Nota voor burgemeester en wethouders Onderwerp Vragen ex art 46 RvO DB-DS-Beveiliging gemeente mail 1- Notagegevens Notanummer 2016-001025 Datum 03-06-2016 Programma: 01 Burger en bestuur Portefeuillehouder Weth. Grijsen Team ON 2- Bestuursorgaan [X]B & W 21-06-2016 [ ]Raad -- [ ]Burgemeester -- College van B & W - Burgemeester - Weth. Kolkman - Weth. Hartogh Heys - Weth. Rorink - Weth. Grijsen Besluitenlijst d.d. d.d. d.d. [ ]Akkoordstukken -- [X]Openbaar 21-06-2016 [ ]Besloten -- Routing d.d. Wethouder 09-06-2016 par. [ ]adj.secr. -- [X]gem.secr. 15-06-2016 BIS Openbaar Status Definitief2016-06-29 Bijlagen Vragen DB/DS + brief B & W d.d.: 21-06-2016 Besloten wordt: 1 De beantwoording van de vragen ex art 46 RvO van DB+DS over beveiliging gemeente mail vast te stellen; 2 de beantwoording aan te bieden aan de raad; 3 de nota en het besluit openbaar te maken na verzending van de brief. Financiële aspecten: Financiële gevolgen voor de gemeente? Begrotingswijziging Voorstel openbaarmaking conform Wet Openbaarheid Bestuur (Wob) [ ] De nota en het besluit openbaar te maken [ ] De nota en het besluit openbaar te maken vergezeld van bijgaand persbericht [X] De nota en het besluit openbaar te maken nadat de antwoordbrief is verzonden [ ] De nota en het besluit openbaar te maken, behalve [ ] Het besluit openbaar te maken, maar niet de nota, gelet op artikel: [ ] De nota en het besluit niet openbaar te maken, gelet op artikel: Kennisgeving/ Bekendmaking Awb Kennisgeving (publicatie) conform Awb Bekendmaking conform Awb
ADVIESRADEN: Moet een van de adviesraden gehoord worden of op de hoogte gesteld? Toelichting Inleiding In de mail van 2 juni nhebben mw. De Jager en Mw. Schmidt van resp. de fractie van DB en DS fractie van uw college een aantal schriftelijke vragen ex art 46 RvO gesteld over beveiliging gemeente mail. Bijgaand treft u de beantwoording aan. Beoogd resultaat Kader Argumenten voor en tegen Extern draagvlak (partners) Financiële consequenties Aanpak/uitvoering
Van: Peet, Hans Aan: Burg, Tineke van den Onderwerp: FW: Schriftelijke vragen DB en DS beveiliging gemeente mail. Datum: 3 juni 2016 7:52:58 Geacht college, Onderstaand stuur ik u schriftelijke vragen, ingediend door mw Schmidt en mw De Jager. Het verzoek is deze vragen binnen de gebruikelijke termijn te beantwoorden. Met vriendelijke groet, Hans Peet griffier gemeente Deventer tel. (0570) 69 51 10 mob. (06) 511 011 24 sj.peet@deventer.nl Bezoekadres: Grote Kerkhof 1 Deventer Postadres: Postbus 5000, 7400 GC Deventer -----Oorspronkelijk bericht----- Van: Schmidt-Versteeg, Kitty Verzonden: 2 juni 2016 23:05 Aan: Peet, Hans; Jager, Margriet de Onderwerp: Schriftelijke vragen DB en DS beveiliging gemeente mail. Hoi Hans, Hierbij vanuit de fracties van DB en DS schriftelijke vragen nav de berichtgeving over de slechte beveiliging van de gemeentelijke mail. Kun je deze vragen doorzetten? Alvast onze dank. Met vriendelijke groet, Kitty Schmidt-Versteeg Fractievoorzitter Deventer Sociaal 0638334028 SPOED Schriftelijke vragen vlgs. Art. 46 RvO Geacht college, Uit een onlangs gehouden steekproef van Binnenlands Bestuur bij 50 gemeenten, waaronder Deventer is gebleken dat de beveiliging van het standaard e-mailverkeer abominabel slecht is. Daarom aan u de volgende vragen: 1. Is uw college bekend met de gehouden steekproef, zo ja wat is daarop uw reactie? 2. Wanneer was u voor het eerst op de hoogte gesteld van deze uitkomst voor de gemeente Deventer? 3. Waarom heeft u niet zsm de gemeenteraad op de hoogte gesteld van de belabberde beveiliging van de email en eventuele consequenties met de gemeenteraad besproken? Wilt u dat svp nader beargumenteren? 4. Bent u bereid om aan een openbare Raadstafel zo snel als mogelijk de zaak met de Raad te bespreken? 5. Wilt u ons meedelen welke maatregelen u gaat nemen, wat daarvan de kosten zijn en dat met ons
bespreken bij een Raadstafelsessie? In afwachting van uw antwoord, Met vriendelijke groet, Margriet de Jager Deventer Belang Kitty Schmidt-Versteeg Deventer Sociaal
