financiën / Partnerbijdrage

Onvoldoende e-mailbeveiliging: is dat een probleem?

Onvoldoende e-mailbeveiliging: is dat een probleem? Bescherming tegen spoofing

25 oktober 2021
InsightImage-TwoThirdsWidth.jpg

Zembla en de Internet Cleanup Foundation deden onderzoek naar e-mailbeveiliging bij 100 vitale bedrijven en organisaties. Hieruit zou blijken dat 43 van hen “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware”. Bij nader inzien gaat het niet om bescherming tegen al deze vormen van cybercriminaliteit, maar alleen om bescherming tegen spoofing.

Wat is spoofing?

Door spoofing lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie. Dit noem je ook wel het ‘spoofen’ van een domeinnaam. Het bemoeilijkt het herkennen van phishingmail en vergroot de kans dat de ontvanger gevoelige gegevens prijsgeeft.

 

De bescherming tegen spoofing bestaat uit specifieke e-mailbeveiligingsstandaarden die deze organisaties niet (volledig) gebruikten of onvoldoende strikt hadden geconfigureerd. Denk hierbij aan het Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC). Zonder deze maatregelen is het makkelijker voor cybercriminelen om spoofing te laten plaatsvinden.


Het belang van e-mailbeveiligingsstandaarden

Deze instellingen hebben dus zelf niet direct te maken met ransomware of phishing, maar zijn slechts een onderdeel van de totale beveiliging. Het belang van deze instellingen is mede afhankelijk van de inrichting van de rest van (de beveiliging van) de organisatie. Zo gaf de exploitant van de kerncentrale in Borssele (EPZ) bijvoorbeeld aan dat de mail inderdaad niet maximaal was beveiligd, maar dat het aansturen van het nucleaire proces en de bediening van de reactor met analoge techniek gebeurt. Deze techniek is ongevoelig voor digitale verstoringen. Het reactorbeveiligingssysteem van de kerncentrale kan dus per definitie niet gehackt worden, althans niet via internet.

 

Toch zet het onderzoek wel aan tot denken, om twee redenen:

  1. Het roept de vraag op welke beveiligingsrisico’s nog meer worden gelopen als deze (schijnbaar basale) beveiliging niet op orde is. Een diepgaander cybersecurity onderzoek zou een logische vervolgstap zijn. Het zou ons ook niet verbazen als meer bedrijven naar hun cyberveiligheid zullen laten kijken naar aanleiding van dit onderzoek.
  2. Vanuit aansprakelijkheidsrisico’s is dit onderzoek ook relevant. Rechtbank Gelderland oordeelde recent over een hack van een website van een verhuurmakelaar. Iemand wiens gegevens waren buitgemaakt bij die hack stelde de makelaar aansprakelijk, onder andere vanwege onvoldoende beveiliging van de gegevens. De rechter stelde dat ook bij de meest optimale beveiliging niet volledig valt uit te sluiten dat cybercriminelen zich toegang verschaffen. Omdat de makelaar aangaf dat zijn beveiliging wel op orde was (en de klager het tegendeel niet kon bewijzen) hield het voor hem op.

 

Dat besluit had heel anders uit kunnen vallen als die betrokkene de rechter (met hulp van een ethical hacker) een gespooft mailtje had gestuurd dat vanaf het domein van die makelaar lijkt te komen. Of als die makelaar in het onderzoek was genoemd als een van de bedrijven die haar e-mail beveiliging niet op orde heeft.


Conclusie onderzoek Zembla en Interner Cleanup Foundation

De stelling dat 43 van de 100 door Zembla en de Internet Cleanup Foundation onderzochte bedrijven “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware” is wat kort door de bocht. Toch is dit onderzoek wel relevant. Enerzijds omdat de bevindingen de vraag oproept hoe het met de rest van de beveiliging zit bij die (en andere) bedrijven en anderzijds omdat deze resultaten wel sneller kunnen leiden tot aansprakelijkheid jegens derden op het moment dat het wel mis gaat.


Cyberveiligheidsonderzoek door BDO

BDO doet zelf ook al een paar jaar onderzoek naar de internet cyberveiligheid van Nederlandse bedrijven en organisaties en publiceert jaarlijks de resultaten. Ook hier komen we nog steeds te veel kwetsbaarheden tegen, zoals zichtbaar gemaakt op de volgende website: BDO - WebScan.

 

Deze onderzoeken doen we ook op individueel bedrijfsniveau. Een onderzoek naar uw cyberveiligheid kan u enerzijds helpen om uw risico’s met betrekking tot cybercriminaliteit te verkleinen, maar is ook nuttig om uw aansprakelijkheidsrisico’s te beperken. Bent u benieuwd wat we voor uw organisatie kunnen betekenen? Neem dan contact met ons op!

 

Drs. Kees Plas, Partner Advisory | BDO Digital

Mr. Micha Groeneveld, Sr. Jurist

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.