Hoe u wilt dat anderen reageren als ze een mailtje van een medewerker van uw organisatie krijgen? Vertrouwen ze u? Vindt u het belangrijk om dat vertrouwen te behouden?
Email is een van de oudste internettechnologieen – het eerste mailtje werd in 1971 gestuurd over de voorloper van het internet. Ondanks de opkomst van allerlei andere hippe communicatiekanalen is email voor veel organisaties – samen met telefonie – nog steeds het belangrijkste zakelijke communicatiekanaal. Email is dankzij de bijlagen van alle soorten en maten die we er probleemloos aan toe kunnen voegen dan ook veel meer dan alleen maar tekst: het is de logistieke pakketdienst van het internet.
Daarom is het des te opmerkelijker dat we zo weinig van email afweten. Zonder kennis over hoe iets werkt, kun je er eigenlijk niet op een verantwoorde manier mee omgaan. Even in vogelvlucht: een mailtje is in de basis een primitief stuk onbewerkte tekst, waarbij we hebben afgesproken dat we bovenaan in een paar vast geformatteerde regels neerzetten wie het verstuurt en wie het moeten ontvangen. Er staat dus letterlijk (in platte tekst): ‘From:’ en dan kun je neerzetten wat je maar wilt. Dat is natuurlijk precies wat spammers en cybercriminelen doen. In het geval van spam varieert dat – van zomaar een mailadres van een willekeurig iemand naar de relaties die in het adresboek van een onfortuinlijk slachtoffer staan. In het geval van phishing (waarin de ontvanger wordt verlokt om op basis van een vervalste identiteit van de afzender iets te doen) is dat doelgericht – de nepverzender moet een relatie met het slachtoffer hebben, anders werkt het niet.
Als hoogopgeleide en getrainde gebruikers kunnen we in sommige gevallen de schifting maken tussen ‘echte’ mail en vervalste mail. We gedragen ons al dan niet ondersteund door onze software verstandig door niet iedere bijlage of hyperlink gedachtenloos te openen. Maar wat als je een mail krijgt van een echt contact, met een link of een bijlage over iets waar je echt mee bezig bent? Veel mensen laten op dat moment de verdediging zakken, en klikken de waarschuwing weg. Dat is in een notendop het probleem van spearphishing – en het is een ernstig probleem dat aan de basis ligt van veel security-breuken.
Op het moment dat de mens het onderscheid tussen vals en echt niet meer kan maken, moet de techniek ons hier te hulp komen. De Nederlandse overheid heeft sinds vorig jaar de standaard DKIM op de lijst met verplichte standaarden staan, een basistechnologie die het mogelijk maakt voor de ontvanger om op geautomatiseerde wijze meer te weten te komen over het traject dat een mail heeft afgelegd. Dat klinkt moeilijker dan het is: het komt erop neer dat de verzender en eventuele transporteurs van het mailpakketje een uniek digitaal paraafje zetten als ze er zeker van zijn dat ze verantwoordelijk kunnen zijn dat er niet mee gerommeld is. Iedereen die de mail onder ogen krijgt kan de gezette paraafjes eenvoudig controleren met onvervalsbare informatie die op een veilige plek gepubliceerd wordt. En de verzender kan ook laten weten welke paraafjes er minimaal op de mail moeten staan.
Het hele proces is doodsimpel, kost niets en gebeurt volledig automatisch, maar u moet het wel aanzetten – zowel het plaatsen van een DKIM-handtekening op uw eigen uitgaande mails als het controleren van de DKIM-handtekeningen van anderen op uw inkomende mailstroom. Zolang u dat niet doet, mist u een belangrijke laag van beveiliging en nog erger: geeft u iedereen de mogelijkheid om uw organisatie na te doen. Overheidsorganisaties hebben natuurlijk een extra verantwoordelijkheid: welke ambtenaar wil er verantwoordelijk voor zijn dat de privacy van een burger wordt geschonden dankzij een mail die afkomstig leek vanuit zijn of haar organisatie? Of dat een veelbelovende lokale onderneming zijn deuren moet sluiten omdat een zogenaamd vanuit uw instantie verzonden mail een securitybreuk opleverde die al hun bedrijfsgeheimen heeft blootgelegd?
Natuurlijk zegt iedereen dat het hem of haar niet overkomt, en dat ze goed opletten welke mails ze wel en niet openen. Maar verplaats nu eens het perspectief. Denk eens in hoe u wilt dat anderen reageren als ze een mailtje van een medewerker van uw organisatie krijgen? Vertrouwen ze u? Vindt u het belangrijk om dat vertrouwen te behouden?
Op 28 maart is de Koninklijke Bibliotheek het toneel voor twee evenementen. In de ochtend is er voor technisch geïnteresseerden een masterclass rondom email security. In de middag is er een middagseminar voor beleidsmatige geïnteresseerden rondom DKIM met sprekers van onder andere ING, XS4ALL, Nederhost, het Nederlands Cyber Security Center, KING, en de makers van Phishingscorecard.com.
Hoofdgast is de Canadees Murray Kucherawy, oprichter en voorzitter van het Trusted Domain Project. Murray Kucherawy heeft meer dan twintig jaar ervaring in open source en commercieel berichtenverkeer, standaardenontwikkeling en operations. Hij heeft drie patenten rondom verbeteringen op de bezorging van email op zijn naam en is (mede-)auteur van vijftien Internet RFCs. Hij is een prominent lid van de Messaging Anti-Abuse Working Group (MAAWG) en lead developer van OpenDKIM en OpenDMARC. Hij is sinds 2012 werkzaam voor de Amerikaanse netwerksite Facebook.
De organisatie is in handen van de vereniging voor internetprofessionals Internet Society Nederland samen met Forum Standaardisatie (de overheidsorganisatie die verantwoordelijk is voor het vaststellen van de standaarden op ICT-gebied voor de Nederlandse overheid), ECP en Mailmerk. Meer over de masterclass Email Security. Meer over het middagseminar “Bewaak uw online reputatie; de DKIM-standaard als basis voor phishing-preventie”.