Security Professionals - ipfw add deny all from eindgebruikers to any

Veiligheid e-mail systeem.

09-04-2024, 21:00 door De vrijwilliger, 12 reacties
Ik werk als vrijwilliger bij een grote organisatie. Ik heb destijds een aantal gegevens moeten aanleveren voor een doelmatige communicatie tussen werkgever en vrijwilliger. NAW-gegevens, bankrekening, e-mail etc.

Voor het uitvoeren van ons werk krijgt elke vrijwilliger dagelijks een PDF toegestuurd op zijn of haar opgegeven privé e-mail. Onze werkgever past in principe de ¨breng plicht” toe.

Nu heeft onze werkgever besloten om alle vrijwilligers een e-mail account te geven van de organisatie. Voor het uitvoeren van ons werk krijgt elke vrijwilligers nu dagelijks een PDF toegestuurd op zijn of haar e-mailaccount van de organisatie. Wij moeten nu elke dag inloggen in het systeem van de organisatie. Onze werkgever past nu in principe de “haal plicht” toe.

De argumentatie in deze is dat het veiliger is om met een e-mail account van de organisatie je e-mail zelf op te halen dan één standaard e-mail naar privé e-mail van de vrijwilligers te sturen.

Mijn gevoel zegt dat in één handeling veel e-mails versturen naar de vrijwilligers veiliger is dan dat al jouw vrijwilligers moet inloggen in je systeem daar zelf de e-mail moeten ophalen.
(Waarbij niet bekend is of een ieder zijn of haar systeem optimaal laat updaten, en of geen malware of andere schadelijke software op systemen aanwezig is).

Ik ben erg benieuwd hoe jullie reactie hierop is.
Reacties (12)
09-04-2024, 21:38 door Anoniem
Mijn gevoel zegt dat in één handeling veel e-mails versturen naar de vrijwilligers veiliger is

Behalve als er bij dat bulk verzenden een fout gemaakt wordt en al die emailadressen gelekt worden, en of de inhoud van de mail(s). Zoek maar wat rond op deze site naar artikelen over datalekken, en hoe vaak dat fout gaat met het versturen van emails naar een (lange) lijst met (externe) email-adressen.
Als de mail binnen de mailboxen van een eigen netwerk van de werkgever blijft, dan is er meer toezicht op en kunnen snel ontdekte fouten nog ongedaan gemaakt worden.


Je geeft zelf aan dat het om een werkgever gaat.
Werkgevers hebben het recht om hun werknemers met bepaalde oplossingen te laten werken (als ze ze daar maar in faciliteren) volgens procedures die de werkgver mag zelf opstellen.
En ze hebben een plicht om er op toe te zien dat e.e.a. ook veilig gebeurt.


Dus ik zie het probleem niet echt.
Als je het echt een te grote hindernis vindt, kun je ook stoppen of ergens anders aan het werk gaan als vrijwilliger.
Dat is dan weer de keuzevrijheid die jij hebt. Je benen.

Maar heb je hier al met de werkgever over gesproken?
Je zorgen geuit? Uitleg gevraagd waarom het nu zo moet volgens de werkgever?
09-04-2024, 21:48 door Anoniem
Lastig volledig te beoordelen, maar op basis van wat je schrijft een inschatting:

Er is geen waarschijnlijk negatief verschil als het gaat om de laptop en malware: immers log je alleen op een zeer beperkte mailserver in die alleen jouw data toont, data die je eerder ook al in je privé mail kreeg. Potentieel zelfs wel voordeel: malware kan nu opvallen door monitoring in te zetten.

Voordeel is er wel: een typefout in het mailadres laat de mail nu niet aankomen bij vreemden. En mails zijn nu waarschijnlijk beter in te trekken, phishing beter te filteren, etc.

