image

70% bedrijven versleutelt e-mailbijlagen niet

dinsdag 20 maart 2012, 16:54 door Redactie, 5 reacties

Bijna 70% van de bedrijven gebruikt e-mail om grote documenten en bedrijfsgevoelige informatie uit te wisselen, zonder die te versleutelen. Dat blijkt uit onderzoek van cloudaanbieder Intralinks. E-mail is nog altijd de geprefereerde manier van bestandsuitwisseling. Ondanks recente datalekken, blijken veel bedrijven hun e-mails en e-mailbijlagen niet te versleutelen. Volgens Mushegh Hakhinian van Intralinks kan encryptie in dit soort gevallen uitkomst bieden als bedrijven over een modern e-mailmanagementsysteem beschikken.

"De problemen beginnen als je gebruikers geen encryptie willen gebruiken of dit technisch niet mogelijk is", zegt hij tegenover Security.nl. Sommige eindgebruikers zouden bijvoorbeeld via e-mailsystemen mailen die geen encryptie ondersteunen. Daarnaast vallen bedrijven in veel gevallen onder compliance regels en moeten e-mails en berichtenverkeer geaudit kunnen worden.

Encryptie
Hakhinian waarschuwt bedrijven voor kleine e-mailaanbieders, omdat die van het ene op het andere moment zouden kunnen verdwijnen of afgesloten kunnen worden. "Beschikbaarheid is een belangrijk onderdeel van security en mag niet worden vergeten." Toch erkent Hakhinian dat het versleutelen van e-mail een hoop ellende kan voorkomen, zeker als bedrijven worden gehackt.

Vorig jaar werden de e-mailarchieven van verschillende bedrijven gehackt, zoals Vanguard, HBGary en Stratfor. De archieven waren in alle gevallen onversleuteld, wat betekent dat de aanvallers meteen toegang tot alle berichten hadden en deze in sommige gevallen online publiceerden. Was er encryptie gebruikt, dan hadden de aanvallers in ieder geval de privésleutel en wachtwoord moeten bemachtigen om de inhoud te bekijken.

Reacties (5)
20-03-2012, 17:18 door WhizzMan
"bijna 30% van de bedrijven liegt over encryptie van e-mail attachments". Het staat misschien in de company policy, maar in de praktijk gebeurt het alsnog meestal niet.
20-03-2012, 20:14 door N4ppy
wij van wc eend,....
21-03-2012, 01:45 door Anoniem
Mail is uberhaupt geen veilige vorm van communicatie - maar de meeste personen hanteren het wel alszodanig. Net als met de cloud overigens...
21-03-2012, 07:47 door Anoniem
"Was er encryptie gebruikt, dan hadden de aanvallers in ieder geval de privésleutel en wachtwoord moeten bemachtigen om de inhoud te bekijken."

Wie denk je dat er encryptie gaat gebruken voor z'n interne archieven (data at rest)? Voor het versturen van email over het onveilige internet (data in transit), vooruit (ook al liegt inderdaad 30% ;) )...

"Daarnaast vallen bedrijven in veel gevallen onder compliance regels en moeten e-mails en berichtenverkeer geaudit kunnen worden." ... en dat zou geen reden zijn om encryptie te gebruiken? Ook hier: je kan de mail encrypten bij de verzendende server en decrypten bij de ontvangende server.
Resultaat: je kan de cleartext ontvangen en verzonden mail archiveren voor legal discovery etc.
Als dat proces solide is zal geen auditor of overheidsfunctionaris zeuren.

Klok/klepel... Hint: heeft Intralinks wellicht een handig alternatief voor het veilig uitwisselen van grote bestanden?
22-03-2012, 10:31 door Anoniem
Door Anoniem: "
Klok/klepel... Hint: heeft Intralinks wellicht een handig alternatief voor het veilig uitwisselen van grote bestanden?

Alternatieven zijn er hoor. Via tools als Winzip, 7-Zip kunnen attachments vooraf gecomprimeerd en versleuteld worden met AES256. Daarnaast zijn er ook Secure FTP oplossingen waarbij een attachment niet meer in de mail zit maar versleutels op een SFTP server wordt opgeslagen waar de ontvanger deze vandaan kan halen.
Ook is er ook nog zoiets als PgP of S/MIME, maar dat is wel wat lastiger te implemeteren en vraagt veel beheer.
Het grote nadeel is gedrag. Gebruikers vinden het lastig om bij het verzenden van mail ook nog eens een wachtwoord te moeten invoeren. Alles meer dan 1 muisklik wordt als irritant ervaren.
Een oplossing die voor een veilige overdracht van bestanden zrgt zou transparant van de gebruiker moeten werken. Cisco heeft een dergelijk device dat transparant werkt en waarbij de gebruiker alleen maar in het onderwerp veld van een mail een bepaalde tekst moet plaatsen zodat het device weet dat de mail versleuteld moet worden.
Kost een berg maar dan heb je ook wat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.