Contact

Onderzoeksrapport: de schade van e-mail

datalek e-mail

Fast facts

  • Registratie 70 (nep)domeinen
  • 15.000 e-mails
  • 3100 potentiële datalekken
  • Mailbox is archief

Registreer 70 domeinnamen die lijken op populaire domeinnamen. Zet de bijbehorende mailservers op en wacht een jaar lang af wat er binnenkomt. Dat is precies wat de Cyberonderzoeksraad vorig jaar deed. De vangst: ruim 3100 berichten die een poging zijn om per e-mail iemand anders of een organisatie te bereiken. Oftewel, ruim 3100 potentiële datalekken.

De Cyberonderzoeksraad spreekt van een datalek op het moment wanneer het verkeerd gestuurde e-mailbericht persoonsgegevens bevat. Zo kwamen de onderzoekers kopieën tegen van paspoorten en rijbewijzen, ontvingen ze een proces-verbaal, bancaire gegevens, salarisstroken, arbeidscontracten, gespreksverslagen, en zelfs een departementaal vertrouwelijk document die de veiligheid van ambtenaren in gevaar kan brengen.

Ook inloggegevens voor een overheidsdienst, medische dossiers, herinneringen voor medische afspraken, sollicitaties met cv en foto’s van een dodelijk ongeluk kreeg men binnen. Kortom, de lading gevoelig materiaal dat verzonden wordt per e-mail is groot. De volledige lijst met voorbeelden, dit is nog maar het topje van de ijsberg, valt te lezen in het onderzoeksrapport.

Gevaren begrijpen

Volgens de Cyberonderzoeksraad is het belangrijk dat het besef groeit over de gevoeligheid en gevaren van e-mail. Belangrijkste is dat elke e-mailbox één groot archief is waarin gegevens jarenlang bewaard kunnen blijven. Het uitlekken van dat archief kan grote gevolgen hebben, zeker in het kader van de AVG.

Aanbevelingen

Beleid wat er wel en wat er niet per mail wordt verstuurd, zou het risico van e-mail fors verminderen, volgens de Cyberonderzoeksraad. Organisaties zouden als beleid moeten voeren om persoonsgegevens niet via e-mail aan te nemen.

Het roemt bijvoorbeeld de berichtenbox van MijnOverheid dat mensen slechts waarschuwt dat er een bericht is, zonder de inhoud te delen. Belangrijk kenmerk is dat deze e-mail geen link bevat waarop geklikt kan worden.

Naast het inzetten van systemen om informatie veilig te delen, denkt de Cyberonderzoeksraad dat de inzet van versleutelen van berichten of codes per sms versturen het aantal incidenten flink zal verminderen. Zeker voor organisaties en particulieren die gebruikmaken van mailleveranciers in de cloud, is het vaak mogelijk om gebruik te maken van versleuteling.

Over de Cyberonderzoeksraad

De Cyberonderzoeksraad is een werktitel voor een groep van IT-beveiligingsexperts die zoeken naar oplossingen voor beveiligingsproblemen in de ICT-industrie. Het is een initiatief, geleid door Brenno de Winter, die met een wisselend team onderzoeken uitvoert.

Download: Onderzoeksrapport ‘De schade van e-mail’.