Tech

Defensie e-mailt al jaren onveilig: 'Een schat aan informatie'

Daniël Verlaan • 28 december 2018 14:07 @danielverlaan

Beeld ter illustratie. Beeld © ANP

Onze krijgsmacht e-mailt al jaren onveilig. Het is een doorn in het oog van militairen, die dit probleem intern al vele malen hebben aangekaart. "Al onze e-mails gaan onversleuteld over het internet. Dat is een schat aan waardevolle informatie."

Defensie heeft de basisbeveiliging van zijn e-mail niet op orde. Moderne e-maildiensten maken gebruik van een beveiligde verbinding, zodat anderen niet kunnen meelezen. De technologie is vergelijkbaar met het groene slotje dat je verbinding met een website veilig houdt.

Deze beveiliging ontbreekt al jaren bij Defensie, tot grote ergernis van militairen. De zorgen worden waarschijnlijk gauw weggenomen: Defensie bevestigt aan RTL Nieuws dat het begin volgend jaar zijn e-mail gaat beveiligen.

'Gevoelige data wordt niet gemaild'

Al jaren proberen techneuten binnen Defensie deze technologie, genaamd STARTTLS, ingevoerd te krijgen. Maar volgens Arie Jan de Waard, vice-admiraal en directeur Defensie Materieel Organisatie (DMO), vormt het ontbreken van deze beveiliging 'geen risico'. De krijgsmacht wordt namelijk getraind om geen gevoelige data via e-mail te sturen.

"Het e-mailverkeer binnen Defensie en met andere ministeries verloopt niet via het internet", legt een woordvoerder uit. Voor e-mails met gevoelige informatie wordt gebruikgemaakt van een 'veilige toepassing' die eveneens niet via het internet verloopt. Wat voor toepassing dat is, is niet duidelijk.

Massa aan informatie in de mail

Militairen delen de mening van De Waard niet, en zien wel degelijk een risico in het niet versleutelen van e-mails van en naar medewerkers van Defensie. E-mail is de primaire vorm van communicatie, bijvoorbeeld met internationale partners zoals het Amerikaanse leger. "Er wordt ontzettend veel via e-mail gecommuniceerd, en juist die massa aan informatie kan voor een andere overheid heel interessant zijn", zegt een militair die bij de luchtmacht werkt. 

Een andere militair, met een technische achtergrond, vult aan: "We e-mailen onder andere afleverschema's, planningen, problemen en uitdagingen rondom de invoering van wapensystemen, maar ook loonstroken en commercieel vertrouwelijke stukken als offertes en contracten." Al die informatie geeft volgens hem 'een verdomd goed beeld van onze slagkracht en staat van Defensie'.

Over STARTTLS

De beveiligde verbinding voor e-mail werkt alleen als beide partijen (de verzender en ontvanger) gebruikmaken van STARTTLS. Is dat niet het geval? Dan wordt de e-mail nog steeds onversleuteld het internet op gestuurd. 

Veel bedrijven en organisaties maken al gebruik van STARTTLS. Denk aan Google (Gmail.com) en Microsoft (Outlook.com), maar ook het ministerie van Binnenlandse Zaken en de politie. Ook RTL maakt gebruik van een beveiligde verbinding voor e-mails. 

Om onderschepping van e-mails nog beter tegen te gaan, is de technologie DANE toepasbaar. DANE dwingt het gebruik van STARTTLS af en zorgt ervoor dat de verzender met de juiste ontvangende e-mailserver communiceert.

Verplichte standaard

De militairen vertellen dat de kwetsbaarheid al 'meerdere malen' is aangegeven. "Het is makkelijk op te lossen", vertelt de militair met de technische achtergrond. Een medewerker van Defensie, die ook anoniem wenst te blijven, stelt dat de deuren 'wagenwijd openstaan' voor 'massale onderschepping van onze communicatie'. De e-maildiensten die burgers gebruiken zijn beter beveiligd dan de e-mailserver van Defensie, stelt hij.

STARTTLS is een verplichte technologiestandaard. Alle overheidsorganisaties moeten deze technologie voor het einde van 2019 hebben ingevoerd. Ook moeten overheidsorganisaties zich voor die tijd wapenen tegen spoofing, een truc waarmee je vanuit iemands naam nepemails kunt sturen. Daar heeft Defensie ruim een jaar geleden maatregelen tegen genomen.

Invoering

Defensie stelt dat het invoeren van STARTTLS een 'ingrijpende aanpassing' van het e-mailsysteem is. De e-mailservers werken deels op opensource-software, waardoor het volgens Defensie geen kwestie is van 'een vinkje aanzetten'.

Hoewel Defensie stelt dat er geen 'vitale informatie' via algemene e-mails wordt verspreid, wil het 'natuurlijk voldoen aan de geldende standaarden en dit verkeer versleutelen'. Volgend jaar maart moet de e-mailserver van Defensie van STARTTLS zijn voorzien.