De schade van e-mail (Cyberonderzoeksraad)
E-mail is een populair middel om informatie te versturen, maar het maakt organisaties zeer kwetsbaar. De mailbox is vaak verworden tot een onsamenhangend archief met hierin de jarenlange historie van organisaties, iets waar het in wezen niet voor is bedoeld.
Onder de werktitel Cyberonderzoeksraad hebben Ritger Teunissen, Mischa van Geelen en Anne Jan Brouwer dit onderzocht. In het grote onderzoek dat een jaar heeft gelopen is gekeken naar de gevoeligheid van e-mail. Meer dan 70 domeinnamen die op andere domeinen lijken, werden geregistreerd. Vervolgens werd gewacht op binnenkomende berichten. Er bleken ruim 15.000 e-mails binnen te komen. Na het filteren van spam en virussen bleven er zo’n 3.100 relevante berichten over.
Tussen deze berichten zaten gevoelige zaken als processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, bestellingen (zelfs voor spionageapparatuur), vorderingen, departementaal vertrouwelijke stukken en meer.
Het versturen van persoonsgegevens naar de verkeerde ontvanger blijkt uit de cijfers van de Autoriteit Persoonsgegevens met 64% van alle datalekken het grootste probleem. Ons onderzoek bevestigt dit beeld: tikfouten worden veel gemaakt en gevoelige data landt eenvoudig in de verkeerde handen. Lees het rapport op mijn website.
Helping companies deliver secure software faster | UK&I and Nordics
5yWat een leuk onderzoek en opmerkelijk resultaat. Look-a-like domeinnamen is een van de geliefde middelen die bad-actors inzetten in spoofing attacks. Security Awareness, een fatsoenlijke Secure Email Gateway en look-a-like domain discovery zijn maatregelen die bedrijven kunnen nemen om de risico's tegen te gaan.
met sabbatical, mogelijk gemaakt door het Algemeen Burgerlijk Pensioenfonds en de Sociale Verzekeringsbank
5yHet is daarom hoogst merkwaardig dat de overheid de naam Digi-D inpikt, de houder van de naam weigert fatsoenlijk te compenseren en zo de burger jarenlang de gelegenheid geeft berichten naar een verkeerd adres te sturen: http://www.onderzoeksredactie.fhj.nl/onderzoek/jarenlang-digid-inloggegevens-binnenkrijgen-dat-kan/
Je bent weer goed bezig Brenno!
directeur Bureau Integriteit DJI | buitenpromovendus RU Nijmegen | jurist & bestuurskundige in risicobeheersing
5yVoor dit probleem - ook wel ‘typosquatting’ genoemd - kan niet voldoende aandacht zijn. Ik ben benieuwd of er ook ‘lookalike’ overheden in de lijst van domeinnamen zijn opgenomen. In 2013 schreven Francisco Dominguez Santos en ik een artikel in het magazine Security Management: ‘Spioneren voor een tientje’ (juni 2013, p. 42-45).