Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

E-mail verdient meer aandacht

  • Door
  • Rashid Niamat
  • geplaatst op
  • 18 april 2013 08:01 uur

The European Network and Information Security Agency (ENISA)Inmiddels heeft ongeveer heel Nederland wel door dat op internet net als in de gewone fysieke wereld sprake kan zijn van enorme overlast en criminaliteit. Een tsunami van kwaadaardige incidenten heeft de laatste tijd aangetoond dat de dienstverlening van banken, de overheid en zelfs de spoorwegen hierdoor ontwricht kan raken.

In de pers is de meeste aandacht tot op heden uitgegaan naar de directe schade die ontstaat als er niet besteld of niet betaald kan worden via internet. De indirecte schade, zoals het imago en vertrouwen in algemene zin, blijft iets meer op de achtergrond.

Voor het gemak wordt in de pers gedaan alsof websites gelijk zijn aan het internet. Hierdoor blijft een aantal andere zwakheden onderbelicht. Zelfs nu, in de fase waarin zoveel banken onder vuur liggen en wordt geschreven over het bestaan van botnets als technische basis van de overlast, is de aandacht die media besteden aan het verschijnsel e-mail toch wel opmerkelijk gering.

De meeste hosters zullen bij e-mail denken aan een dienst die redelijk eenvoudig is op te zetten en te beheren. Wat AV maatregelen, goede spamrules en de dienst is klaar voor de klant. De klant is verder zelf verantwoordelijk voor de inhoud van zijn mailboxen ( terecht ook!). Daarmee lijkt het een dienst die af is, je levert het, verdient er aan en bijna iedereen is tevreden.

Bij iedereen, want er wordt wel terdege onderzocht of e-mail niet beter kan en moet. Bijna onopgemerkt heeft Enisa reeds in januari van dit jaar gewezen op de fundamentele zwaktes van mail en geconcludeerd dat: In the long term, industry, government and businesses should investigate alternative communication channels which better protect users from spoofing or phishing (PDF link)

In de optiek van Enisa verdient e-mail het op termijn vervangen te worden omdat het gewoon té onveilig is voor bepaalde vormen van dienstverlening. Die opmerking heeft niets te maken met de rol die e-mail vervult in het verspreiden van malware en dergelijke. Het gaat hier om de constatering dat de inherente onveiligheid steeds vaker onverenigbaar zal blijken te zijn met integriteit en betrouwbaarheid van meldingen.

Ergens is dit geen nieuws. PGP, PKI en dergelijke zijn al jaren beschikbaar en kunnen bijdragen mail juist wel betrouwbaarder te krijgen. Probleem is echter dat voor de gemiddelde burger dergelijke opties veel te gecompliceerd zijn.

Bij het uitblijven van een verhoging van de betrouwbaarheid van mail, in combinatie met een blijvende gebruiksvriendelijkheid, zal het communicatiemiddel als het zo doorgaat onvermijdelijk aan belang gaan verliezen. Dat is wat Enisa impliciet ook beschrijft dan wel voorspelt. Het mag duidelijk zijn dat dat scenario redelijk wat impact kan hebben op eigenlijk alle aanbieders en gebruikers van de dienst die we kennen als e-mail.

Vraag is, wat een aanbieder van online diensten (de hoster) hier kan doen. Het antwoord is: best wel veel. Hij kan zijn klanten van een simpele webshop tot de meest complexe contentdiensten een betere en vooral veiligere dienstverlening bieden en zo bijdragen de awareness rond veiliger mailen vergroten. Een webshop die aangeeft dat het bestellen veilig verloopt dat is inmiddels de regel. Het aantal webshops dat expliciet aangeeft dat ook e-mail verkeer (buiten de webforms om) aan veiligheidseisen voldoet is al een stuk geringer.

En het aantal aanbieders van hostingdiensten voor de webshops? Er is een verschil tussen het aanbieden van veiligheidspakketten rond e-mail en het geven van uitleg in gewone mensentaal. Anders gezegd: dat kan nog écht een stuk beter.

Michiel Steltman, 18 april 2013 12:26 pm

Rashid,

Het probleem van vraag, wenselijkheid van features en het aanbod verdient een apart artikel.
Geen enkele leverancier zal diensten ontwikkelen en bieden die "beter zijn voor de klant", zonder dat de markt / klant erom vraagt. Je kunt de markt niet vragen om ontwikkelingen te doen zonder business case.
Dat is waarom features als DKIM en DMARC niet hard groeien, en waarom de door jou geschetste features na 15 jaar nooit zijn doorgebroken.
Met functionaliteit , gadgets en technologie volgt de vraag het aanbod. Met security en certificeringen is het andersom.
De grote vraag: we snappen het belang, hoe lossen we dat op?

Rashid Niamat, 18 april 2013 3:28 pm

@Michiel,

goed te zien dat we het over de achterliggende vraag eens zijn. Mijn vervolgvraag: ligt hier niet een taak voor DHPA?

Als ik zie dat in Duitsland met DE.Mail de overheid inmiddels zo ver is burgers te verplichten alleen nog accounts van aanbieder X, Y of Z te gebruiken voor versturen en ontvangen e-communicatie met overheden en op termjn verzekeringen, advocaten etc. word ik echt niet blij. Dergelijke stappen zouden de hele sector in .NL schaden.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.