E-mailverkeer komt vrijwel altijd als een risicovol onderdeel naar voren bij bedrijven. Vaak heb ik contact met bedrijven die denken veilig te mailen en het niet nodig vinden iets te veranderen, maar die dan toch niet veel later met een beveiligingsprobleem aan de telefoon hangen. Het gebruik maken van versleuteling staat volgens velen gelijk aan veilig e-mailen.
Eerste e-mail
In 1962 werd de eerste e-mail verzonden. Onversleuteld uiteraard. Privacy en beveiliging waren toentertijd nog relatief onbekende begrippen. Onversleutelde e-mails verzenden staat gelijk aan een brief versturen in een envelop zonder deze dicht te plakken. Iedereen kan de brief in handen krijgen en deze lezen zonder dat de afzender dit doorheeft.
E-mail versleutelen
Om e-mail versleuteld te versturen is een e-mailprotocol gestart, bekend als STARTTLS. Dit hield in dat wanneer u een mail versleuteld wilt sturen, de mailserver vraagt “Ondersteun jij versleuteling”? Antwoordt u “Ja” dan wordt uw bericht versleuteld verstuurd . Antwoordt u “nee”, dan wordt het bericht onversleuteld verstuurd. Het probleem daarbij is dat deze vraag onversleuteld gesteld wordt. Als iemand kwaad zou willen kan deze vraag onderschept worden en de vraag met “nee” beantwoorden. Zodoende wordt het bericht dan alsnog onversleuteld verstuurd en krijgen kwaadwillenden toegang tot het bericht.
2-factor authenticatie (2FA)
Er zijn meerdere manieren om uw mail alsnog beveiligd te versturen. Ik ga op 1 van deze manieren verder in: het versturen van berichten met 2-factor authenticatie. Een 2-factor authenticatie (2FA) is een authenticatie methode waarbij u twee stappen succesvol moet doorlopen om ergens toegang tot te krijgen. Stap 1 is het invoeren van een gebruikersnaam en wachtwoord. Stap 2 is ruimer van begrip. Dat is namelijk een sms code of vingerafdruk scanner. Een bankpas in combinatie met een pincode is een voorbeeld van een 2-factor authenticatie. Dit is de enige manier om er zeker van te zijn dat de beoogde ontvanger de enige is die het bericht kan lezen. U ziet dat sommige organisaties nog terughoudend zijn, omdat ze bang zijn dat ontvangers 2FA niet snappen. Gelukkig komen we 2FA steeds vaker tegen.
Hopelijk wordt dit snel de standaard, waardoor bovenstaande misvattingen over veilige mail tot het verleden zullen behoren. Tot slot: hoewel ik in deze blog vooral stil sta bij de technische kant van veilige mail, is er veel meer nodig om als organisatie echt veilig te mailen. Fouten maken is namelijk menselijk. Een mail per ongeluk naar de verkeerde persoon sturen is een veelvoorkomend probleem. Naast de techniek van e-mail is de menselijke kant dus een belangrijk punt van aandacht voor organisaties.