Terug naar de lijst

E-mail, snel en veilig...of toch niet?

Als we documenten van iemand nodig
hebben, denken we onmiddellijk aan e-mail
om deze op te vragen. Dit is toch snel,
makkelijk en veilig… correct?

Welnu, de eerste twee dingen zijn zeker waar, maar helaas is e-mail niet
de juiste keuze voor het verzenden van vertrouwelijke informatie en
documenten. Sterker nog, het is nooit ontworpen om veilig te zijn. Hier
lijsten we een aantal van de belangrijkste redenen op waarom e-mail niet
geschikt is om vertrouwelijke documenten met klanten, medewerkers en
andere professionele contacten uit te wisselen. Documenten die we
absoluut nodig hebben om een dossier te kunnen vervolledigen. Maar
liefst zo veilig én gemakkelijk én snel mogelijk uitwisselen.


Phishing wordt steeds beter en komt steeds vaker voor.

Phishing is het proces waarbij wordt geprobeerd uw persoonlijke gegevens
te verkrijgen; zoals gebruikersnamen, wachtwoorden of
creditcardgegevens. E-mail is daar een ideaal kanaal voor want iedereen
kan je e-mailen als ze je adres hebben; en het is zelfs vrij waarschijnlijk
dat je e-mailadres online staat. Phishing-e-mails kunnen lijken alsof ze
afkomstig zijn van uw eigen organisatie, de oplichters communiceren met
u net zoals iemand van uw organisatie of klant zou doen.
Hoewel spamfilters helpen bij het blokkeren van veel van de phishing-
pogingen die ze herkennen, zullen sommige er altijd doorheen komen, en
zoals bij alles is er maar één e-mail nodig om schade aan te richten.


E-mails passeren meerdere netwerken.

De bestaande architectuur voor e-mailverkeer betekent dat een e-mail
tussen een aantal netwerken en servers moet reizen om van de afzender
naar de ontvanger te kunnen gaan. Elke connectie is een potentieel zwak
punt waar hackers het bericht kunnen onderscheppen (dit staat ook wel
bekend als een ‘man-in-the-middle-aanval’). Als een hacker een bepaalde
server kan binnendringen, kan hij elke e-mail lezen die erop is opgeslagen.
Zelfs al zijn deze servers tegenwoordig goed beveiligd, hackers evolueren
ook steeds sneller en winnen het vaak van de beveiliging.


Hoe groter het doelwit, hoe groter de beloning.

Iedereen gebruikt e-mails en dat weten hackers. Als gevolg van potentieel
enorme hoeveelheden persoonlijke en vertrouwelijke gegevens waarover
een hacker toegang zou moeten krijgen tot servers of bepaalde e-mails
zou onderscheppen, is het natuurlijk een aantrekkelijker doelwit.

Onlangs werd gepubliceerd dat hackers toegang hadden tot (delen van)
de e-mailserver van Outlook en zodoende toegang hadden tot e-mails van
Outlook-gebruikers. Microsoft weigerde concreet commentaar te geven
over hoeveel accounts werden getroffen.


De afzender heeft geen controle.

Als je eenmaal een e-mail hebt verzonden, weet je niet zeker wat ermee
zal gebeuren. Deze kan illegaal worden geopend tijdens zijn reis naar de
ontvanger, of opzettelijk – of per ongeluk – worden doorgestuurd.
Ontvangers slaan deze e-mails vaak ook op, laten die op een onbewaakt
toestel staan of drukken deze af, waardoor ze ook gemakkelijk in
verkeerde handen kunnen vallen.


E-mailversleuteling is niet onfeilbaar.

Je hebt misschien het advies gekregen dat als je ervoor zorgt dat je e-
mails versleuteld zijn, ze veilig zijn. Maar dit is niet altijd het geval. Vorig
jaar werd een kwetsbaarheid genaamd EFAIL ontdekt in Outlook, waardoor
versleutelde e-mails werden omgezet in platte tekst. Waardoor deze weer
heel kwetsbaar werden.

Dit had in dit geval invloed op de e-mailversleutelingsmethode genaamd
PGP – en het is redelijk om aan te nemen dat als één methode kan worden
ongedaan gemaakt, andere dat ook kunnen. In juni 2019 werd een andere
kwetsbaarheid gevonden. In 57% van de e-mailservers werden sporen
gevonden die het mogelijk maakten voor aanvallers om opdrachten op de
server uit te voeren als beheerder. Een aanvaller kon eenvoudig elke
gewenste opdracht uitvoeren, zoals het downloaden van alle e-mails of
alle bijlagen in e-mails.


Wat kunnen we hieruit halen?

E-mail gaat nergens heen – het is universeel en toegankelijk voor ons
allemaal. Maar zoals we eerder vermeldden, zal geen enkele pleister de
inherente onveilige architectuur van e-mail oplappen. Daarom moeten we
kijken naar oplossingen waarmee we niet alleen onze informatie en
vertrouwelijke documenten kunnen beschermen, maar belangrijker nog,
de informatie van klanten veilig kunnen houden.
We kunnen dus perfect e-mail blijven gebruiken om een klant of nieuwe
medewerker te vragen om informatie aan te leveren. Maar in plaats van
attachments over en weer te sturen per e-mail, is het veel veliger en
efficiënter om de eindgebruiker via deze e-mail naar een beveiligd
platform te leiden om de documenten op te laden, in te vullen, goed te
keuren of te ondertekenen