Een Radicaal Idee om E-mailveiligheid te Verbeteren!?

Ik loop al een tijdje met een idee rond. Misschien een radicaal idee, want in mijn optiek is dit niet zomaar uit te voeren. Maar toch knaagt het stemmetje: “Wat nu als het wel werkt?”

Als je als IT’er op LinkedIn kijkt, zie je veel IT-security professionals die aangeven dat meer dan 90% van alle aanvallen uit een e-mail voortvloeit. Schokkend? Voor mij inmiddels niet meer. Maar hoe mooi zou het zijn als we dit percentage kunnen verlagen? Technische beveiliging en medewerkers weerbaar maken door middel van phishingcampagnes zijn al hele mooie initiatieven en mijns inziens noodzakelijk. Maar kunnen we als organisatie niet meer doen? Met mijn idee denk ik van wel, hoewel het niet direct makkelijk in te richten is. Kunnen we het dan in kleine stappen uitvoeren? Ik denk dat we daarmee een eind kunnen komen.

Ik bedoel hiermee niet dat we moeten stoppen met e-mailen. E-mail is een handig communicatiemiddel. Maar ik vraag me steeds vaker af bij een mailtje dat ik ontvang: “Moest dit echt gemaild worden?”

Een Stukje Geschiedenis

In het oude Outlook Express had je een maximum van 3GB (de precieze limiet kan iets verschillen) dat Microsoft ondersteunde. Mogelijk omdat het programma zijn limieten kende. Maar een tekstdocument als dit neemt niet meer dan een paar KB in beslag. Dus als je een mailbox naar de 3GB vol kon krijgen, dan is dat wel echt veel mailtjes. Zeg eens eerlijk, wie gebruikt zijn mailbox als archief? En wie gebruikt veel bijlagen in zijn communicatie?

Vanuit mijn rol als MSP wil ik altijd kijken naar hoe het beter kan. Op vele vlakken kan ik al ondersteuning bieden en de inrichting maken waardoor bedrijven efficiënt aan het werk zijn. Het onderdeel mail blijft een belangrijke basis in ons werk. Om dat te veranderen, is een heel ander inzicht in onze werkwijze erg belangrijk. Er zijn inmiddels heel veel samenwerkingstools. Kunnen we die niet combineren met elkaar?

Voorbeeld uit de Praktijk

Toen ik mijn eerste huis kocht, had ik via de mail contact over een afspraak, een Zoom- of Teams-meeting als uitnodiging, en ons kennismakingsgesprek was een feit! Hier zat geen belangrijke informatie in, dus als je die mailtjes had onderschept, had je een link naar een afspraak te pakken. Het enige spannende was het klikken op de link, maar dan kijk ik toch naar de security experts om daarop de medewerkers te trainen. Want nogmaals, ook met mijn idee zal dit nooit 100% weg zijn.

Na een succesvolle meeting moest ik een aantal documenten aanleveren. Omdat het best wel belangrijke documenten waren, ging dit niet via de mail. We hadden een portaal waarbij ik de zaken kon uploaden. Ik vond dit fantastisch. Na een veilige inlog kon ik alles netjes uploaden. Geen mail! (Dus die paspoort, rekeningnummers, overlijdensrisico vragenlijst etc. gingen niet via de mail.)

Als ik hierover nadenk, kunnen we dit toch ook toepassen op zakelijke samenwerkingen? Een instructie gemaakt van het nieuwe systeem? Die kan je toch in een Teams-kanaal zetten? Maar hoe krijgt iedere betrokkene dan een update? Dat kan via datzelfde kanaal, of (omdat we er zo aan gewend zijn) via de mail. Maar dan niet die bijlage meesturen, maar netjes aangeven:

“Hi all,
De nieuwe instructie is af en staat online. Zie ons gezamenlijke kanaal: systeem X.
Groeten, Nick”

Hierdoor maken we de e-mail een ter-info-tool en staan de belangrijke zaken op een gedeeld kanaal.

Externe Partijen

Maar Nick, dat is wel leuk, maar hoe gaan we om met externe partijen?

Wat dat betreft ben ik heel eerlijk: daarin ben ik nog een beetje aan het zoeken. Toch speelt bij mij wel een aantal ideeën. In mijn voorbeeld van het kopen van ons eerste huis is het toch gelukt een veilige omgeving te realiseren. Weliswaar vanuit de partij waar ik contact mee had.

Zakelijke relaties hebben veelal wel een Microsoft-account. Concurrenten als Google Cloud zullen vergelijkbare tooling hebben, echter ben ik daar geen expert in. Ook ligt het aan wat er gestuurd moet worden of dit wel of niet toepasbaar is. Voor projecten waar je samen met externen werkt, zijn er mogelijkheden voor een “shared” kanaal waar externen ook uitgenodigd kunnen worden.

En de vluchtige contacten? Denk aan een offerte van een externe partij? Is het niet een mooie gedachte als die partij hier ook over nadenkt? Net zoals jij nadenkt over het versturen van informatie naar een derde partij, zou het heel fijn zijn als die derde partij dit ook doet. Wat nu als ze je een portaal geven waar je je offerte kunt ophalen? Net zoals mijn hypotheekadviseur! Maar stel nou dat die nog niet zover zijn, ben je dan helemaal overgelaten aan e-mail?

Niet helemaal. Microsoft SharePoint heeft ook (per pagina moet dit ingesteld worden) een request files-functie waarbij je een link stuurt via de mail (ja, die blijft wel terugkomen) waarbij de ontvangers bestanden kunnen uploaden. Afgezien van de link die daardoor steeds belangrijker wordt, heb je geen directe verzending van bestanden via de mail.

Conclusie

Hoe denk jij hierover? Kunnen we met z’n allen een stuk minder mailen met elkaar? Waardoor je bijna ieder mailtje met bijlage een stuk verdachter vindt ogen? Waardoor je sneller op die knop drukt: “Dit is phishing!” of dat je je collega attendeert op het feit: “We hebben hiervoor een kanaal ingericht, graag daar plaatsen en mij op de hoogte brengen.”

Hoe kijk jij hier tegenaan?

“Nick, je hebt een roze bril op, vergeet het!”

of

“Nick, goed doel, maar ik heb een situatie, hoe zie je dat dan voor je?”

Ik denk graag met je mee. Let wel, Ik kan met mijn (roze brillen) idee echt niet 100% halen. Dat wil zeggen dat jij misschien een uitermate valide onderdeel hebt waarvoor mailen echt the way to go is…. Voor nu, want hoe mooi zou het zijn om samen te kijken naar een oplossing?
Tot die tijd, denk ik dat we met bovenstaande voorbeelden al een daling kunnen genereren met elkaar? Die 90%+ moeten we toch kunnen laten zakken met z’n allen? Want dat creëert mijns inziens een sneeuwbaleffect. Minder bestanden mailen = eerder duidelijk dat een phisher wat probeert = kleiner aanvalsoppervlak = niet lonend om te proberen te mailen. Zonder al dat ruis valt een phisher natuurlijk eerder op!

Wat denk jij?

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *