It ain’t easy being a CISO. Dagelijks proberen cyberaanvallers om je organisatie binnen te dringen en er met je geld of data vandoor te gaan. En jij moet ervoor zorgen dat ze buiten de deur blijven. Daarvoor heb je technische ondersteuning nodig van je IT-afdeling en financiële ondersteuning van je management. Maar je collega’s hebben het al druk met andere dingen. Wat nu? DMARCSaaS komt je te hulp. In deze post vertellen we hoe je de beveiliging op orde kunt krijgen van het belangrijkste communicatiekanaal van je organisatie: e-mail. En hoe je je collega’s kunt overtuigen van het belang van goede e-mailbeveiliging.
Cyberaanvallers zijn dol op e-mail. Met phishing-mailtjes proberen ze hun slachtoffers zo ver te krijgen dat ze geld overmaken, vertrouwelijke informatie opsturen of een malafide website bezoeken. Phishing is een vorm van social engineering, een onschuldige voor je karretje spannen om je buit te verkrijgen. Social engineering is volgens Verizon’s 2021 Data Breach Investigations Report de meest voorkomende oorzaak van datalekken. En het afgelopen jaar steeg door de opkomst van corona-gerelateerde phishing het aantal geslaagde phishing-pogingen van 25% naar 36%.
Benieuwd hoe zulke phishing-mails eruit zien? Neem dan een kijkje op de site van de Fraudehelpdesk. Daar vind je een overzicht van valse e-mails die nu rondgaan.
E-maildreigingen zijn een serieus probleem, waar ook bedrijven en andere organisaties mee te maken krijgen. De financiële schade kan behoorlijk oplopen. Bekende voorbeelden zijn Pathé en de Belgische Crelan Bank die door e-mailoplichting respectievelijk 19 miljoen euro en 70 miljoen euro kwijtraakten.
Daarbovenop komt de schade aan het imago van je organisatie, waardoor je mogelijk bestaande klanten verliest of nieuwe klanten misloopt. En als een aanval leidt tot een datalek van persoonsgegevens, kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet.
We zetten een aantal veelvoorkomende vormen van e-maildreigingen gericht tegen ondernemingen op een rijtje.
Een collega van de financiële afdeling ontvangt een e-mail die zogenaamd afkomstig is van de CEO of de CFO. Het verzoek: kun je even dit bedrag voor mij overmaken naar deze bankrekening? Helaas is de e-mail niet verzonden door de CEO, maar door de aanvaller. En die bankrekening is ook van hem.
Je inkoopafdeling ontvangt per e-mail een factuur die lijkt te zijn verzonden door een bekende leverancier. Maar net als bij CEO-fraude is de mail in werkelijkheid afkomstig van een aanvaller. Vooral bedrijven in de industriesector zijn een aantrekkelijk doelwit voor deze aanval, omdat die in het algemeen veel facturen ontvangen en een spookfactuur daartussen minder opvalt.
Bij deze aanval doet de aanvaller zich niet voor als de CEO of een leverancier, maar als een medewerker van een advocatenkantoor. Hij probeert op die manier vertrouwelijke informatie te verkrijgen, of gewoon geld. Een aanvaller kan deze tactiek bijvoorbeeld gebruiken wanneer er een overname tussen twee bedrijven gaande is. Hij doet zich dan voor als de advocaat van een van de betrokken partijen.
Ook bij deze aanval ontvang je een e-mail die afkomstig lijkt van een betrouwbare instantie. In dit geval vraagt de aanvaller je niet om geld, maar om persoonlijk gegevens van je medewerkers of klanten die hij kan verkopen.
Dit is het omgekeerde scenario van de hierboven genoemde aanvallen. De aanvaller doet zich nu voor als iemand van jouw organisatie en stuurt je klanten of leveranciers een e-mail waarin wordt gevraagd om geld over te maken, vertrouwelijke gegevens op te sturen of op een link naar een malafide website te klikken. Hoewel jouw organisatie niet direct de dupe is van deze aanval, zorgt het wel voor imagoschade.
Een andere vorm van reputatieschade, met concrete gevolgen voor je organisatie, treedt op wanneer spammers een e-maildomein van je organisatie misbruiken om anderen met e-mail te bestoken. Het domein komt dan op een of meerdere spam-blacklists terecht. Daardoor worden ook e-mail die écht van jou afkomstig zijn tijdelijk geblokkeerd. Je moet dan aan de slag om het domein weer van de blacklists af te krijgen.