Vraag is wel of het voor de vrijwillgers gebruikersvriendelijker is geworden. Al zal het weinig uitmaken als je het beide in een mailprogramma uitleest.
09-04-2024, 21:51 door Erik van Straten - Bijgewerkt: 09-04-2024, 21:54
Tenzij ik er overheen kijk, zie ik niet wat voor soort informatie er in die PDF's staat: zijn dat werkinstructies die je dus moet ophalen, of gaat het om"achteraf-info" die je best een paar dagen of een week kunt opsparen?

Staan er vertrouwelijke gegevens in die PDF's (zo ja, waar moeten we aan denken? Wellicht cijfercombinaties van sloten om de woningen van hulpbehoevenden te kunnen binnengaan, of welke medicijnen moeten worden toegediend?)

Indien er sprake is van (zeer) vertrouwelijke info, kan ik mij voorstellen dat de opdrachtgevende organisatie het onwenselijk vindt dat e-mails met vertrouwelijke bijlagen via servers van allerlei verschillende e-mail-providers (evt. met meer "hops" door ingestelde forwarding) de inboxes van alle vrijwillegers bereiken.

Echter, indien zo'n nieuw e-mailaccount uitsluitend bedoeld is voor één-richtingsverkeer, van de organisatie naar de vrijwilligers dus, is het absurd om daar e-mailaccounts voor aan te maken; e-mail krijg je nooit meer veilig (als dat kon was dat allang gebeurd).

In plaats daarvan had de organisatie een website kunnen maken waar de vrijwilligers op moeten inloggen om zo hun PDF's te downloaden of te bekijken (dat laatste is ook downloaden, maar (hopelijk) niet voor onbeperkte tijd bewaren) - vergelijkbaar met hoe je bij o.a. telecomproviders facturen kunt downloaden, en bijv. polissen bij verzekeringsmaatschappijen.

Door De vrijwilliger: (Waarbij niet bekend is of een ieder zijn of haar systeem optimaal laat updaten, en of geen malware of andere schadelijke software op systemen aanwezig is).
Dat argument begrijp ik niet. Ook om jouw eigen e-mailaccount veilig te kunnen benaderen, is het een vereiste dat het apparaat (en de software daarop) te vertrouwen valt.

Oftewel, er gebeuren meestal uitermate onaangename dingen als je gebruik maakt van onbetrouwbare apparatuur en/of software. Een betrouwbare "client" is een voorwaarde voor bijna alles.
09-04-2024, 22:17 door Briolet
Mijn gevoel zegt dat in één handeling veel e-mails versturen naar de vrijwilligers veiliger is dan dat al jouw vrijwilligers moet inloggen in je systeem daar zelf de e-mail moeten ophalen.

Ik denk dat het weinig uit maakt. Maar vanuit de werkgever gezien, weet die hoe de beveiliging van hun mailserver is. Mail staat dan alleen op hun server en op de PC van de vrijwilliger. Als zij het naar een extern mail account sturen, staat de mail ook daar. En dat is doorgaans in plaintext en door de locale systeem operator te lezen. (Als die het zou wilen). En als het een buitenlands mailaccount betreft, kan die externe provider zelfs gedwongen worden de mail beschikbaar te stellen aan de overheid.

En ik zie het probleem niet van het toevoegen van een extra account in je mailprogramma. Ik had tot recent nog een mailaccount waar een nieuwsbrief op binnenkwam. Die popte ik eens per week. Maar lang niet in alle mail programmas kun je de frequentie van ophalen instellen, of instellen dat je het ophalen handmatig moet triggeren.
09-04-2024, 22:26 door Anoniem
E-mail? Word dat nog gebruikt dan? Tegenwoordig gaat toch alles via messaging (Teams/ZOOM etc.) kun je gewoon easy peasy bestanden delen zonder dat die lui een account in je organisatie hoeven te hebben.
Domme mensen blijven aan dat ellendige e-mail gedrocht vastplakken, zucht. Tijd voor vooruit gang mensen. Stop eens met die oude meuk, die je toch niet veilig kan krijgen.
09-04-2024, 23:23 door Anoniem
Hoi..
Ik ben 9 jaar lang vrijwillige ICT-er met Administrator rechten geweest bij een welzijns organisatie geweest (+/- 300 vaste krachten en +/-600 vrijwilligers) .

