Bedrijven in de vitale sector hebben hun email slecht beveiligd tegen vervalsing door cybercriminelen. Onder andere de kerncentrale in Borssele, Luchtverkeersleiding Nederland en water- en energiebedrijven scoren slecht. Ook Veiligheidsregio’s laten opvallend vaak steken vallen.
Dat blijkt uit onderzoek van actualiteitenrubriek Zembla. De redactie van het tv-programma onderzocht samen met de Internet Cleanup Foundation de mailservers van honderd organisaties in de vitale sector.
Ze keken of deze voldeden aan de criteria en adviezen van het Forum Standaardisatie en het Nationaal Cyber Security Centrum (NCSC). Die bevelen de implementatie en strikte configuratie van de e-mailveiligheidsstandaarden dmarc, dkim en spf aan.
Het actualiteitenprogramma en de stichting voor vertrouwelijkheid en integriteit op internet concluderen dat 57 van de honderd bedrijven de aanbevolen veiligheidsstandaarden geïmplementeerd en strikt geconfigureerd hebben. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden of was deze onvoldoende strikt geconfigureerd.
43 procent van de onderzochte bedrijven blijkt dus de emailsystemen niet optimaal te hebben beveiligd. Dat kan hen kwetsbaar maken voor criminelen die uit naam van die organisaties vervalste emails versturen om vervolgens te proberen om binnen te dringen in systemen of data willen gijzelen.
Reacties
In reactie op het onderzoek zeggen 34 van de 43 bedrijven en organisaties die de zaken niet op orde hebben, hun mailbeveiliging verder aan te scherpen.
De exploitant van de kerncentrale in Borssele, EPZ, erkent dat de mail niet maximaal is beveiligd, maar zegt desondanks ‘goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren’. EPZ scherpt de beveiliging van e-mail verder aan. Ook de bedrijven in de luchtvaartsector kwamen met vergelijkbare reacties op de ontdekte kwetsbaarheden.
Een woordvoerder van hoogspanningsbeheerder Tennet, dat de mail ook onvoldoende beveiligde, reageert: ‘Ook wij hebben weleens op een verkeerde link geklikt of een besmet bestand geopend.' De woordvoerder stelt dat het bedrijf beschikt over goed beveiligde systemen, goed opgeleid personeel en security-processen, waardoor acties niet tot verdere schade leiden of hebben geleid.
Veiligheidsregio’s
Opvallend is verder dat de veiligheidsregio’s slecht scoren, terwijl de veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog getroffen werd door een ransomware-aanval.
Van de 25 veiligheidsregio’s hadden er dertien hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn. ‘Verbetering kost tijd’, aldus de veiligheidsregio’s, die zeggen te kampen met een ‘complex ict-landschap’ nadat de systemen van de organisaties zijn samengevoegd.
Er worden versneld extra veiligheidsmaatregelen genomen, melden de samenwerkingsverbanden voor crisisbeheersing, hulpverlening, openbare orde en veiligheid aan Zembla.
Lees ook