Email is geen brief | onveiligheid van e-mail

E-mail is geen veilige communicatievorm. Informatiebeveiligingsdeskundige Chris van den Hooven schreef daar onlangs een mooi artikel over en gaf mij toestemming het op deze site te publiceren. Het artikel verscheen eerder hier.


Email is geen brief

22 juni 2019

Chris van den Hooven
Helping organisations managing
their information related risks

Afgelopen weekend las ik een pleidooi van een arts om te stoppen met “al dat moeilijke gedoe van cybersecurity”. Het was veel te moeilijk geworden om patiëntgegevens met een collega uit te wisselen. Toestemming, encryptie, … Vroeger, met brieven, deden we ook niet zo moeilijk, terwijl een postbode de brief heus wel had kunnen openen. Dat gebeurde nooit, dus waarom zou dat met email ineens een probleem zijn!?

De arts ziet overeenkomsten tussen post en email. Ik zie vooral verschillen:

Een brief is fysiek. Het is een ding dat je kunt vasthouden en doorgeven. Zodra je hem doorgeeft ben je hem kwijt. Als je hem vernietigt is hij weg. Je kunt hem niet met honderden mensen tegelijk lezen. Een email is niet fysiek. Je kunt het niet vasthouden en doorgeven werkt anders dan in de fysieke wereld. In de cyberwereld wordt er een kopie gemaakt. Een kopie die niet te onderscheiden is van het origineel. Denk maar eens aan de map “verzonden berichten”. Je bericht is verzonden, maar niet weg. Het is gekopieerd. Maar waar naartoe eigenlijk?

Stel dat ik een arts ben met een kleine praktijk en ik stuur een email naar een arts in een groot ziekenhuis. Het is dan niet onwaarschijnlijk dat ik als kleine zelfstandige een internet met email abonnement afneem bij Ziggo of KPN. Het ziekenhuis heeft wellicht zijn email bij Google of Microsoft. Als verzender heb ik geen idee hoe mijn ontvanger het heeft geregeld.

Ik typ een email op mijn PC met Outlook en druk op send. De mail wordt nu verzonden naar mijn mailprovider. In de meeste gevallen gebeurt dat versleuteld, maar deze versleuteling is alleen voor de overdracht. Bij de provider aangekomen is het bericht niet meer versleuteld. De provider leest waar het bericht naartoe moet en stuurt het door. Ook hier weer niet zoals met een brief, maar er wordt weer een kopie gemaakt. Omdat de provider niet in het nieuws wil komen met een bericht dat hij “alles kwijt is”, maakt de provider een backup, een kopie. Voor de zekerheid wordt op een tweede plaats ook een backup bewaard. Er zijn nu al vier kopieën en het bericht heeft de geadresseerde nog lang niet bereikt.

Mijn email wordt door de provider doorgestuurd naar de mailserver van de ontvanger. Het zou kunnen, maar het is niet waarschijnlijk, dat de server van mijn provider een rechtstreekse netwerkverbinding heeft met de server van de ontvanger. Het is waarschijnlijker dat er meerdere “hops” zijn. Hier wordt mijn bericht ontvangen, gekopieerd en doorgestuurd naar de volgende “hop”. De route is onvoorspelbaar. Mijn bericht wordt gekopieerd op plaatsen waarvan ik het bestaan niet eens ken. Zo is er twee weken terug een twee uur durende periode geweest waarbij een hoop internetverkeer via China werd gerouteerd. Een bericht van een Nederlandse afzender, naar een Nederlandse ontvanger ging via China.

Mijn email komt uiteindelijk aan bij de server van de ontvanger, bij een grote provider. Deze bedrijven staan erom bekend zelf “mee te lezen”. Ze doen dat om advertenties te kunnen verkopen. Voor de betalende klanten, zoals het ziekenhuis, beloven ze dat niet te doen. In het verleden hebben ze dat echter wel gedaan en in de toekomst zouden ze het weer kunnen gaan doen. Gebruiksvoorwaarden en gedragscodes veranderen continu.

De mail zal niet van hun servers verdwijnen, zelfs niet als de arts in het ziekenhuis op delete klikt. Het is best mogelijk dat de mail in de toekomst alsnog wordt omgezet in een dossier over mij, een dossier over u als patiënt en een dossier over de collega van het ziekenhuis. Natuurlijk verkoopt de provider dan zijn dossiers.

E-mailen is massaal kopiëren. Dat kon de postbode onmogelijk hebben gedaan.


Andere artikelen op dit blog over de onveiligheid van e-mail zijn via deze tag te vinden.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s