Er komt heel wat kijken bij GDPR / AVG. In dit blog staan we stil bij datalekken ten gevolge van e-mail en wat je er tegen kunt doen.
Als we het hebben over de beveiliging van e-mail dan denken velen vooral aan het beschermen tegen gevaar via inkomende e-mail. Hoe beperk je spam? Hoe zorg je dat virussen geen kans krijgen? Etc.. Vaak wordt echter vergeten dat uitgaande e-mail in veel gevallen een grotere bedreiging vormt voor datalekken dan inkomende e-mail.
Datalekken per e-mail
Soms gebeurt zo'n datalek per ongeluk, bijvoorbeeld wanneer een e-mail gestuurd wordt naar de verkeerde persoon, of lijst van personen. Soms met opzet, bijvoorbeeld wanneer moedwillig vertrouwelijke informatie wordt verstuurd naar iemand die deze helemaal niet zou mogen ontvangen.
En dan is er nog het probleem van het doorsturen. De ontvanger van de e-mail is wel gerechtigd tot het ontvangen van de data, maar wat die er vervolgens weer mee doet? Daar heb je geen controle meer over. Duikt die informatie vervolgens ergens anders op, achterhaal dan nog maar eens waar het oorspronkelijke lek zich bevond.
Een ander issue is of de inhoud van de e-mail wel zonder encryptie zichtbaar mag zijn, omdat de inhoud ervan simpelweg té gevoelig is.
Bijlagen
De meest serieuze datalekken betreffen vaak bijlagen bij e-mails. Denk bijvoorbeeld aan klantenlijsten, financiële gegevens en andere vertrouwelijke documenten. Met een druk op de knop verstuurd en vervolgens niet meer terug te halen.
Hoe los je dit op? Bijvoorbeeld op de volgende manieren:
Verstuur niet het bestand zelf, maar een link naar het bestand. Vervolgens bepaal je hoe lang die link geldig is, trek je de toegang in tot het onderliggende bestand bij een calamiteit en bepaal je of het bestand gedownload mag worden of alleen in een browser zichtbaar is;
Beperk de mogelijkheid van het doorsturen van een e-mail met een vertrouwelijke bijlage;
Zet de bijlage om naar PDF en voorzie deze van een watermerk met de details van de zender en ontvanger. Duikt het document ongewild ergens op, dan is in ieder geval te achterhalen op welke manier er is gelekt, zodat herhaling voorkomen kan worden.
CC in plaats van BCC
We zien het nog geregeld gebeuren: een mailing wordt verstuurd met honderden e-mails in cc, terwijl bcc bedoeld was. Een datalek. Bewijs dan maar eens dat er geen sprake is van grove nalatigheid om zo een mogelijke boete te voorkomen.
Het zou me niet verbazen wanneer e-mailclients zoals Outlook het ergens in de toekomst onmogelijk gaan maken om grote hoeveelheden e-mailadressen in het TO/CC-veld toe te staan. Waarom is dat eigenlijk al niet gebeurd? In de tussentijd kun je denken aan:
Verzending uitstellen. Vaak realiseer je immers de fout precies een seconde nadat het bericht is verstuurd. Een 'undo' optie is dan erg handig.
Beperkt aantal ontvangers. Sommige mailservers bieden de mogelijkheid om het aantal ontvangers van een e-mail te maximeren, of deze te parkeren ter goedkeuring alvorens definitief te verzenden.
Persoonsgegevens
Vertrouwelijke persoonsgegevens zoals sofi-, creditcard- en paspoortnummer verdienen extra bescherming in e-mails. Je wilt natuurlijk dat alleen de bedoelde ontvanger deze kan inzien en misschien zelfs wel dat ze e-maildomein van de organisatie überhaupt niet verlaten.
Zorg daarom voor adequate Data Leak Prevention (DLP) regels op je e-mailserver die ervoor zorgen dat deze data alleen versleuteld, of helemaal niet, buiten de organisatie verstuurd kan worden.
Tools
Als alternatief voor Microsoft Exchange en Gmail bieden wij al jaren ALT-N tot grote tevredenheid van gebruikers. Meer controle. Lagere kosten. Zeer uitgebreide functionaliteit waaronder DLP en e-mail encryptie.
Bescherming tegen spam en malware van inkomende e-mails kan ingeregeld worden met behulp van GFI, inclusief geavanceerd beheer van mailservers en e-mailarchivering.
Voor het veilig delen van bestanden leveren we Nomadesk. Secure File Share & Sync specifiek voor IT-resellers.