Je bedrijfsnetwerk is je fort. Je hebt alles gedaan wat mogelijk is om cybercriminelen buiten de deur te houden. Maar wat gebeurt er met de gegevens die je verstuurt per e-mail? Reizen die data wel veilig door de boze buitenwereld? In deze blog gaan we kijken wat je kunt doen om die vraag bevestigend te kunnen beantwoorden.
Ik begin met het slechte nieuws: e-mail is structureel onveilig. Dat komt door SMTP, het Simple Mail Transfer Protocol. Hierin is afgesproken hoe een mailtje in elkaar zit en hoe het van de verzender naar de ontvanger wordt getransporteerd.
SMTP is inderdaad heel simpel. Het stamt uit een paradijselijke tijd, toen niemand nog dacht aan cybercrime. Bijgevolg zijn je mailtjes als een ansichtkaart: iedereen die erbij kan, kan lezen wat erin staat.
En er kunnen in principe heel véél mensen bij je mailtjes, want onderweg gaan ze van de ene naar de andere server. Veilig is anders.
Shadow-IT
Dit is nog niet eens het grootste probleem. Wat doe je wanneer je een groot bestand wilt versturen? Bijvoorbeeld iemands medische gegevens of het ontwerp voor een nieuw product? Dat kan niet via e-mail, want SMTP staat alleen kleine bijlagen toe.
Dus wat doe je dan? Dropbox en WeTransfer staan klaar om je te helpen. Maar dan ontstaat een nieuw probleem. Je wéét dat WeTransfer jouw gegevens, misschien ook jouw bedrijfsgeheimen gaat verkopen aan derden. Wat daar leeft WeTransfer van. Het staat gewoon in de algemene voorwaarden. Je tekent ervoor wanneer je het gebruikt.
En tegelijk ontstaat er ‘shadow-IT’: een digitale werkomgeving naast het bedrijfsnetwerk. Met Outlook heb je overzicht van wat er per mail in- en uitgaat. Maar met shadow-IT ben je het zicht totaal kwijt. WeTransfer weet beter dan het management wat de medewerkers versturen.
Door hoepels springen
E-mail heeft dus een fors beveiligingsprobleem. Uiteraard zijn hier oplossingen voor bedacht. Heel veel oplossingen zelfs, en dat is een probleem op zich geworden. In de meeste landen heb je twee of drie aanbieders van producten om e-mail veiliger te maken. In Nederland zijn dat er wel tien!
Wat ze allemaal doen is encryptie: gegevens worden versleuteld voor ze verzonden worden en de ontvanger krijgt een wachtwoord om ze leesbaar te maken. Maar zijn zoveel verschillende manieren bedacht om dit te regelen, dat de arme ontvanger steeds weer door andere hoepels moet springen voor hij zijn mailtjes kan openen. Dan krijg je al gauw klachten: laat maar zitten, want dit is gewoon te veel gedoe.
Voor de betrokken organisaties is dat uiteraard niet fijn. Al helemaal niet omdat de AVG hen verplicht om persoonsgegevens “zo veilig mogelijk” te verzenden. Als gegevens worden gestolen, kun je naast de reputatieschade dus ook een boete krijgen.
Vijf tips
Er is dus zicht op verbetering. Maar organisaties die willen voldoen aan de AVG, moeten nu al zorgen dat ze hun e-mail “zo goed mogelijk” beveiligen. En natuurlijk wil je ook dat grote bestanden rechtstreeks naar de beoogde ontvanger gaan.
Je moet dus kiezen. Welk product gaat jouw e-mailproblemen oplossen?
1. Om te beginnen: zorg dat je echt wat te kiezen hebt. Er is bijvoorbeeld een oplossing die alles voor je doet. Dat lijkt handig, maar doet hij alles ook even goed? En wat moet je als de volgende release veranderingen heeft waar je niet blij mee bent? Veruit de meeste NTA 7516-gecertificeerde producten geven klanten de mogelijkheid om alleen te kopen wat ze nodig hebben.
2. Houd je gegevens in eigen huis. Binnen dat fort dat je zo goed hebt afgeschermd. Een aantal systemen baseren hun oplossing op een server in de cloud, die je data versleutelt. De ontvanger kan het bericht daar ophalen. Maar zo’n server kun je ook zelf hebben, in je eigen netwerk! Voor gewone mail én voor grote bestanden. Dan heb je dus je eigen WeTransfer: een iTransfer.
3. Zorg dat je zelf kunt bepalen waar jouw organisatie de grens tussen veiligheid en gebruiksgemak legt. Niet alle gegevens zijn immers even vertrouwelijk. Het gekozen systeem moet dus meerdere opties hebben. En het IT-management bepaalt welke er beschikbaar is voor de gebruiker.
4. Maak het zo makkelijk mogelijk. In veel gevallen is het veilig genoeg als je de ontvanger eenmalig machtigt. Met het eerste wachtwoord krijgt hij ook toegang tot latere mailtjes van dezelfde verzender (one time password) Niet omdat ze allemaal hetzelfde wachtwoord hebben, maar omdat de server het communicatiekanaal tussen de verzender en ontvanger als veilig herkent.
5. Kies een toekomstvaste oplossing. Elektronische ID’s (eID) zoals DigiD, iDIN of E-Herkenning beginnen steeds meer de norm te worden voor betrouwbare communicatie. Dus jouw systeem moet ermee kunnen werken.
Sommige organisaties werken nu al met een solide beveiliging voor hun e-mail en bestandsuitwisseling. Omdat ze beseffen dat hun data het bedrijfskapitaal is. Of omdat ze werken met gevoelige gegevens over personen. Bij steeds meer organisaties begint het bewustzijn te groeien, al dan niet geholpen door wetten zoals de AVG. Gelukkig hoeft veilig mailen niet moeilijk meer te zijn.