Ik snap dat je liever niets van je gegevens, beleid, what ever.. laat uitlekken via misschien 'gehackte' mail adressen, en dat je dan er voor kiest om iedereen een organisatie mail adres geeft, maar waarom zou je elke vrijwilliger elke dag een pdf sturen?? Persoonlijk zou ik die meteen blokkeren ( ook in mijn privé mail ).

Ik snap echt niet waarom je voor het uitvoeren van je werk, elke dag, een pdf moet lezen? Dit lijkt mij meer op een controle systeem ipv informatie! En moeten mensen die 1 keer per week iets doen 7 dagen per week inloggen??

-HaSo
10-04-2024, 10:43 door Anoniem
Door Anoniem: E-mail? Word dat nog gebruikt dan? Tegenwoordig gaat toch alles via messaging (Teams/ZOOM etc.) kun je gewoon easy peasy bestanden delen zonder dat die lui een account in je organisatie hoeven te hebben.
Domme mensen blijven aan dat ellendige e-mail gedrocht vastplakken, zucht. Tijd voor vooruit gang mensen. Stop eens met die oude meuk, die je toch niet veilig kan krijgen.
Hartstikke veilige software https://reports.exodus-privacy.eu.org/en/reports/com.microsoft.teams/latest.
10-04-2024, 11:05 door Anoniem
Het leidend principe voor mij is dat informatie die je gebruikt voor je werkzaamheden als werknemer (of vrijwilliger) onder controle staat van de werkgever.
Als je gebruik maakt van privé e-mail adressen is de controle op deze informatie volledig weg.

De werkgever moet daarnaast medewerkers met informatiemiddelen faciliteren om hun werk uit te voeren.

Dit is niet altijd volledig haalbaar maar het is wel een stap vooruit om medewerkers of vrijwilligers hun eigen e-mail adres te geven.
10-04-2024, 11:17 door Anoniem
Door Erik van Straten:
Echter, indien zo'n nieuw e-mailaccount uitsluitend bedoeld is voor één-richtingsverkeer, van de organisatie naar de vrijwilligers dus, is het absurd om daar e-mailaccounts voor aan te maken; e-mail krijg je nooit meer veilig (als dat kon was dat allang gebeurd).

In plaats daarvan had de organisatie een website kunnen maken waar de vrijwilligers op moeten inloggen om zo hun PDF's te downloaden of te bekijken (dat laatste is ook downloaden, maar (hopelijk) niet voor onbeperkte tijd bewaren) - vergelijkbaar met hoe je bij o.a. telecomproviders facturen kunt downloaden, en bijv. polissen bij verzekeringsmaatschappijen.

Er is uiteraard geen wezenlijk verschil tussen "een e-mail systeem waarop wij elke dag moeten inloggen" en "een website waar je op moet inloggen". Dat inloggen op het e-mail systeem is ongetwijfeld via een webmail. Dat functioneert in een dergelijke omgeving gewoon als een verzameling folders waarin berichten staan die de gebruiker kan bekijken en waar die eventueel op kan reageren. Niets onveilig aan!
Het zou zelfs zo ingericht kunnen worden dat alleen e-mail binnen de organisatie mogelijk is. Zodat je ook je mail niet naar buiten kunt doorsturen, of onverlaten van buitenaf gespoofte berichten erheen kunnen mailen.

Wat je op deze site de hele dag leest (en dat is ook de reden dat ik niet meer reageer) is "het is allemaal niks, alles is onveilig, digitaal daar moeten we vanaf, de overheid is de roverheid" enz, en als iemand werkopdrachten wil verspreiden dan moet ie eerst maar eens een systeem gaan opzetten zoals een verzekeringsmaatschappij of bank heeft.