In de eerste plaats: zorg ervoor dat je collega’s valse e-mails weten te herkennen en er op de juiste manier mee omgaan. Wijs ze op de gevaren van phishing. Besteed in je security-awarenessprogramma aandacht aan dit onderwerp.
In de tweede plaats: neem technische maatregelen. Spamfilters en antivirussoftware vormen een goede eerste verdedigingslinie die je eenvoudig kunt aanleggen. Deze software kan valse e-mails herkennen door naar de inhoud te kijken. Op basis daarvan kan al een eerste schifting worden gemaakt. Maar aanvallers worden steeds handiger in het om de tuin leiden van deze verdedigingsmechanismen. Dus met alleen spamfilters en antivirussoftware ben je er nog niet.
Een beetje handige aanvaller misbruikt het e-maildomein van een betrouwbare partij (een bank, een klant, een leverancier, een advocaat, je eigen organisatie) om zijn valse e-mails mee te versturen. Als je e-mailbeveiliging serieus neemt, moet je niet alleen naar de inhoud van e-mailberichten kijken, maar ook checken of ze daadwerkelijk verzonden zijn door de veronderstelde afzender. Daarvoor zijn drie uitbreidingen op het originele e-mailprotocol SMTP ontworpen:
Je wilt DMARC, SPF en DKIM niet alleen voor je eigen gemoedsrust toepassen. Als je organisatie een securitystandaard hanteert, ben je in een aantal gevallen zelfs verplicht om ze te gebruiken. Zo zijn overheidsorganisaties verplicht om te voldoen het ‘pas toe of leg uit’-principe van de Baseline informatiebeveiliging Overheid (BIO). In sectie 13.2.3.1 van de BIO staat:
Voor de beveiliging van elektronische (e-mail)berichten gelden de vastgestelde open standaarden tegen phishing en afluisteren op de ‘pas toe of leg uit’-lijst van het Forum. Voor beveiliging van websiteverkeer gelden de open standaarden tegen afluisteren op de ‘pas toe of leg uit’-lijst van het Forum.
Op de ‘pas toe of leg uit’-lijst waarnaar wordt verwezen, staan DMARC, DKIM en SPF als verplichte e-mailstandaarden vermeld. Daarin loopt Nederland overigens niet voorop. In de VS en het Verenigd Koninkrijk moeten overheidsinstanties deze protocollen al wat langer implementeren.
Ook als je organisatie de CIS-securitystandaard implementeert, moet je DMARC, DKIM en SPF toepassen:
7.8: Implement DMARC and Enable Receiver-Side Verification
En hoe zit dat met de bekendste securitystandaard, ISO 27001? De meest recente versie stamt uit 2013. Toen waren DMARC en de andere protocollen net in opkomst, dus in die versie van de ISO-standaard werden ze nog niet vermeld. Maar reken er maar op dat dat in de volgende versie gaat veranderen.
Je kunt DMARC, DKIM en SPF als organisatie zelf instellen, maar dat raden we niet aan. Je hebt er namelijk behoorlijk wat specialistische kennis voor nodig. Niet alleen van de protocollen zelf, maar ook van de IT-systemen die namens je organisatie mail verzenden. Het vraagt flink wat capaciteit van je toch al drukke IT-afdeling en een foutje is eenvoudig gemaakt: een configuratie die niet klopt of een systeem dat over het hoofd wordt gezien.
Bespaar jezelf en je collega’s deze pijn en besteed je e-mailbeveiliging uit aan ons. Met onze managed DMARCSaaS brengen we je e-mailbeveiliging naar de cloud. We beveiligen je inkomende en uitgaande mailverkeer. Niet alleen helpen we je bij het correct instellen van DMARC, DKIM en SPF, maar we blijven je ook daarna ondersteunen. Want dan begint het pas echt. Via overleg en periodieke rapportages houden we je op de hoogte van nodige wijzigingen en mogelijke dreigingen. Je krijgt de effectiefste bescherming tegen spam, phishing, CEO-fraude en blacklisting voor een lage prijs.
Ook dat kun je aan ons uitbesteden. In een aantal andere posts hebben we de voordelen voor je collega’s op een rijtje gezet:
Maar zien is geloven. Laat ons een gratis auditrapportage maken voor jouw organisatie. Daarin brengen we de zwakke plekken in de e-mailbeveiliging van je organisatie in kaart, met de financiële schade waar die toe kunnen leiden. Zo heb je een feitelijk overzicht dat je met je IT-afdeling en je management kunt delen.