Skip to main content

Hallo,

Via een actieformulier willen we externe partijen aansturen om vragen te beantwoorden en documenten op te sturen. Door de documenten in een specifiek veld te laten uploaden geeft ons dit de mogelijkheid om specifieke documenten te tonen aan relevante partijen binnen onze organisatie.

De vraag die bij mij opkomt is, ‘Hoe zit dat met mogelijk geïnfecteerde bestanden die daardoor mogelijkheden bieden aan hackers?’

Nu verwacht ik niet direct dat onze externe contacten dit zullen doen, het lijkt mij wel verstandig om hierover na te denken en te weten of er risico's zijn.

Groet,

Kees

Dit is een vooraankondiging die in de releasenotes van Zenya versie 6.3 is vermeld, zie ook Zenya 6.3.0 – On-Premise Update of Zenya 6.3.0 – SaaS Update

Vanaf Zenya versie 6.4 starten we met het enkel nog toestaan van bestandstypes in Zenya waarvan bekend is dat deze in oorsprong niet schadelijk zijn. We starten daarmee in Zenya FLOW met het bijlage veld. Deze aanpassing zorgt ervoor dat er geen potentieel malafide bestanden (van een niet meer toegestaan bestandstype) toegevoegd kunnen worden. Hierdoor wordt de kans verkleind dat er potentieel onveilige gegevens worden geüpload in Zenya FLOW via het formulier. In latere releases zullen we deze beperking ook op andere plekken in Zenya gaan doorvoeren.

We hebben gekeken welke bestandstypen het meest worden toegevoegd als bijlage en op basis daarvan een zogenaamde whitelist opgesteld van de bestandstypes die worden geaccepteerd. Het gaat om onderstaande lijst:

.docx, .xlsx, .pptx, .dotx, .vsdx, .odt, .pdf, .msg, .jpg, .png, .gif, .jpeg, .tif, .bmp, .emz, .txt, .wav, .mp3, .mp4, .avi, .xml, .csv, .rtf, .heic, .htm, .html, .zip.

Mocht jullie organisatie bepaalde door jullie veelgebruikte bestandtypes in bovenstaande lijst missen dan vragen we dit door te geven aan onze servicedesk met een toelichting waarom dit bestandtype voor jullie relevant is.

Het is vanaf 6.4 wel nog gewoon mogelijk om alle soorten bestanden toe te voegen door gebruik te maken van een .zip bestand, waarin het originele bestand wordt opgenomen, en door vervolgens het .zip bestand toe te voegen.

Als de externe partijen het document via een bijlage veld in een actieformulier plaatsen, dan valt dat onder deze aanstaande wijziging.


Beste Chaim,

 

dankjewel voor jouw antwoord. Ik heb dit besproken met onze ISO (information security officer).

Hij kwam met de vraag of deze documenten in jullie SAAS omgeving ook door een virusscanner wordt gecontroleerd. Hij heeft hier ervaring mee in andere SAAS omgevingen.

Daarnaast is hij geïnteresseerd waarom zip bestanden worden toegestaan.

 

Vriendelijke bedankt,

Kees 


Dit is de reactie vanuit onze Security Officer:

Bestanden worden op dit moment niet door een virusscanner gehaald. Hier biedt Microsoft (Azure) helaas geen functionaliteit voor. Er loopt een onderzoek om te kijken of dit op een andere manier kan maar dan heb je potentieel weer te maken met een extra subverwerker (potentieel kan een upload persoonsgegevens bevatten). Op dit moment moet de klant zelf op hun endpoints zorgen voor adequate AV bescherming.

De SaaS omgeving zelf is niet kwetsbaar omdat we

  1. geen componenten hebben die dergelijke bestanden uitvoeren in de SaaS (het is een losse storage container puur voor opslag, hier worden bestanden enkel opgeslagen en weer opgehaald in Zenya om te tonen of ter download aan te bieden aan een eindgebruiker) en
  2. MS Defender for Cloud actief is op de storage accounts die dit zouden blokkeren.

Het ontbreken van het kunnen scannen op virussen is ook de reden dat we in Zenya 6.4 met de whitelist komen voor Zenya FLOW. Hierdoor worden de meeste (executable) bestandtypes tegengehouden tijdens het upload proces wat de mogelijkheid op besmetting drastisch verkleint.
We staan ZIP files toe omdat er anders geen mogelijkheid voor klanten is om bestanden die niet in de whitelist worden opgenomen toch te uploaden via een formulier. Ja, dit doen potentieel ook kwaadaardigen door in de ZIP weer geïnfecteerde content op te nemen maar het blijft altijd een afweging tussen werkbaarheid en beveiliging. Dus ook hiervoor geldt dat adequate bescherming op het Endpoint noodzakelijk blijft.


Reageer