Veilig e-mailen

Er was een moment dat cybercriminelen kpn.com van alle corporate sites het vaakst misbruikten voor e-mailphishing. Dat moment was voor KPN aanleiding haast te maken met de adoptie van standaarden die het e-mailverkeer veiliger maken. “In negen maanden hebben we deze gigantische klus geklaard”, vertelt Michel Zoetebier. “Maar achteraf gezien hadden we er beter eerder mee kunnen beginnen.”

De naam KPN werd van alle bedrijfsnamen in Nederland het meest misbruikt voor nepmails, zo bleek eind 2016 uit een overzicht van de Fraudehelpdesk. Vooral de KPN-mailingdomeinen werden misbruikt voor phishing, waarbij mensen naar valse websites worden gelokt. Het was voor KPN hét moment om ingrijpende veiligheidsmaatregelen te treffen in de vorm van het adopteren van drie belangrijke standaarden: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting and Conformance (DMARC).“De implementatie van deze standaarden stond al lang op ons prioriteitenlijstje”, vertelt Zoetebier, security specialistbij KPN-CERT. “Uit naam van KPN worden namelijk al jarenlang geregeld phishingmails gestuurd. Maar het is voor een organisatie met de omvang als de onze een ingrijpende operatie om deze standaarden in te voeren. Dus werd de implementatie ervan steeds weer op de lange baan geschoven.”

Aan de slag

Een van de eerste stappen die de onderneming nam, was aansluiting zoeken bij de Veilige E-mail Coalitie. Dit is een initiatief van bedrijven en brancheorganisaties onder regie van het ministerie van Economische Zaken en Klimaat enForum Standaardisatie, met als doel de standaarden SPF, DKIM en DMARC breed geadopteerd te krijgen. De deelnemers aan deze coalitie, waaronder PostNL, MKB-Nederland, VNO-NCW, de Fraudehelpdesk, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Belastingdienst, gaan binnen hun eigen organisatie aan de slag met het invoeren van maatregelen voor het beveiligen van het e-mailverkeer. “Met de adoptie van SPF, DKIM en DMARC is het voor cybercriminelen vrijwel onmogelijk om te spoofen (kenmerken van e-mails wijzigen om een valse identiteit aan te nemen) en te phishen. Ze voorkomen veel fraude”, vertelt Zoetebier. “We zijn vervolgens intern met een man of zestien dedicated aan de slag gegaan om vaart te zetten achter de implementatie en om de standaarden op het strakste niveau uit te rollen. We moesten daarvoor uitzoeken welke partijen vanuit ons domein mailen. Dat zijn niet alleen de eigen bedrijven en afdelingen, maar ook leveranciers, trainingsbureaus, marketingbureaus, enzovoorts. Het bleek om meer dan 20 duizend IP-adressen te gaan die uit naam van kpn.com mails stuurden. Dat in kaart brengen alleen al kostte de nodige tijd. Achter de schermen brachten we vervolgens al deze mailstromen bij elkaar en gaven we aan welke IP-adressen wel en niet namens ons mogen mailen. We moesten deze stuk voor stuk op basis van prioriteit omzetten naar nieuwe protocollen. Dat was een geweldig grote operatie. En alles moest foutloos blijven doorwerken. Ook de systemen van waaruit we automatisch facturen mailen naar klanten.We hebben nachtenlang getest of we de e-mails op de juiste manier konden verzenden en ontvangen. En we hadden haast.”

Meteen resultaat

Negen maanden later was het zover. Zoetebier: “Het heeft ons heel wat manuren en forse investeringen gekost om dit alles te realiseren. Maar we hebben de klus geklaard. Technisch gezien is het nu onmogelijk om een e-mail van kpn.com na te bootsen. Dat moment was een belangrijke mijlpaal voor ons. Wie nu een mail van kpn.com krijgt, weet vrijwel zeker dat die afkomstig is uit onze organisatie, omdat alleen wij nog kunnen mailen vanaf dit domein. Nu hopen we dat onze klanten langzaam maar zeker het vertrouwen in onze communicatie weer terugkrijgen. Dat kost tijd, maar dat gaat zeker gebeuren.”De implementatie van de standaarden wierp vrijwel direct zijn vruchten af. Zoetebier: “Dat is het mooie ervan. Ontvingen we voorheen honderden vragen en opmerkingen van klanten per week over misbruik van onze e-mails, vandaag de dag zijn dat er wekelijks nog maar een handjevol. Dat zijn phishingmails die er heel soms nog tussendoor glippen. We pluizen elke melding nu uit, zodat we weten waar deze vandaan komt en hoe we ons systeem nog beter kunnen beveiligen. En we leunen bepaald niet achterover in onze stoel. We zijn wakker en alert en blijven dat ook. E-mailbeveiliging is namelijk een continu proces, realiseren we ons. Zo zijn we nu bezig met de uitrol van S/MIME, oftewel Secure/Multipurpose Internet Mail Extensions, waarmee we een extra beveiligingslaag aanbrengen voor e-mailverkeer.”De vraag die zich opdringt is: wie zijn die cybercriminelen? Zijn dat enkelingen? Of is het georganiseerde criminaliteit? Zoetebier: “Vaak dat laatste. Uit onderzoeken is gebleken dat het bij phishing vaak om georganiseerde misdaad gaat. Het zijn digitale criminele bendes, die zich vaak niet eens in Nederland ophouden. We doen nu altijd aangifte van de enkele keer dat we nog met phishing worden geconfronteerd. We accepteren namelijk nooit dat cybercriminelen het KPN-domein misbruiken om klanten op te lichten en er zelf beter van te worden. ‘We komen achter je aan’, is de boodschap die we daarmee willen afgeven.”

