Ook kan dit ervoor zorgen dat gevoelige gegevens bij de verkeerde ontvanger terecht komen.
Phishing mails, (je voordoen als een ander), die verstuurd worden uit naam van officiële instanties kunnen het vertrouwen van de burger in de overheid behoorlijk ondermijnen.
Moderne internetstandaarden helpen cybercriminaliteit te voorkomen.
Deze standaarden staan verderop in dit beleid toegelicht.
Forum Standaardisatie en NCSC
De politie is verplicht, net als alle andere (semi)overheidsorganisaties, om de internetstandaarden van het Forum Standaardisatie te gebruiken.
Het Forum Standaardisatie is een
overheidsorganisatie die voor de rijksoverheid de beveiligingsstandaarden onderzoekt en vaststelt.
Organisaties die informatie met de politie wil uitwisselen per e-mail, moeten aan
dezelfde standaarden voldoen.
De belangrijkste standaarden zijn:
- (Start)TLS (beveiligde verbindingen) (NCSC TLS richtlijn)
- DNSSEC (domeinnaambeveiliging)
- SPF, DKIM en DMARC (anti-phishing/-spoofing)
Het Nationaal Cyber Security Centrum (NCSC) adviseert de overheid en de markt over de inzet van deze standaarden bij het gebruik van e-mail via internet
Welke beveiligingsmaatregelen gebruikt de politie voor de ICT?
De politie gebruikt de volgende methoden om het inkomende mailverkeer te beveiligen:
Internet Mail
- Viruscontrole: Het verkeer tussen domeinen wordt geïnspecteerd op virussen, malware en ongeautoriseerde toegang.
Alleen bestanden die gecontroleerd kunnen worden, worden doorgelaten.
Malware en programma’s (exe en bin) worden in Quarantaine geplaatst.
- Encryptie: Verbindingen met mailservers worden beveiligd met encryptie.
De afkomst van de mail wordt gecontroleerd en gegevens worden beveiligd tegen afluisteren.
- Ongewenste mail: Al het inkomende verkeer wordt gecontroleerd op Spam, DDOS, Spoofing en Phishing.
Berichten die niet voldoen aan de voorschriften van het Forum standaardisatie worden geblokkeerd.
Alternatieven
- Partnerkoppelingen: Verkeer van partners wordt via een vertrouwde verbinding direct afgeleverd.
- Grote bestanden.
Voor bestanden groter dan 20MB wordt geen mail maar een uitwisselingsplatform gebruikt.
Alleen politie kan een partner een uitnodiging voor dit platform sturen.
Beleid voor virussen en anti-malware
Al het inkomende verkeer wordt gecontroleerd.
Alleen berichten die geïnspecteerd kunnen worden, worden doorgelaten.
Alle andere worden gestopt, zoals:
- malware en virussen;
- actieve componenten, zoals macro’s in Office-documenten (Word, Excel);
- beveiligde berichten;
- onbekende extensies of binary.
Beleid voor encryptie, spam, phishing en spoofing
Voor encryptie, spam, phishing en spoofing volgt de politie het
Forum Standaardisatie.
De instelling van uw mailserver kan getest worden bij Internet.NL.
In de richtlijn
“Veilig mailen politie” staat de controle uitgelegd.
https://internet.nl/mail/politie.nl/204672/
Afhandeling van berichten
Berichten die u naar de politie stuurt worden als volgt afgehandeld:
- Doorgelaten: Berichten die voldoen aan het beleid worden afgeleverd bij de geadresseerde.
- Quarantaine.
Het bericht wordt binnengelaten en gecontroleerd.
Als het niet voldoet aan het beleid voor virussen en anti-malware, wordt het in quarantaine geplaatst.
De geadresseerde van politie krijgt een mail dat het bericht niet afgeleverd kan worden en kan met u contact opnemen
- Blokkeren.
Berichten die niet voldoen aan de voorschriften van het Forum standaardisatie worden geblokkeerd.
De geadresseerde politiemedewerker krijgt hiervan geen bericht.
U als afzender krijgt, afhankelijk van uw mailserver, een foutmelding.
Hiervoor is de politie niet verantwoordelijk.
Alternatieven
Partnerkoppelingen
Mailservers van overheidspartners van de politie met een specifieke partnerkoppeling worden niet via Internet verstuurd.
Deze maildomeinen zijn door een politiemedewerker op het Intranet te raadplegen.
Bestandsuitwisseling
Als u als partner niet aan de e-mailstandaard van de overheid kan voldoen, of de bestanden zijn te groot, of er zijn andere redenen, dan kan u als
partner uw contactpersoon bij politie verzoeken om gebruik te maken van de dienst bestandsuitwisseling.
De politie bepaalt de inzet van deze dienst.
Neem hiervoor contact op met uw contactpersoon bij de politie.
Standaarden |
Standaard
|
Beleid
|
SPF (Sender Policy Framework) |
SPF wordt gebruikt om de afzender van een e-mailbericht overeenkomen met de verzendende mailserver op basis van domeingegevens.
In deze domeingegevens staat een beleid aangegeven hoe om te gaan met mail afkomstig van een verkeerde mailserver. |
DKIM (DomainKeys Identified Mail Signatures) |
DKIM wordt gebruikt om te verifiëren of een e-mailbericht afkomstig is van een mailserver behorend bij het afzenderdomein (bijvoorbeeld @politie.nl).
DKIM maakt hiervoor gebruik van “digitale handtekeningen” die gecontroleerd kunnen worden door middel van domeingegevens. |
DMARC (Domain-based Message Authentication, Reporting and Conformance) |
DMARC is een aanvulling op SPF en DKIM.
Ook bij DMARC wordt door middel van beleid aangegeven wat er moet gebeuren met onjuiste e-mails.
Daarnaast wordt DMARC gebruikt voor het genereren van rapporten omtrent de resultaten van SPF en DKIM. |
DNSSEC (Domain Name System Security Extensions) |
DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing").
Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website.
DNS Security Extensions (DNSSEC) lost dit op. |
TLS (Transport Layer Security) |
TLS is een protocol dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen.
De biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) gebruik van kunnen maken. |
STARTTLS en DANE (SMTP Service Extension for Secure SMTP over Transport Layer Security (STARTTLS) en SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) |
STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen.
STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.
Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen. |