Bedrijven en overheidsinstellingen springen slordig om met gegevens in e-mailberichten. Vaak worden tikfouten gemaakt in de adressering waardoor e-mails naar de verkeerde ontvangers gaan. Privacygevoelige zaken als processen-verbaal, aangiftes, medische dossiers en kopieën van identiteitspapieren kunnen daardoor eenvoudig in de verkeerde handen komen. Ook bedrijfsgeheimen en departementaal vertrouwelijke stukken lekken zo gemakkelijk uit.
Dit blijkt uit een onderzoek van de Cyberonderzoeksraad naar de gevoeligheid van e-mail. Een groep beveiligingsexperts onder leiding van onderzoeker Brenno de Winter registreerde meer dan zeventig domeinnamen die op andere domeinen lijken. Vervolgens kwamen in een jaar tijd ruim 15.000 e-mails binnen. Na het filteren van onder meer spam en nieuwsbrieven bleven er zo’n 3.100 relevante berichten over. De onderzoeksresultaten bevestigen cijfers van de Autoriteit Persoonsgegevens dat het versturen van persoonsgegevens naar de verkeerde ontvanger met 64 procent van alle datalekken het grootste probleem is.
Uit de analyse van de Cyberonderzoeksraad blijkt hoe kwetsbaar e-mail organisaties maakt. De mailbox is vaak verworden tot een onsamenhangend archief waaruit kwaadwillenden veel gevoelige informatie kunnen vissen. Je kunt er de jarenlange historie van organisaties uithalen, iets waar de mailbox helemaal niet voor is bedoeld. De Winter: ‘Als het bij die data om persoonsgegevens gaat, is het maar de vraag of dat wel legitiem is.’
De Algemene verordening gegevensbescherming (AVG) verwacht dat persoonsgegevens worden verwijderd zodra ze niet meer nodig zijn. Zo’n e-mailarchief vormt ook een groot risico. Wanneer de gebruiker op een verkeerde link klikt of op een andere manier infectie met malware ontstaat, kunnen data in verkeerde handen vallen.
Mogelijke gevaren
De Winter constateert dat in het algemeen niet goed wordt nagedacht over de mogelijke gevaren bij het gebruik van e-mail. Het is zeer de vraag of dit middel wel geschikt is voor het uitwisselen van gevoelige (persoons)gegevens. Volgens hem schiet ook het regelgevend kader tekort. ‘Ten onrechte is het gebruik van versleuteling bij het digitaal transporteren van departementaal vertrouwelijke stukken niet verplicht.’ Uit het onderzoek blijkt dat het bewustzijn rond de gevaren van e-mail laag is. Dit geldt met name voor de overheid, banken en andere organisaties die veel met gevoelige informatie omgaan.
De Winter wil de domeinnamen niet vrijgeven om geen slapende honden wakker te maken. Criminelen zouden anders hier misbruik van kunnen maken. Hij richtte zijn onderzoek vooral op de manier waarop fouten kunnen ontstaan. Doel was van de incidenten te leren en hieruit lessen te trekken. Daarom blijven de organisaties die in de fout gingen, ook anoniem.
Psychiater in de fout
Tijdens het onderzoek kwam ook zeer gevoelige informatie in handen van De Winter en zijn team. Zo stuurde een psychiater bijzondere medische informatie op van een patiënt die gezocht werd. De Winter: ‘In de verkeerde handen kunnen deze psychiatrische gegevens de betrokkene blijven achtervolgen.’ Een ander ernstig lek betrof een opsporingsambtenaar die van een bank informatie over een klant vorderde. De bank leverde deze informatie door een Excel-bestand naar het verkeerde mailadres te sturen.
De Winter vindt dat e-mail sowieso ongeschikt voor gegevensuitwisseling. Dit soort communicatie is namelijk onbeveiligd. Bovendien kan niet worden vastgesteld dat een bericht authentiek is. Berichten kunnen ook jarenlang blijven staan in een verzendbox en bij de ontvanger.
Ik heb de 1.0 versie van dit rapport net gelezen. Ik geloof zeker dat heel veel datalekken worden veroorzaakt door het versturen van onbeveiligde mail naar de verkeerde ontvanger. Het bevreemdt me wel dat dit op zo’n grote schaal een gevolg is geweest van succesvolle typosquatting. Meestal reageert iemand per mail door ófwel een link aan te klikken, ófwel door te replyen ofwel door de auto-aanvulfunctie van je client.
Ik zag trouwens dat de auteurs er zelf ook in stinken met het voorbeeld van Tikkie (pag 4). Daar staat dat de ‘echte’ website van Tikkie niet tikkie.nl is maar tikkie.com . Terwijl het tikkie.me moet zijn….