Vier misvattingen over veilig mailen

6 min lezen - gepubliceerd op 7 augustus 2019

Organisaties denken vaak dat het gebruik van versleuteling gelijk staat aan veilig e-mailen. Ook de experts binnen de organisatie, die eigenlijk beter zouden moeten weten. Deze blog licht toe waarom zij risico lopen.

Sinds de invoering van de Europese General Data Protection Regulation (GDPR of AVG) is het onderwerp privacybescherming bij elke organisatie een belangrijk agendapunt. Uit de risico-inventarisaties die in dit kader plaatsvinden komt het e-mailverkeer vrijwel altijd als een risicovol onderdeel naar voren.

Toch kom ik vaak organisaties tegen die stellen veilig te e-mailen. Zij denken dat het gebruik van versleuteling gelijk staat aan veilig e-mailen. Ook de experts binnen de organisatie, die eigenlijk beter zouden moeten weten. In deze blog vertel ik waarom zij risico lopen.

Deze blog is origineel gepubliceerd in november 2017.

Waarom standaard e-mail onveilig is

Voor degenen die onbekend zijn met de werking van e-mail, begin ik met een korte toelichting waarom deze standaard onveilig is. E-mail ontstond in de jaren ‘60, toen privacy en security nog relatief onbekende begrippen waren. Oorspronkelijk werden e-mails onversleuteld verstuurd. Onversleuteld e-mailen kun je vergelijken met het versturen van een brief in een envelop, zonder de envelop dicht te plakken. Zowel de postbode als iemand die voor de brievenbus gaat zitten kan het bericht lezen, zonder dat jij dat doorhebt.

Je zou zeggen: ‘Dan plak je de envelop toch dicht?’. Daarom is het e-mailprotocol inmiddels verrijkt met ondersteuning voor versleutelde mail, beter bekend als ‘STARTTLS’. Maar omdat ook de traditionele e-mail ondersteund moet worden, werkt de versleuteling als volgt: als jij een mail versleuteld wil versturen, dan vraagt jouw mailserver aan de ontvangende mailserver ‘Ondersteun jij versleuteling?’. Is het antwoord ‘ja’, dan verstuurt hij het bericht versleuteld. Is het antwoord ‘nee’, dan verstuurt hij het bericht onversleuteld. En daar zit het probleem, want die vraag wordt onversleuteld gesteld! Kwaadwillenden kunnen de vraag onderscheppen door middel van een zogenaamde ‘actieve man-in-the-middle attack’, waarna zij ‘nee’ antwoorden. Dan verstuurt de server het bericht dus onversleuteld, waardoor die kwaadwillenden toegang krijgen tot het bericht.

Je zou kunnen besluiten af te zien van verzending, elke keer als het antwoord ‘nee’ is. Maar hoe krijg je je bericht dan wél veilig bij de juiste ontvanger?


Hoe je e-mails toch beveiligd verstuurt

Om toch beveiligd informatie te versturen per e-mail zijn er de volgende oplossingen:

  1. Vertrouwen tussen mailservers opbouwen: Dit kan met technieken zoals certificaten, VPN-tunnels en DANE. De laatste is de standaard en heeft daarom de voorkeur heeft boven de andere twee (onderhouds- en foutgevoelige) oplossingen. Zie hiervoor onder andere het initiatief van de ‘Veilig Email Coalitie’.
    Nadeel: voor het opbouwen van vertrouwen tussen mailservers is aan beide kanten van de lijn een actie nodig. Dit is te doen met een paar belangrijke communicatiepartners. Het is dus een oplossing voor een beperkt aantal gevallen. Niet erg praktisch, aangezien vrijwel elk bedrijf met honderden of duizenden verschillende partijen mailt.
  2. Berichten versleutelen met PKI-systemen: PKI (public key infrastructure) systemen, zoals PGP, gaan uit van versleuteling van berichten bij de bron met de publieke sleutel van de ontvanger(s). Ontsleuteling van het bericht kan alleen met de private sleutel van de ontvanger.
    Nadeel: deze oplossing vereist dat de ontvanger een eigen sleutelpaar heeft aangemaakt, hetzelfde PKI-systeem gebruikt als de verzender en de publieke sleutel met hem deelt. Het moge duidelijk zijn dat dit voor de ‘gewone’ e-mailgebruiker te ingewikkeld is.
  3. Berichten sturen met tweefactorauthenticatie; 2FA is inmiddels bij bijna iedereen bekend. Niet per se als begrip, maar wel als het extra SMSje dat je invult bij DigiD en online bankieren, of de extra code die je overtypt uit een app of token om in te loggen op je werkplek (lees ons blog over 2FA). Het heet tweefactor omdat het uitgaat van ‘iets dat je weet’ en ‘iets dat je hebt’. Dus je weet het wachtwoord van je e-mail én je hebt een mobiele telefoon of token. Door 2FA te gebruiken kun je mail wel veilig maken.
    De uitdaging bij 2FA is: hoe zorg je ervoor dat de ontvanger een tweede factor moet invullen? Dit kan niet met standaard e-mail. Dus zul je zelf berichten moeten versleutelen met een code (via bijvoorbeeld 7-zip of Cryptshare) en zelf sms'jes moeten sturen naar de ontvanger. Maar het is niet reëel om te verwachten dat medewerkers van een bedrijf zelf sms’jes gaan versturen. Een betere optie is een leverancier kiezen die dit makkelijk maakt.

