Onzinnige IB maatregelen – email disclaimers

maart 26, 2010 at 10:04 am (Columns) (, , )

In het kader van, omdat het kan, het eerste deel van mijn nieuwe en onregelmatig te verschijnen serie columns waarin ik onzinnige (lees: nutteloze) informatiebeveiligingsmaatregelen van dichtbij bekijk. Vandaag: de emaildisclaimer.

Je ziet ze (nog) steeds, de disclaimer onder emailberichten. Daarin tref je allerhande opmerkingen aan die de kracht van de boodschap proberen teniet te doen. Of ze stellen dat je – als je het bericht ten onrechte hebt ontvangen – de afzender moet informeren en verder niets met de gegevens mag doen, behalve het mailtje verwijderen. Ik zal ze beiden behandelen.

De disclaimer die alle gedane uitspraken in het bovenstaande bericht ongeldig maakt is volgens mij verouderd. Inmiddels gaat het grootste deel van de afspraken per email, waardoor deze variant van de disclaimer geen bestaansrecht meer heeft. Daarnaast is het een belediging van de ontvanger. Immers, deze neemt de gelegenheid en tijd om je emailbericht te lezen, terwijl jij onderaan het mailtje de (ongetwijfeld juridisch correcte) mededeling plaatst dat hij in feite zijn tijd zat te verdoen. Beter is het dan om de disclaimer bovenaan het bericht te zetten: trek je niets aan van hetgeen hieronder staat, je kunt er immers toch geen rechten aan ontlenen. Een ontvanger kan het bericht dan direct weggooien en verspilt zo niet meer tijd dan nodig is.

De andere variant van de disclaimer gaat er kennelijk van uit dat de afzender erg veel fouten maakt bij het versturen van emails, anders had hij hiervoor nooit een mooie standaardtekst opgesteld. Toch is het een raar verhaal. Je ontvangt een bericht, je opent het en leest het. Gaandeweg trek je de conclusie dat het niet voor je bestemd is. Onderaan lees je dat je het bericht niet had mogen lezen en dat je er niets mee mag doen. Maar je moet wel de afzender informeren. Van deze disclaimer kun je stellen dat hij overbodig is. En: “What has been seen cannot be unseen”. Een organisatie die zijn processen op orde heeft verstuurt geen structureel verkeerd geadresseerde emailberichten. Bedrijven die deze disclaimers nodig denken te hebben kunnen beter hun energie in andere zaken steken.

Mijn conclusie: disclaimers onder (of boven) emails zijn overbodig. Vaak worden ze pas op de mailserver automatisch aan berichten toegevoegd en ziet de opsteller van het bericht ze niet eens. Daarmee verdwijnt zelfs het laatste beetje nut van deze bits en bytes.

Advertenties

Permalink Geef een reactie

Digitale certificaten

maart 11, 2010 at 11:43 am (Privacy, Techniek) (, , , , )

Certificaten, vertrouwelijke mail, digitale handtekening. Veel organisaties willen hun emailverkeer beveiligen. Hier zijn genoeg producten voor in de markt. Veel van deze oplossingen gaan voorbij aan sleutelbeheer en beheer van de opgeslagen informatie. Dat zijn belangrijke punten voor een bedrijf. Men wil zeker weten dat een vreemde niet uit naam van het bedrijf boodschappen kan versturen. En het is ongewenst als oude berichten niet meer geopend kunnen worden omdat de sleutel ongeldig is. Voor deze problemen is er wel een oplossing.

Met behulp van de Public Key Infrastructure (PKI) techniek kan een bedrijf een hoofdsleutel (root certificaat) aanmaken. Alle andere sleutels stammen af van deze hoofdsleutel. Een medewerker heeft zijn sleutel bij zich op zijn computer, in zijn profiel op het netwerk of vastgelegd op zijn toegangspas. Zodra hij een vertrouwelijk emailbericht wil versturen, dat onderweg niet mag worden gelezen, moet hij het bericht versleutelen met zijn geheime sleutel en de publieke sleutel van de beoogde ontvanger. Als de ontvangende partij geen publieke sleutel heeft kan het bericht niet eenvoudig worden versleuteld. Een digitale handtekening met de waarborg dat het bericht niet werd gemanipuleerd is wel mogelijk. Dan heeft de afzender alleen zijn eigen sleutel nodig.

Bij sleutelbeheer hoort ook het intrekken van sleutels. Sleutels kunnen worden ingetrokken omdat ze zijn gecompromitteerd (in handen gekomen van derden) of omdat de medewerker is vertrokken. Door de sleutel of het certificaat ongeldig te verklaren krijgt de ontvanger van een bericht, dat met een ingetrokken sleutel is verzonden, een melding dat de sleutel niet correct is. Aan de inhoud hoeft dan nog niets veranderd te zijn.

Een nachtmerrie voor bedrijven (en een reden dat encryptie nog niet populair is) ontstaat als blijkt dat belangrijke bestanden zijn versleuteld en de code om alles te decoderen niet bekend is. Door met organisatiecertificaten te werken is dit probleem te omzeilen. Binnen certificaten kunnen hiërarchische overervingsstructuren worden gemaakt. Dat wil zeggen dat een bestand, versleuteld met een certificaat van de laagste orde, door het certificaat van één tree hoger kan worden ontsleuteld. Op deze wijze is de toegang tot historische data gewaarborgd, zelfs na het intrekken van (vervallen) sleutels en certificaten.

Permalink Geef een reactie

Hoax

oktober 26, 2009 at 10:38 am (Oplossingen) (, , , )

Het was al weer een tijdje rustig op het hoax-front, zeker nu de Nigerianen door hun eigen landgenoten worden opgepakt. Gelukkig is Kassa van de Vara niet te beroerd om als bron voor de ‘Postcard From Hallmark‘ hoax te dienen. De waarschuwing voldoet aan alle kenmerken van een valse melding:
– NEEM HET VOLGENDE VOORAL ZEER SERIEUS
– Het virus (welk virus?) richt grote schade aan in je computer
– Verspreiding moet door de mens worden gedaan
– Het verwijst naar vage ‘officiële’ bronnen (CNN, Microsoft, McAfee)
– Het meest vernietigende virus ooit
– Geen reparatiemogelijkheden
– Geen datum vermeld waarop het virus herkend werd
– Geen naam van het bestand zelf
– Geen virusnaam bekend
– Geen verwijzing naar betrouwbare bronnen waar een en ander te verifiëren is

Hoaxes, als je die doorstuurt ben je zelf de verspreider van het virus.

Permalink Geef een reactie