vrijdag 6 april 2018

Webmail als potentieel lek


Ik heb al eens eerder geschreven over het door een marter kapot geknaagde ruitensproeier-vloeistoftankje van mijn auto. Het is tijd om die marter nog een keer van stal te halen, maar deze keer gaat het verhaal uiteraard een heel andere kant op.

Voor zover marters kunnen denken: wat zou hij gedacht hebben toen hij z’n scherpe tandjes in dat tankje zette? Waarschijnlijk iets in de trant van: “Ha, lekker!” En met aan zekerheid grenzende waarschijnlijkheid niet: “Als ik dit tankje nu eens kapot bijt, dan loopt het leeg en dan krijgt Patrick zijn voorruit niet meer schoon en dan rijdt hij daardoor misschien wel het kanaal in.” Ik heb het er niet over dat dit waarschijnlijk een veel te complexe gedachtegang voor zo’n beest zou zijn. Waar het om gaat is dat hij noch voorzien, noch bedoeld heeft dat dit allemaal zou kunnen gebeuren. Nee, de marter veroorzaakte dit lek zonder opzet en zonder het te beseffen.

Gek genoeg doen mensen zoiets ook wel eens. Niet met tankjes – wij snappen niet wat zo’n beest daar lekker aan vindt. Wij lekken data. Of we creëren op z’n minst de mogelijkheid om dat te doen. Net zo onbedoeld en onvoorzien als bij die marter.

Neem nou zoiets onschuldigs als webmail. Hartstikke handig om vanaf elke gewenste computer even je mail te checken. Stel nou eens dat je je privé-mailaccount via het bedrijfsnetwerk zou mogen benaderen. Lekker handig toch? Of je je mail nou tussendoor even op je mobiel of op je laptop leest, dat maakt toch niets uit? Dat klopt – in (spreekwoordelijk) achtennegentig procent van de gevallen. Eén procent wil ik reserveren voor de mogelijkheid om via je privémail ongewenste inhoud, zoals virussen, binnen te halen. En die laatste procent blijft over vanwege de mogelijkheid die je hebt om mail niet alleen te ontvangen, maar ook te verzenden. Ziedaar het potentiële datalek. En de term ‘datalek’ moet je in deze context breder zien dan binnen het kader van de privacywetgeving (AVG): het gaat ook om vertrouwelijke bedrijfsgegevens (over/van de organisatie zelf).

Je zou via webmail dus bedrijfsgegevens naar buiten kunnen brengen. Maar dat kan toch ook gewoon via de mailserver van de organisatie, zie ik je denken? Klopt, maar het verschil is dat webmail geheel buiten onze controle valt. Bij gebruik van de mailserver kunnen we ervoor zorgen dat bepaalde mail niet wordt verzonden en hebben we in ieder geval nog logging waardoor we, indien nodig, de gang van zaken kunnen reconstrueren. We zijn nu eenmaal een grote organisatie en hebben statistisch gezien recht op een x aantal zwarte schapen die moedwillig foute dingen doen. Daarnaast hebben we een y aantal ‘marters’ in dienst: collega’s die niet beseffen dat ze iets doen wat mogelijk riskant is. Ongetwijfeld geldt
y > x, maar dat maakt voor de mogelijke gevolgen niets uit.

En daarom is het gebruik van webmail niet toegestaan. Zodoende beschermen we niet alleen de organisatie, maar ook haar medewerkers. Ruitensproeiervloeistof en plastic zijn waarschijnlijk niet zo gezond voor marters; ze kunnen ziek worden doordat ze iets hebben gedaan wat niet mocht. Net zoals medewerkers in de problemen kunnen komen door middelen te gebruiken die schadelijk kunnen zijn voor de organisatie.

En in de grote boze buitenwereld …


... staat een zoekmachine met gelekte Nederlandse wachtwoorden op internet.
https://www.nu.nl/internet/5208704/zoekmachine-met-miljoenen-nederlandse-wachtwoorden-online-verschenen.html

... wordt de privacy van Windowsgebruikers binnenkort veel beter gerespecteerd, zegt de privacywaakhond.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-van-windows-gebruikers-sterk-verbeterd-na-onderzoek-ap

... is er sinds kort een nieuwe alternatieve DNS beschikbaar die meer privacy belooft.
https://nakedsecurity.sophos.com/2018/04/05/cloudflares-1-1-1-1-promises-to-make-dns-more-secure/

... zouden maximaal negentig duizend Nederlanders getroffen zijn door het schandaal rondom Facebook en Cambridge Analytica.
https://nos.nl/googleamp/artikel/2225835-dataschandaal-cambridge-analytica-treft-mogelijk-90-000-nederlanders.html

... zijn niet alle VPN’s even betrouwbaar.
https://www.theregister.co.uk/2018/03/29/almost_a_quarter_of_vpns_tested_leak_ip_addresses

... krijgen ook organisaties buiten de EU te maken met de Algemene Verordening Gegevensbescherming (of General Data Protection Regulation). Facebook heeft gezegd dat ze de AVG niet wereldwijd implementeren.
https://www.theverge.com/platform/amp/2018/4/3/17194504/facebook-mark-zuckerberg-gdpr-privacy-protections-europe

... is een nieuwe Britse standaard verschenen over ‘cyber risk and resilience’.
https://cloudblogs.microsoft.com/microsoftsecure/2018/04/04/announcing-new-british-standard-for-cyber-risk-and-resilience/

... steekt de Chrome-browser een stokje voor cryptomining.
https://arstechnica.com/gadgets/2018/04/google-bans-cryptomining-chrome-extensions-because-they-refuse-to-play-by-the-rules/

... scant diezelfde browser jouw computer op de aanwezigheid van malware.
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool

... maakt concurrent Firefox het Facebook moeilijker om te snuffelen.
https://www.grahamcluley.com/firefox-users-can-now-isolate-their-facebook-identity-from-the-rest-of-the-web/

... moeten mensen, die een visum voor de VS aanvragen, binnenkort ook vertellen welke social media-accounts, telefoonnummers en e-mailadressen ze de laatste vijf jaar hebben gebruikt.
https://www.engadget.com/2018/03/29/us-visa-applications-require-social-media-info/

... kan een typfoutje je duur te staan komen.
https://krebsonsecurity.com/2018/03/omitting-the-o-in-com-could-be-costly/


Gepost door op
Labels: , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)