Waarom je nu niet veilig mailt

De hierboven geschetste oplossingen zijn op dit moment de enige manieren om beveiligd te mailen. Nu we dit weten wil ik een paar misvattingen duiden. De volgende uitspraken hoor ik tijdens mijn werk regelmatig:

  • ‘Wij hebben TLS aangezet op onze server’. Dit is heel verstandig en zal er inderdaad voor zorgen dat het grootste deel van je mail de server van de ontvanger versleuteld bereikt. Ik hoor wel eens de uitspraak ‘wij leveren 99,2% via TLS af’. Hartstikke goed. Maar dit getal is achteraf gemeten. Zoals ik hierboven heb beschreven is de beperking van TLS dat je het niet kunt afdwingen. Je bent afhankelijk van of de ontvangende mailserver ‘ja’ zegt op de vraag of hij TLS ondersteunt. En loopt dus het risico dat kwaadwillenden ‘nee’ antwoorden. Dit gebeurt erg weinig in de praktijk, maar met TLS maak je het risico dus niet kleiner.
  • ‘Wij hebben hebben DKIM en SPF ingesteld’. Ook goed en verstandig! Maar deze instelling zorgt ervoor dat je aan de ontvangende mailserver laat weten dat de mails echt uit jouw naam zijn verstuurd, niet door iemand die doet alsof (ook wel bekend als spoofing). Dit zorgt er echter niet voor dat jouw mails veilig bij de ontvanger aankomen. De inhoud is niet versleuteld en dus gevoelig voor een man-in-the-middle attack.
  • ‘Dit hebben we al geregeld met Office365’. Office365 claimt ook encrypted messaging te ondersteunen. Het is best lastig om te ontdekken wat deze functie inhoudt. Het komt het er op neer dat je als admin kan instellen wanneer e-mails ‘versleuteld’ verstuurd moeten worden. Het feit dat dit niet standaard voor iedereen is ingesteld, geeft al aan dat het mooier lijkt dan het is. Concreet betekent het namelijk dat je naar Office365-gebruikers altijd versleuteld mailt, maar dat andere geadresseerden een notificatiemail ontvangen. In deze mail staat een link waarop zij moeten klikken, waarna ze een nieuwe mail krijgen met daarin een code die ze in een webpagina moeten invullen. De admin moet die regels instellen en beslist dus top-down voor de gebruiker wanneer hij iets versleuteld verstuurt of niet. De praktijk wijst uit dat dit nogal wat vragen, klachten en beheerlast met zich meebrengt.
  • ‘Wij mailen alleen vanuit onze portal’. Vrij te vertalen als: ‘Wij hebben een eigen omgeving ontwikkeld waarop mensen verplicht moeten inloggen voor ze kunnen communiceren’. Dat klinkt al heel anders, niet? De eerste vraag is of de ontwikkelaars van die portal inderdaad een veilig systeem hebben weten te maken. Zijn ze gecertificeerd, geaudit, transparant in security tests et cetera? Ik heb er nog niet veel gezien.

    Nog een probleem is dat een dergelijke oplossing vereist dat gebruikers hun gedrag veranderen. Zij mailen niet meer op de voor hun bekende manier, maar vanuit een nieuwe omgeving. Voor medewerkers van een organisatie misschien nog overkomelijk, maar voor de ‘gasten’ waarmee zij communiceren niet gebruiksvriendelijk en niet laagdrempelig genoeg. Voor je het weet gaan mensen daarom omwegen gebruiken, zoals privé-mail. Of ze laten het systeem links liggen, zoals gebeurt bij MijnOverheid. Met alle gevolgen van dien.

Al deze oplossingen hebben nog een extra beperking: ze zorgen er alleen voor dat niemand de inhoud van de mail leest vóór hij aankomt bij de mailserver van de ontvanger. Garantie tot aan de deur dus. Het grootste probleem van e-mail is echter dat het achter de deur niet veilig is, door het gebruik van zwakke wachtwoorden! Je weet dus niet zeker dat alleen de beoogde ontvanger toegang heeft tot het account.

Dit leidt mij tot de conclusie dat echt veilige e-mail alleen bereikbaar is als de verzender kiest voor een oplossing met 2FA. Dit is de enige manier om zeker te weten dat de beoogde ontvanger de enige is die het bericht kan lezen. Je ziet dat sommige organisaties nog terughoudend zijn, omdat ze bang zijn dat ontvangers 2FA niet goed begrijpen. Gelukkig komen we 2FA steeds vaker tegen. Laten we hopen dat het snel de standaard wordt en dat bovenstaande misvattingen over veilige mail dan tot het verleden behoren.

Tot slot: hoewel ik in deze blog vooral stil sta bij de technische kant van veilige mail, is er veel meer nodig om als organisatie echt veilig te mailen. In 2018 werd 63% van de gemelde datalekken in Nederland veroorzaakt door een vergissing: iemand stuurde iets aan de verkeerde ontvanger. Naast de techniek van e-mail is de menselijke kant dus een belangrijk punt van aandacht voor organisaties.

Gewoon mailen, maar dan veilig

Veilig mailen is een belangrijk aspect van de Europese privacywet (GDPR of AVG) en de NTA 7516. Op basis van deze wet kunnen organisaties een flinke boete krijgen voor een datalek. ZIVVER is een gebruiksvriendelijke oplossing voor veilig mailen, gewoon vanuit jouw vertrouwde e-mailprogramma. Daardoor voorkom je menselijke fouten, is informatie versleuteld tegen hackers en behoud je de regie over verzonden informatie.

lees Alles over veilig mailen en bestanden delen 

Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.