Encryptie van communicatie is in de mode. Apple, Whatsapp en anderen werken eraan. Alleen blijft het meestgebruikte digitale communicatiemiddel achter. E-mail wacht nog steeds op encryptie.
Allemaal goed en nuttig dat instant messaging platformen als iMessage en Whatsapp nu beter beveiligd zijn. End-to-end encryptie is een belangrijk middel om communicatie beter te beveiligen, tegen kwaadwillenden en tegen al te enthousiaste overheidsdiensten die sleepnettechnieken toepassen op hele bevolkingsgroepen. Het is echter jammer dat dit betere beveiligen nu alleen wordt toegepast op ‘Het Nieuwe Communiceren’.
Miljarden versus meer miljarden
De aantallen verzonden berichten via Whatsapp plus Facebook Messenger zijn zeker indrukwekkend; zo’n zestig miljard berichten per dag. En Apple’s iMessage loopt daar ergens achter aan met ook respectabele aantallen per dag: veertig miljard stuks, aldus de berichten van zo’n twee jaar terug. Maar laten we ‘Het Oude Digitale Communiceren’ niet vergeten.
E-mail is nog altijd de koning onder de moderne communicatiemiddelen. Miljarden en méér miljarden mails gaan er dagelijks het wereldwijde internet over. Alleen al bij gratis mailproviders als Gmail en Hotmail lopen de hoeveelheden berichten in de miljarden. Exacte aantallen voor al het mailverkeer ter wereld zijn echter lastig te achterhalen doordat e-mail niet gebonden is aan één dienstverlener of softwareproducent.
Ongebonden, onbeveiligd
Juist die ongebonden aard maakt e-mail zo krachtig en dus zo veelgebruikt. Tegelijkertijd zorgt dat er ook weer voor dat het zo lastig blijkt om het beter te beveiligen. Encryptie voor e-mail bestaat namelijk allang. Zo stamt het bekende PGP (Pretty Good Privacy) echt uit de oertijd van de hedendaagse ict: de eerste release was in 1991.
Maar wat mailencryptie altijd al parten heeft gespeeld, is anno 2016 nog steeds een enorme horde. Te weten: de complexiteit en gebruikersonvriendelijkheid ervan. Veel mensen hebben gehoord van NSA-klokkenluider Edward Snowden en wat hij heeft onthuld over afluisterpraktijken van die Amerikaanse inlichtingendienst. Niet veel mensen weten dat zijn onthullingen bijna aan de neus van journalist Glenn Greenwald voorbij zijn gegaan, door de moeilijkheid van mailencryptie.
Moeizame Snowden-start
Snowdens eerste contactpoging met Greenwald is namelijk op niets uitgelopen omdat laatstgenoemde niets wist en niets snapte van encrypted mail. Dus kon de journalist niet veilig communiceren met de man die mysterieus bij hem aanklopte. Bij een tweede contactpoging heeft Snowden stap voor stap aan hem moeten uitleggen hoe hij versleutelde mails kon ontvangen (en versturen natuurlijk).
Nu, enkele jaren verder, is er sprake van een versnelling voor het gebruik van encryptie. ‘Als gevolg van de Snowden-onthullingen is de komst van commerciële encryptie met zeven jaar versnel’, verklaart James Clapper, het Amerikaanse hoofd National Intelligence. De topman baseert deze uitspraak op prognoses die de NSA drie jaar geleden heeft gemaakt. Dat was dus vóór het uitgebreide lekken van geheime overheidssurveillance door voormalig NSA-medewerker Snowden.
Interne én externe mails
De vraag is of de vooruitgang voor encryptiegebruik genoeg is om nu ook eindelijk het veelgebruikte en kwetsbare e-mail goed en vooral gebruiksvriendelijk te beveiligen. Vergeet niet: het gaat niet eens – of niet alleen – om staatsgeheimen, het gaat ook gewoon om bedrijfszaken. Zo is de grote hack bij Sony Pictures nog veel geruchtmakender geworden doordat interne mails op straat zijn komen te liggen.
Hetzelfde scenario lijkt te gelden voor de gelekte financiële informatie in de Panama Papers. Geheime onderhandelingen, scherpe besprekingen, felle evaluaties, zakelijke deals, juridische constructies en meer. Allemaal ‘was’ die wel of niet vuil (of: illegaal) is, maar die hoe dan ook niet buiten hoeft te hangen.
Besef en bescherm
Staart u zich echter niet blind op digitale inbraken en insiders waardoor onversleutelde mails kunnen uitlekken. E-mail is en blijft één van de voornaamste vectoren voor cyberaanvallen. Mailaccounts maar ook de inhoud van berichten zijn interessant voor kwaadwillenden. Wij stuiten geregeld op aanvallen die mikken op maildatabases. Besef u daarnaast ook dat extern verstuurde mails open en bloot over het internet gaan. Mailencryptie kan veel risico’s schelen. Neem dus uw eigen mails eens in ogenschouw: verdienen die geen betere beveiliging?
N.B. Kijk ook eens naar de discussie voor vandaag: ‘E-mail is onvervangbaar’.
Honderden bedrijven en instanties die onze CompuMail Gateway gebruiken bewijzen dat het gebruik van e-mail encryptie helemaal niet moeilijk is. Deze Gateway ‘regelt’ de encryptie centraal achter de mailserver en maakt het mogelijk om de policies in een rulebase af te dwingen. De gebruiker heeft er hoegenaamd geen omkijken meer naar, alles gebeurt automatisch. Zelfs cloudbased e-mail kan hiermee worden beveiligd. In de afgelopen jaren hebben wij ervaren dat onwetendheid over het gevaar en onbekendheid met de juiste oplossing het grootste probleem is voor organisaties. IT houdt de boot af door ‘denial’. Een dezer dagen zal een grote hack voor de omslag gaan zorgen, dan staat het groot in de krant en kan men er niet meer omheen. Op verzoek geef ik presentaties door het hele land over de zin van e-mail encryptie. Just ask me.
Het gebruikersvriendelijk maken van mail encryptie is een technisch iets dat een gebruiker (beheerder) met een vinkje aan/uit zou moeten kunnen configureren. Dat is gewoon mogelijk en als er vraag naar is (omdat het een redelijke eis van gebruikers is) zal het uiteindelijk wel in alle software terecht komen. (Dan is het nog de vraag of de gebruikte encryptie veilig genoeg is en de wens van de overheid om mee te kunnen kijken met of zonder tussenkomst van een rechter.)
Overigens maakt het mail spam bestrijden ook wat makkelijker.