Meerdere gemeenten hebben beveiliging e-mail niet op orde

REGIO - Zeven gemeenten in onze regio hebben hun gemeentelijke e-mail niet goed op orde, of op orde gehad. Dit betekent dat deze gemeenten niet op een veilige manier informatie kunnen delen. Derden kunnen dan uit naam van de gemeente e-mails versturen. 'Spoofing' heet dat. Het lukte de redacties van Omroep West en samenwerkingspartner Unity.NU bijvoorbeeld om uit naam van burgemeester Henri Lenferink van Leiden een mail te sturen naar de pers.
'Het is eigenlijk heel makkelijk', zegt Marc Wonnink van Unity.NU. 'Iedereen die een beetje kan googelen komt op websites waarvandaan je anoniem e-mails kunt versturen vanuit verschillende domeinnamen. Dat is best makkelijk te beveiligen, maar de gemeente Leiden doet dat dus blijkbaar niet.'
Onderzoeksprogramma 'Follow the Money' legde in oktober vorig jaar een soortgelijk probleem bloot in de Tweede Kamer. Ook de domeinnaam tweedekamer.nl was niet goed beveiligd. Na onderzoek bleek dat de gemeenten Leiden, Oegstgeest, Leiderdorp, Zoeterwoude, Kaag en Braassem, Bodegraven-Reeuwijk en Zoetermeer niet optimaal beveiligd waren. De onderzoekers van beide omroepen hebben alle betrokken gemeenten hier voor publicatie op gewezen.

Eenvoudig te verhelpen

Volgens IT-deskundigen is het probleem van 'spoofing' redelijk eenvoudig te verhelpen. 'Maar in de praktijk zien we dat met name bij grote, complexe organisaties de beveiliging van de e-mail soms het ondergeschoven kindje is', zegt Martijn van Pelt van het Leidse bedrijf IT-bedrijf Interpulse.
'Het is natuurlijk wel belangrijk dat de burger en journalistiek ervan uit kunnen gaan dat de e-mails van een gemeente ook daadwerkelijk van de gemeente afkomstig zijn', zegt Van Pelt. 'Dus hier ligt nog wel een taak voor gemeenten.'

Gemeenten nemen waarschuwing ter harte

De vier gemeenten Leiden, Leiderdorp, Oegstgeest en Zoeterwoude reageren gezamenlijk, omdat ze samenwerken in Servicepunt71. 'We hebben geconstateerd dat e-mailauthenticiteit niet naar behoren werkt. Dit vinden wij een ongewenste situatie. Servicepunt71 werkt momenteel aan een oplossing en heeft ook externe expertise aangetrokken.'
Wethouder Yvonne Peters van Kaag en Braassem bedankt Omroep West voor de waarschuwing. 'Wij waren hier niet van op de hoogte. De gemeente gaat maatregelen nemen om het sturen van dergelijke e-mails niet langer mogelijk te maken'.
Ook de gemeente Bodegraven-Reeuwijk zegt in een reactie tegen Omroep West op de hoogte te zijn en bezig te zijn met het verbeteren van de beveiliging. Zoetermeer heeft het probleem inmiddels opgelost.

VDD Leiden stelt vragen

De VVD in Leiden maakt zich ook zorgen over de matige online veiligheid van de gemeente Leiden en heeft inmiddels schriftelijke vragen gesteld. 'Dit moet je direct oplossen, we moeten ervan uitgaan dat een gemeente veilig met gegevens moet kunnen omgaan, dus ook met e-mails', zegt VVD'er Maurice Hoogeveen.