Gehackt en hoe nu verder?
De dataroof bij de politie houden de media en de politiek nog steeds bezig. Het is ook geen sinecure, 65.000 e-mailadressen downloaden uit Outlook.
Wat opvalt in de berichtgeving - eigenlijk, wat er totaal in ontbreektĀ - is dat het e-mailadres in meer dan 90% van de gevallen ook je inlognaam is bij beveiligde omgevingen. Daar hoor je niemand over, maar volgens mij zit daar een groot potentieel probleem. Veel sites kennen tegenwoordig tweestapsverificatie, maar dat zal nog lang niet overal het geval zijn. We weten ook allemaal dat het toepassen van sterke en unieke wachtwoorden nog op veel plaatsen te wensen overlaat.
Een ander aspect betreft het kunnen leggen van verbanden tussen de verschillende e-mailadressen. Ongetwijfeld zitten er ook e-mailgroepen tussen de gedownloade informatie. Het walhalla voor iemand die op zoek is naar dwarsverbanden.
In de scheepvaart is het vrij gebruikelijk om met compartimenten de werken, voor het geval er een lek in de romp ontstaat. De vraag is waarom dit principe niet wordt toegepast bij het beheren van e-mailadressen (en andere grote en gevoelige bestanden). Ik kan mij niet voorstellen dat het nodig is dat alle e-mailadressen van alle medewerkers bij de politie voor iedereen beschikbaar moet zijn. Uit oogpunt van beheer is het misschien ideaal, uit oogpunt van beveiliging is het vragen om problemen.
Bij 65.000 gebruikers is er geen sprake van een kans dat iemand per ongeluk een verkeerd mailtje opent, maar van een zekerheid dat het gebeurt.
Wij hebben jaren geleden afscheid genomen van Outlook. Een draak van een pakket. Een zeer grote ergernis was o.a. dat het bijna onmogelijk was om het echte e-mailadres van een mailtje zichtbaar te maken. Een niet onbelangrijk gegeven als je te maken krijgt met phishing e.d. Als je de weergegeven naam vergelijkt met het werkelijk gebruikte e-mailadres weet je dikwijls al voldoende.