70% bedrijven versleutelt e-mailbijlagen niet
Bijna 70% van de bedrijven gebruikt e-mail om grote documenten en bedrijfsgevoelige informatie uit te wisselen, zonder die te versleutelen. Dat blijkt uit onderzoek van cloudaanbieder Intralinks. E-mail is nog altijd de geprefereerde manier van bestandsuitwisseling. Ondanks recente datalekken, blijken veel bedrijven hun e-mails en e-mailbijlagen niet te versleutelen. Volgens Mushegh Hakhinian van Intralinks kan encryptie in dit soort gevallen uitkomst bieden als bedrijven over een modern e-mailmanagementsysteem beschikken.
"De problemen beginnen als je gebruikers geen encryptie willen gebruiken of dit technisch niet mogelijk is", zegt hij tegenover Security.nl. Sommige eindgebruikers zouden bijvoorbeeld via e-mailsystemen mailen die geen encryptie ondersteunen. Daarnaast vallen bedrijven in veel gevallen onder compliance regels en moeten e-mails en berichtenverkeer geaudit kunnen worden.
Encryptie
Hakhinian waarschuwt bedrijven voor kleine e-mailaanbieders, omdat die van het ene op het andere moment zouden kunnen verdwijnen of afgesloten kunnen worden. "Beschikbaarheid is een belangrijk onderdeel van security en mag niet worden vergeten." Toch erkent Hakhinian dat het versleutelen van e-mail een hoop ellende kan voorkomen, zeker als bedrijven worden gehackt.
Vorig jaar werden de e-mailarchieven van verschillende bedrijven gehackt, zoals Vanguard, HBGary en Stratfor. De archieven waren in alle gevallen onversleuteld, wat betekent dat de aanvallers meteen toegang tot alle berichten hadden en deze in sommige gevallen online publiceerden. Was er encryptie gebruikt, dan hadden de aanvallers in ieder geval de privésleutel en wachtwoord moeten bemachtigen om de inhoud te bekijken.
Wie denk je dat er encryptie gaat gebruken voor z'n interne archieven (data at rest)? Voor het versturen van email over het onveilige internet (data in transit), vooruit (ook al liegt inderdaad 30% ;) )...
"Daarnaast vallen bedrijven in veel gevallen onder compliance regels en moeten e-mails en berichtenverkeer geaudit kunnen worden." ... en dat zou geen reden zijn om encryptie te gebruiken? Ook hier: je kan de mail encrypten bij de verzendende server en decrypten bij de ontvangende server.
Resultaat: je kan de cleartext ontvangen en verzonden mail archiveren voor legal discovery etc.
Als dat proces solide is zal geen auditor of overheidsfunctionaris zeuren.
Klok/klepel... Hint: heeft Intralinks wellicht een handig alternatief voor het veilig uitwisselen van grote bestanden?
Klok/klepel... Hint: heeft Intralinks wellicht een handig alternatief voor het veilig uitwisselen van grote bestanden?
Alternatieven zijn er hoor. Via tools als Winzip, 7-Zip kunnen attachments vooraf gecomprimeerd en versleuteld worden met AES256. Daarnaast zijn er ook Secure FTP oplossingen waarbij een attachment niet meer in de mail zit maar versleutels op een SFTP server wordt opgeslagen waar de ontvanger deze vandaan kan halen.
Ook is er ook nog zoiets als PgP of S/MIME, maar dat is wel wat lastiger te implemeteren en vraagt veel beheer.
Het grote nadeel is gedrag. Gebruikers vinden het lastig om bij het verzenden van mail ook nog eens een wachtwoord te moeten invoeren. Alles meer dan 1 muisklik wordt als irritant ervaren.
Een oplossing die voor een veilige overdracht van bestanden zrgt zou transparant van de gebruiker moeten werken. Cisco heeft een dergelijk device dat transparant werkt en waarbij de gebruiker alleen maar in het onderwerp veld van een mail een bepaalde tekst moet plaatsen zodat het device weet dat de mail versleuteld moet worden.
Kost een berg maar dan heb je ook wat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