Grote Kerkhof 1 Postbus 5000 7400 GC Deventer Aan de fractie van DB en DS Mw. M.J.G. de Jager en mw. K. Schmidt-Versteeg Interne Post 14 0570 telefoon 0570-693219 direct telefoonnummer gemeente@deventer.nl e-mail BO/ 2016-001025 28 juni 2016 kenmerk uw referentie datum H.M. Schuldink/H.A.G. van den Burg contactpersoon Schriftelijke vragen ex art 46 RvO over beveiliging gemeente mail onderwerp Geachte mevrouw De Jager, geachte mevrouw Schmidt, In uw e-mail van 2 juni heeft u ons college schriftelijke vragen ex art 46 RvO gesteld over beveiliging gemeente mail. Ons antwoord is als volgt. Vraag 1 Is uw college bekend met de gehouden steekproef, zo ja wat is daarop uw reactie? De cybercrime gericht op overheden en gemeenten stijgt in rap tempo. Mede daarom heeft DOWR-I (samenwerking gemeenten Deventer, Olst-Wijhe en Raalte) in februari een speciale functionaris aangesteld belast met informatieveiligheid en privacy. Vorige week berichte Binnenlands Bestuur over de veiligheid van e-mail van gemeenten. Daarbij is geconstateerd dat de gemeenten Deventer en Raalte, net als vrijwel alle Nederlandse gemeenten, niet alle protocollen gebruiken die Binnenlands Bestuur heeft getoetst. Dat roept de vraag op of onze e-mail wel goed beveiligd is. Dat is een terechte vraag, maar vergelijkbaar met de vraag of u kunt garanderen dat er niet in uw huis wordt ingebroken. Garanderen kan niet, maar continue verbeteren en aanpassen om de steeds veranderende aanvallen de kop te kunnen bieden wel. Dat is wat wij doen. Daarnaast is veiligheid een combinatie van techniek en gedrag. Spam en phishing vanaf andere adressen en goed lijkende adressen blijven gewoon bestaan, ook na implementatie van de standaarden. Ingaand op de specificaties in het artikel 1 : het klopt dat SPF/DKIM/DMARC en DNNSSEC en STARTTLS moeten worden ingevoerd en dus ook door de gemeenten. Maar de suggestie dat het met het zetten van een vinkje op de e-mailserver klaar zou zijn is onjuist. SPF is wel aangezet binnen DOWR, op dit punt is het artikel van binnenlands bestuur onjuist, en er wordt wel gebruik gemaakt van STARTTLS. Het gaat echter om de instellingen van de standaarden, deze instellingen zorgen voor de werking: het voorkomen van spoofing. Vooral DMARC moet na implementatie ook beheerd worden. Dit heeft een aanzienlijke impact op de DOWR organisatie, waar een continue afweging van inzet van capaciteit plaats vindt. 1 Bij deze brief is in bijlage 1 een verklarende afkortingenlijst toegevoegd.
Zorgvuldige implementatie kost tijd. (onder andere het analyseren van alle gemeentelijke e- mailstromen). Maar vooral zorgvuldig handelen om ervoor te zorgen dat de gemeentelijke e-mail blijft werken is van cruciaal belang. Wanneer een van deze standaarden verkeerd wordt ingesteld, werkt de e-mail in zijn geheel niet meer. Een technische maatregel om het risico op spam en phishing te verlagen mag niet leiden tot verhoging van het risico dat e-mail verkeer van en naar de gemeente wordt verstoord. Er wordt door DOWR-i een impactanalyse uitgevoerd zodat goed in kaart wordt gebracht wat de consequenties zijn. Vervolgens zal er overgegaan worden tot implementatie van deze standaarden. We verwachten dit eind 2016 te realiseren. Vraag 2 Wanneer was u voor het eerst op de hoogte gesteld van deze uitkomst voor de gemeente Deventer? Op 2 juni hebben de uitkomsten ons bereikt. Dezelfde dag waarop u uw vragen heeft gesteld. Vraag 3 Waarom heeft u niet zsm de gemeenteraad op de hoogte gesteld van de belabberde beveiliging van de email en eventuele consequenties met de gemeenteraad besproken? Wilt u dat svp nader beargumenteren? Zoals eerder aangegeven bij het antwoord op vraag 1 is de veiligheid van e-mail een continu punt van aandacht waarop wordt geïnvesteerd. Het college kiest er voor om de raad actief te informeren wanneer er daadwerkelijk grote veiligheidsproblemen zouden zijn. Vraag 4 Bent u bereid om aan een openbare Raadstafel zo snel als mogelijk de zaak met de Raad te bespreken? Wanneer de gemeenteraad middels het Presidium een openbare raadstafel wil organiseren over dit onderwerp dan schuift het college uiteraard aan om dit verder met u te bespreken. Vraag 5 Wilt u ons meedelen welke maatregelen u gaat nemen, wat daarvan de kosten zijn en dat met ons bespreken bij een Raadstafelsessie? Zoals in het antwoord op vraag 1 reeds is aangegeven, is er in februari een speciale functionaris aangesteld belast met informatieveiligheid en privacy. Daarnaast wordt de analyse uitgevoerd van de gemeentelijke emailstromen die eind dit jaar leidt tot implementatie van de benodigde standaarden. De kosten zijn afhankelijk van de nog te implementeren benodigde standaarden. Verwachting is dat hier in het najaar meer duidelijkheid over kan worden gegeven. Burgemeester en wethouders van de gemeente Deventer, de secretaris, de burgemeester, drs. A.L.C.S. Lantain ir. A.P. Heidema
Bijlage 1 Verklarende woordenlijst: SPF is een techniek die voorkomt dat inkomende/ontvangende e-mail wordt geaccepteerd van een illegale e-mailserver. DKIM is een techniek waarmee je een elektronische handtekening controleert. DMARC is een techniek die foutafhandeling doet van SPF en DKIM. DNSSEC is een techniek om er zekerder van te zijn dat je met de juiste website verbinding maakt. STARTTLS wordt gebruikt om een beveiligde verbinding op te zetten.