De proportionaliteit is totaal zoek geraakt. En het groepje wat hier mekaar de bal toespeelt over die zaken is het natuurlijk helemaal met elkaar eens. De wereld ga je daar echter niet mee veranderen, sterker nog, dat maak je onmogelijk als je alles meteen neersabelt als "krijg je nooit veilig". Absolute veiligheid is er nergens, en implementaties een maatregelen moeten proportioneel zijn met het te bereiken doel.
10-04-2024, 13:42 door MathFox
Door De vrijwilliger:
Voor het uitvoeren van ons werk krijgt elke vrijwilliger dagelijks een PDF toegestuurd op zijn of haar opgegeven privé e-mail. Onze werkgever past in principe de ¨breng plicht” toe.
Dat betekent dat de berichten met bijbehorende PDF's voor onbepaalde tijd worden opgeslagen op de mailserver van een ISP of hotmail, gmail en vrienden (en daar toegankelijk zijn voor systeembeheerders). Als er persoonsgegevens of andere vertrouwelijke informatie verstuurd worden juridisch onaanvaardbaar.
Nu heeft onze werkgever besloten om alle vrijwilligers een e-mail account te geven van de organisatie. Voor het uitvoeren van ons werk krijgt elke vrijwilligers nu dagelijks een PDF toegestuurd op zijn of haar e-mailaccount van de organisatie. Wij moeten nu elke dag inloggen in het systeem van de organisatie. Onze werkgever past nu in principe de “haal plicht” toe.
Dit is uit beveiligingsoogpunt beter. De organisatie kan zelf de toegang tot de gegevens controleren, in plaats van afhankelijk te zijn van de goede wil en discretie van dozijnen externe mailproviders.
10-04-2024, 17:36 door Anoniem
Door MathFox:
Door De vrijwilliger:
Voor het uitvoeren van ons werk krijgt elke vrijwilliger dagelijks een PDF toegestuurd op zijn of haar opgegeven privé e-mail. Onze werkgever past in principe de ¨breng plicht” toe.
Dat betekent dat de berichten met bijbehorende PDF's voor onbepaalde tijd worden opgeslagen op de mailserver van een ISP of hotmail, gmail en vrienden (en daar toegankelijk zijn voor systeembeheerders). Als er persoonsgegevens of andere vertrouwelijke informatie verstuurd worden juridisch onaanvaardbaar.
Nu heeft onze werkgever besloten om alle vrijwilligers een e-mail account te geven van de organisatie. Voor het uitvoeren van ons werk krijgt elke vrijwilligers nu dagelijks een PDF toegestuurd op zijn of haar e-mailaccount van de organisatie. Wij moeten nu elke dag inloggen in het systeem van de organisatie. Onze werkgever past nu in principe de “haal plicht” toe.
Dit is uit beveiligingsoogpunt beter. De organisatie kan zelf de toegang tot de gegevens controleren, in plaats van afhankelijk te zijn van de goede wil en discretie van dozijnen externe mailproviders.

Dit vat het belangrijkste wel goed samen. Ik heb dezelfde ervaring met informatiebeveiligingsaudits.
11-04-2024, 11:29 door Anoniem
Door Anoniem:
Door Anoniem: E-mail? Word dat nog gebruikt dan? Tegenwoordig gaat toch alles via messaging (Teams/ZOOM etc.) kun je gewoon easy peasy bestanden delen zonder dat die lui een account in je organisatie hoeven te hebben.
Domme mensen blijven aan dat ellendige e-mail gedrocht vastplakken, zucht. Tijd voor vooruit gang mensen. Stop eens met die oude meuk, die je toch niet veilig kan krijgen.
Hartstikke veilige software https://reports.exodus-privacy.eu.org/en/reports/com.microsoft.teams/latest.
Dat heeft niets met veiligheid te maken maar met privacy. Als je privacy je lief is gebruik je sowieso niets van Big Tech of je zorgt dat alles waar je over communiceert versleuteld is met een eigen sleutel. Je moet eens weten hoeveel mensen helemaal niets om al die privacy waarschuwingen geven. Er zijjn voldoende mogelijkheden om wel veilig met elkaar te communiceren alleen worden deze slechts door een kleine groep gebruikt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.