Uitstel is geen afstel

Dat er druk op het traject zat, maakte het er niet eenvoudiger op. “Als we vijftien of twintig jaar geleden hadden geweten hoezeer cybercriminaliteit een vlucht zou nemen, hadden we toen al maatregelen kunnen treffen bij het bouwen van de systemen”, zegt Zoetebier. “Maar niemand wist dat. Wij ook niet. Dus hebben veel bedrijven vandaag de dag te maken met een e-mailsysteem waarvoor de basis gelegd is in een ander, veel veiliger internettijdperk. Dat maakt het adopteren van deze standaarden ook zo omvangrijk. Maar wanneer een bedrijf als KPN met deze schaalgrootte deze drie standaarden binnen negen maanden kan implementeren, dan kunnen andere bedrijven dat zeker zo snel. En het is belangrijk dat ze dat ook daadwerkelijk doen. Alle partijen in het mail-ecosysteem moeten meedoen voor een optimaal resultaat. Hoe meer deelnemers, hoe beter de beveiliging.”Achteraf, zo constateert Zoetebier, had KPN de standaarden al een paar jaar eerder moeten adopteren.

KPN de standaarden al een paar jaar eerder moeten adopteren. “Het was kinderlijk eenvoudig voor internetcriminelen om ons te imiteren, dat geven we ruiterlijk toe. Het advies aan andere bedrijven is dan ook: voer de standaarden nú in. Wacht er niet mee, want uitstel betekent in dit geval geen afstel. Bedrijven ontkomen er niet aan om SPF, DKIM en DMARC te adopteren. Als de nood écht aan de man is, zoals bij ons het geval was, dan moet je als bedrijf onder hoge druk een enorme operatie uitvoeren. Dat wil je liever niet. Dat is altijd kostbaarder dan wanneer je dit op een gecontroleerde manier doet. We hebben in totaal zestien mensen fulltime moeten vrijmaken en inhuren om de klus te klaren. Dat kan met minder als je er meer tijd voor neemt. En wat te denken van de reputatieschade die een bedrijf oploopt zolang het phishing doorgaat? Mensen vertrouwen de e-mailcommunicatie met je bedrijf niet meer en dat straalt af op je merk. Maar ook de kosten voor afhandeling van klachten als gevolg van phishingmails lopen in de papieren. Wij kregen zo’n tienduizend klachten per jaar binnen. Dat is jaarlijks al snel tienduizenden euro’s aan afhandelingskosten. Al de schade en kosten in acht nemend, is de businesscase voor een betere beveiliging kortom snel gemaakt.”

Stuivertje wisselen

Nu KPN de juiste veiligheidsmaatregelen heeft getroffen, kijkt de organisatie met een gerust hart uit naar de volgende ranglijst van bedrijven waarvan de domeinen het meest misbruikt worden voor nepmails. “Wij komen in de top van die ranglijsten niet meer voor”, zegt Zoetebier. “Dat is verleden tijd. KPN is nu zelfs een van de sterkst beveiligde bedrijven in Nederland tegen e-mailphishing en wordt nu vaak als voorbeeld aangehaald van hoe het kan en moet. Daar zijn we trots op, maar we vinden ook dat we onze klanten, leveranciers en medewerkers die veiligheid moeten garanderen. Het zijn andere bedrijven die die ranglijsten gaan aanvoeren. Wat dat betreft blijft het stuivertje wisselen zolang bedrijven de adoptie van deze standaarden uitstellen.”

Dit artikel kwam tot stand met medewerking van Michel Zoetebier, Security specialist KPN-CERT

Aldus Jaya Baloo, Chief InformationSecurity Officer KPN.