post

Veel communicatie verloopt tegenwoordig via de mail. Dat is op zich niet zo verwonderlijk, de e-mail heeft de gebruikers veel te bieden: het bericht bereikt de ontvanger binnen een paar seconden, het wordt automatisch opgeslagen in de map verzonden mails en e-mailen kan overal (mits er maar een internetverbinding is). Toch zitten er ook wat haken en ogen aan: wie mailt verwacht wellicht een gesloten enveloppe te versturen/ontvangen, maar het is prima mogelijk dat het bericht als ansichtkaart het netwerk overgaat.

Om te beginnen is het van belang om op te merken dat e-mail – net als het internet – niet bedoeld was om door grote hoeveelheden mensen te worden gebruikt. Toen de e-mail werd ontwikkeld, had het creëren van de technische mogelijkheid de voornaamste prioriteit: het was dan ook een uitvinding van formaat toen het mogelijk werd om berichten over te brengen naar computers binnen het netwerk. De beoogde gebruikers waren wetenschappers en de beoogde content van de mails was minimaal. De infrastructuur van de e-mail was daarom afgestemd op deze gebruikers en gebruiksdoeleinden. Voor een tijdlijn van de e-mailontwikkeling verwijs ik graag naar een artikel van The Guardian (maart 2016).

De verzender, de ontvanger en de servers…
Om de veiligheidsrisico’s van de e-mail beter te begrijpen, is een kijkje onder de motorkap noodzakelijk. In beginsel kan een mail worden verzonden door de overdracht van het bericht tussen de server van de verzender en de server van de ontvanger. Deze eenvoudige route is echter geen standaard: zowel de server van de ontvanger als de server van de verzender realiseren vaak omleidingen. Deze omleidingen kunnen erg nuttig zijn: door het bericht naar een “controleserver” te sturen en bijvoorbeeld mails van bepaalde afzenders in quarantaine te plaatsen, kan een extra veiligheidswaarborg worden ingebouwd. Maar het is ook zo dat des te meer omleidingen er zijn, des te meer er beveiligd moet worden en dus ook des te meer veiligheidsrisico’s er zijn.

Beveiligingslagen en beveiligde verbindingen
Digitale veiligheid kan slechts aanwezig worden geacht als de beveiliging op verschillende niveaus goed is en er rekening is gehouden met de aanwezige en mogelijke verbindingen. Eén van de niveaus is het berichtniveau: door het bericht met een TLS-versleuteling uit te rusten, is het bericht beveiligd. Stel dat iemand de lijn uitleest en het bericht onderschept, dan is nog altijd de inhoud van het bericht niet makkelijk waar te nemen.[1]

Dat is anders als de server van de verzender of de ontvanger meerdere omleidingen realiseert en deze omleidingen de versleuteling verwijderen en géén nieuwe versleuteling op het bericht zetten. In dat geval kan de uitlezer van die lijn de berichten eenvoudig waarnemen na het onderscheppen. Zelfs als de server van de verzender alle omleidingen met een TLS-versleuteling heeft uitgerust, biedt dit geen enkele garantie voor de aanwezige of ontbrekende beveiligingen op de server(s) van de ontvanger.

Op transportniveau kan nog worden gedacht aan een VPN (Virtual Private Network). Als alle servers van de verzender binnen de VPN vallen, kan worden aangenomen dat een buitenstaander überhaupt met veel moeite / haast onmogelijk toegang kan krijgen tot de informatie die via de VPN-tunnel wordt verzonden. Maar ook een VPN dwingt geen beveiligingsmaatregelen af bij de ontvanger: het is tot aan de buitendeur van de verzender veilig, maar wordt daarna afhankelijk van de beveiliging van de ontvanger.

PGP
Er is nog wel een andere oplossing, maar die dwingt de ontvanger tot maatregelen: PGP. Het is mogelijk om een bericht op berichtniveau te versleutelen met behulp van een code. Deze code versleutelt het bericht en maakt deze onleesbaar voor een onbevoegde die de lijn uitleest. Slechts de beoogde ontvanger kan met een unieke code de versleuteling verwijderen en de inhoud van het bericht waarnemen.

Dit klinkt wellicht makkelijk: de afzender zet er een slot op en alleen de ontvanger beschikt over een sleutel om het slot eraf te halen. Eigenlijk is dat het ook wel, maar de afzender moet eerst sleutels bemachtigen voordat een verzender een versleuteld bericht kan versturen. De wens van beide partijen is derhalve leidend: hebben zij allebei sleutels, dan kunnen ze de berichten versleutelen; maar heeft maar één van de twee sleutels, dan kan deze niet eenzijdig een versleuteld bericht overbrengen.

Tot slot
De wens van beide partijen om veilig te communiceren, is een belangrijke uitdaging voor het veilig e-mailen. De mogelijkheid om die wens te hebben, begint met kennis over de risico’s van de e-mail, want waarom zou iemand PGP gebruiken als e-mail een veilig communicatiemiddel lijkt? Er zijn nog altijd e-mails met het woord VERTROUWELIJK in het onderwerp, terwijl men min of meer een ansichtkaart verstuurt en op de ansichtkaart VERTROUWELIJK noteert…

De juridische uitdagingen
De juridische uitdagingen van deze digitale communicatiemogelijkheden groeien enorm. De mogelijkheid om passende technische en organisatorische maatregelen (Wet bescherming persoonsgegevens / Algemene Verordening Gegevensbescherming) te treffen is afhankelijk van o.a. de IT-kennis van de verantwoordelijke, maar zoals hierboven is weergegeven zijn de maatregelen van de ontvangende partij ook van groot belang.

Als de verzender een bestuursorgaan is of een (rechts)persoon met geheimhouding, kan het nog een interessante discussie opleveren wanneer men gaat praten over de verantwoordelijkheid van de verzender voor de risico’s van de (wellicht onwetende) ontvanger.

[1] Grote e-mailaanbieders hebben veelal standaard een TLS-versleuteling op berichtniveau.

Laatst gewijzigd: 15 maart 2017
Dit artikel is geschreven door Derya.