Email

Privé email en Staatsgeheimen

In Beveiliging by Ed Muylkens

Deze blog neemt een kijkje in de manier waarop overheidsambtenaren privé email gebruiken om met staatsgeheimen om te gaan.

Privé mailaccount Minister Kamp gehackt

Recent werd bekend dat het Minister Kamp van Economische Zaken in 2014 aangifte heeft gedaan van het feit dat zijn privé email account in 2014 is gehackt. Volgens het Openbaar Ministerie is er “zeer waarschijnlijk sprake geweest” van inbreuk in de privé email. De hack heeft plaats gevonden door middel van phishing. Een methode die cybercriminelen inzetten om persoonlijke gegevens van een gebruiker te verkrijgen. In dit geval het email wachtwoord.

Minister Kamp blijkt een deel van zijn werkmail via een privé email adres van Google (Gmail) af te handelen en hierop ook allerlei mails van collega’s te ontvangen. In tegenstelling tot wat de NOS vermeldt, is het doorsturen van departementale mail naar een privé email adres niet in strijd met de verplichte richtlijnen waar overheidsdiensten zich aan moeten houden, de Baseline Informatie Beveiliging Rijksdienst, BIR 2012. De BIR 2012 richtlijn vermeldt duidelijk dat de verantwoordelijke medewerker zelf dient te bepalen of bepaalde informatie naar een privé mail adres kan worden doorgestuurd. Automatisch doorzending van alle mail naar privé email of andere onveilige omgeving is daarom niet toegestaan omdat dan niet per bericht door de medewerker beoordeeld kan worden of de informatie wel naar een voldoende veilige omgeving kan worden gestuurd.

Ook Hillary Clintons prive mailserver gehackt

In Nederland is niet duidelijk of er geheime documenten door Minister Kamp worden verwerkt via GMail. In de USA daarentegen ligt presidentskandidaat Hillary Clinton al geruime tijd onder vuur nadat bekend is geworden dat ze een eigen onveilige privé emailserver heeft gebruikt voor het lezen en sturen van zeer vertrouwelijke overheidsberichten. Onderzoek door de FBI leert dat Hillary extreem geheime informatie (niveau “Special Access Program”, dat ligt nog boven Top Secret) via een onveilige eigen mail server heeft gestuurd van 2009 tot 2013. Daarbij heeft ze diverse wetten overtreden.

Naarmate het nog steeds lopende FBI onderzoek vordert, wordt de vraag steeds relevanter wie precies toegang had tot de informatie op de eigen onveilige email server. Zo is recent de Roemeense hacker Guccifer abrupt uitgeleverd aan de USA nadat hij bekend had gemaakt diverse malen Hillaries emails op de server te hebben bezocht en gelezen. Guccifer gaf aan dat het hem weinig moeite kostte om de mailserver te hacken. Terwijl Guccifer bezig was zag hij dat ook andere hackers uit wel tien verschillende landen tegelijk bezig waren op Hillaries mailserver. Ook Russische hackers hebben mails opgehaald.

Omdat de Amerikaanse overheid aangeeft geen bewijs te kunnen vinden voor misbruik van email door Hillary, heeft het Kremlin aangeboden 20.000 gehackte emails vrij te geven aan het ministerie van Buitenlandse Zaken, zo meldt rechter Andrew Napolitano aan Fox News’ Megyn Kelly in een interview voor The Kelly File. In de week van 16 mei wordt Hillary verder ondervraagd door de FBI. Het feit dat Rusland bereid is om zoekgeraakte mails alsnog aan te leveren helpt haar case niet.

De belangrijkste lessen die hieruit zijn te trekken zijn:

1.    Gebruik geen privé mail voor vertrouwelijke werkzaken
2.    Zorg voor ruim voldoende beveiliging van de emailserver en encryptie op de mailserver
3.    Gebruik sterke wachtwoorden voor elk mailadres
4.    Neem de beschermingsmaatregelen tegen phishing nog eens door

Deel deze pagina