Wat je kunt leren van 3.100 gelekte e-mails

Veilig omgaan met persoonsgegevens was altijd al belangrijk voor (lokale) overheden. Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) liggen publieke organisaties nog meer onder het vergrootglas. Met name e-mail vormt een achilleshiel. Hoe bescherm je de gegevens van jouw klanten beter?

Een Nederlands ministerie belegt regelmatig vergaderingen waarin zeer vertrouwelijke zaken worden besproken. Denk hierbij aan de werkgroep over geweld tegen een bepaalde groep mensen. Alleen al het bekend worden van het bestaan van deze werkgroep en wie daaraan deelnemen, brengt de veiligheid van deze medewerkers mogelijk in gevaar. Daarom geven we welbewust geen nadere details.

Cyberonderzoeksraad

Want deze informatie zou eigenlijk geheim moeten zijn. Toch lekt het bestaan van deze werkgroep uit. In de lijst van tientallen deelnemers aan het overleg zit één verkeerd mailadres. Daardoor komt alle correspondentie tussen de organisator van de werkgroep en de leden bij de verkeerde personen terecht. Gelukkig is de ontvangende partij de Cyberonderzoeksraad. Dat is een niet-gouvernementele organisatie die onderzoek doet naar datalekken en die netjes waarschuwt dat er iets fout gaat.

Het was niet geheel toevallig dat de Cyberonderzoeksraad, een project van Brenno de Winter en andere IT-specialisten, deze mail ontving. Voor een security-experiment hadden ze namelijk meer dan zeventig domeinnamen die op andere domeinen lijken, geregistreerd. Vervolgens wachtten ze op binnenkomende berichten. Er kwamen ruim 15.000 e-mails binnen. Na het filteren van spam en virussen bleven er ongeveer 3.100 berichten over.

Op die manier kregen De Winter & Co gevoelige zaken onder ogen als:

  • een kopie van een paspoort, identiteitskaart of rijbewijs;
  • een proces-verbaal;
  • een melding van een verloren identiteitsbewijs;
  • inloggegevens voor een overheidsdienst.

Steeds meer datalekken

Wat de Cyberonderzoeksraad ontdekte, past in een bredere trend. Het aantal datalekken in Nederland blijft stijgen. Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP), de toezichthouder op de Algemene verordening gegevensbescherming (AVG). Vorig jaar ontving de organisatie bijna 27.000 meldingen van datalekken, een stijging van 29% ten opzichte van 2018.

De AP ziet dat vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, doelwit zijn van cybercriminelen. Belangrijk om te melden is dat 17 procent van de datalekken zijn gemeld vanuit het openbaar bestuur.

Omdat alle overheidsorganisaties informatie online delen, is het niet de vraag of er zich een datalek zal voordoen, maar wanneer. Bovendien is de impact van een inbreuk op gevoelige gegevens (medische of financiële gegevens of contracten) enorm.

Tips tegen datalekken

Maar wat kun je als (lokale) overheid zelf doen tegen het lekken van e-mails? Laten we eerst kijken naar de menselijke fouten. Een van je medewerkers tikt bijvoorbeeld een mailadres verkeerd in of selecteert in het e-mailprogramma een verkeerde geadresseerde. Zoals we zagen, kwam de Cyberonderzoeksraad vele van dit soort gevallen op het spoor.

Een mogelijke oplossing is het introduceren van het vierogen-principe, maar in de weerbarstige praktijk zullen medewerkers hier snel vanaf stappen. Kies daarom voor software die als het ware met je meekijkt. Hoe ziet dat er in de praktijk uit?

Laten we als voorbeeld ZIVVER, een aanbieder van beveiligd mailen, nemen. Deze oplossing onthoudt het soort informatie dat naar ontvangers wordt gestuurd. Om menselijke fouten te voorkomen, geeft deze intelligente software een melding of waarschuwing voordat je een e-mail met gevoelige informatie verzendt. Het selecteren van de verkeerde ontvanger wordt voorkomen, doordat ZIVVER waarschuwt wanneer de ontvanger niet bij het bericht lijkt te passen.

Maar hackers kunnen een e-mail ook onderscheppen wanneer deze onderweg is tussen zender en ontvanger, de zogeheten man-in-the-middle attack. De oplossing: verstuur e-mails versleuteld en gebruik het TLS-protocol (Transport Layer Security). Dit beveiligingsprotocol biedt privacy en gegevensintegriteit tussen twee communicerende toepassingen.

Mocht het dan tóch misgaan, dan is het cruciaal dat alles wordt gelogd. Want de AVG schrijft voor dat organisaties direct een melding doen bij de AP zodra zij een ernstig datalek hebben. Soms moet de data breach ook worden gemeld aan de mensen van wie de persoonsgegevens zijn gelekt.

Module om veilig te mailen

De mogelijkheden om informatie te delen zijn legio. Deze oplossingen zijn echter niet altijd veilig of gemakkelijk om mee te werken. Versleuteling is belangrijk, maar biedt zonder aanvullende maatregelen geen bescherming tegen menselijke fouten. Je beschermt informatie alleen echt met een oplossing die veilig, gemakkelijk en ondersteunend is voor je huidige werkproces.
Daarom bieden we in JOIN Zaaksysteem en JOIN Klantcontact binnenkort een module aan die beveiligd mailen mogelijk maakt. Het werkt simpel: je zet een vinkje aan op het moment dat je een mail stuurt. Dat bericht wordt dan ‘achter de schermen’ verstuurd via een externe aanbieder van beveiligd mailen, zodat alle security die deze oplossing biedt ook jou ondersteunt. Zo kom je hopelijk niet (meer) in aanraking met de Cyberonderzoeksraad…

Naast deze module beveiligd mailen, lanceren wij binnenkort ook JOIN Samenwerken; een online platform om veilig samen aan bestanden te werken. Ook dit is een oplossing om minder afhankelijk te zijn van uitwisseling per e-mail.