E-mail is een zeer breed gebruikt communicatiemiddel, zowel privé als zakelijk. Onderzoek toont aan dat e-mail ook in de komende jaren het belangrijkste zakelijke communicatiemiddel zal blijven. Des te belangrijker is het om te weten dat het nog altijd bijzonder kwetsbaar is voor misbruik door cybercriminelen. Verkeerd of onveilig e-mailgebruik is verantwoordelijk voor ongeveer 40 procent van alle datalekken.
General Manager van Cryptshare Benelux, Lucien Barink, licht toe dat e-mail zonder tooling volstrekt onveilig is. “In tijden waar informatiebeveiliging en bescherming van persoonsgegevens hoog op de agenda staan, kunnen we dit niet negeren. Gegevens uit patiëntdossiers, boekhouding, prijsafspraken, octrooigegevens, salarisadministratie mogen absoluut niet in verkeerde handen vallen. Toch sturen we dergelijke data nog steeds via onbeveiligde e-mails of zelfs cloud-diensten. Nu de AVG van kracht wordt, moet dat worden aangepakt. Maar wat we ook ondernemen om e-mail veilig te maken, één ding moet overeind blijven: het gemak van e-mail. Dat wil zeggen: met iedereen kunnen communiceren zonder voorwaarden vooraf.”
Brede aanpak
Het van oorsprong Duitse Cryptshare – een oplossing voor veilige elektronische communicatie – wordt wereldwijd gebruikt binnen accountancy, advocatuur, verzekeraars, toezichthouders, financiële dienstverlening en industrie (waar intellectual property belangrijk is). Barink vertelt dat lokale overheden Cryptshare al breed hebben ingezet. “Deze sector beschouwt beveiliging van e-mail, mede door de meldplicht datalekken, inmiddels als de normaalste zaak ter wereld. In andere sectoren zoals de advocatuur, accountancy of industrie was het al langer logisch vanwege de aard van hun business om gevoelige informatie veilig te versturen. Voor hen is wetgeving niet nodig. Hoewel de bewustwording van het beschermen van privacygegevens in de zorg zeker niet iets nieuws is, lijkt het alsof de AVG deze sector nu pas echt motiveert tot het nemen van concrete maatregelen. Toch komt een brede aanpak voor e-mailbeveiliging, zoals door de lokale overheden is geadopteerd, onvoldoende van de grond.”
Gemak en flexibiliteit
E-mail werd rond 1995 populair. Oorspronkelijk was het puur digitaal, elektronisch postverkeer. Later kwam daar de mogelijk bij om bijlagen mee te sturen. “In de loop der jaren zagen we diverse beveiligingsoplossingen komen en gaan”, herinnert Barink zich. “Vrijwel altijd gingen die ten koste van het gebruiksgemak, waardoor het stukliep op gebrek aan acceptatie. Hier is veel energie en geld in gaan zitten met voornamelijk frustratie als resultaat en groeiende scepsis over nieuwe oplossingen. Hoewel oplossingen binnen portals of netwerken – Zorgnet of Gemnet – prima werken, blijven er beperkingen. Communicatie per e-mail is alleen veilig voor wie in het netwerk zit. Je blijft tegen de grenzen van het netwerk aanlopen. Veilig communiceren is niet mogelijk met iemand die niet in het netwerk is opgenomen. Met Cryptshare blijft de essentie van e-mail overeind: veilig kunnen communiceren met iedereen, zonder voorwaarden (als bijvoorbeeld een netwerk) vooraf.”
Hoe werkt het?
Het versturen van een Cryptshare e-mail is net zo makkelijk als het sturen van een normale e-mail. Er is niet meer nodig dan een e-mailadres, een browser en internettoegang om een veilige Cryptshare e-mail te kunnen sturen of ontvangen. Cryptshare werkt direct vanuit Outlook, zodat gebruikers kunnen blijven werken in hun vertrouwde e-mailomgeving. Barink legt uit hoe het werkt: “Cryptshare versleutelt de e-mail en met een unieke sleutel per bericht en informeert de ontvanger met een e-mail over hoe deze informatie kan worden opgehaald. De ontvanger authentiseert zichzelf, waarna de e-mail wordt ontsleuteld en via een downloadbare link beschikbaar is voor de ontvanger. Authenticatie gebeurt dan op basis van een gedeeld geheim tussen de verzender en de ontvanger met behulp van een wachtwoord. Dit wachtwoord kan bijvoorbeeld op voorhand afgesproken worden. Cryptshare geeft hiermee de verzender volledige controle over wie toegang heeft tot de inhoud van de e-mail. Een ontvangstbevestiging informeert de verzender dat de e-mail is aangekomen. Naast de beveiliging van de e-mail neemt Cryptshare de limiet voor de grootte van bestandsbijlagen weg. Daarmee vervalt de reden voor gebruikers om uit te wijken naar shadow-it zoals WeTransfer of Dropbox. Cryptshare biedt namelijk het veilige alternatief.”
Geen cloud
Als een hacker kan kiezen tussen gegevens in één netwerk of een verzameling van gegevens van vele netwerken dan is de keus logisch: daar waar de meeste informatie valt te halen. Het is dan ook niet voor niets dat cloud-diensten veel moeten doen aan de beveiliging van hun omgeving en tevens bewerkingsovereenkomsten met hun klanten moeten afsluiten. Bij Cryptshare bepaalt de gebruiker zelf waar de gegevens worden opgeslagen. In het eigen netwerk waar het net zo veilig is als de rest van de gegevens achter de firewall. Of in een hosted omgeving waar de gebruiker zich al veilig bij voelt. “Veiligheid is het uitgangspunt, opgelegd cloud-gebruik past daar niet in”, aldus Barink. Op basis van policies en e-mailclassificatie kan het systeem zo ingericht worden dat de gebruiker zelf verantwoordelijk wordt gemaakt voor het toekennen van veiligheidsfuncties. Ook kan de veiligheid worden geregeld voor de gebruiker. Met de e-mailclassificatie kan aan financiële gegevens een andere beveiliging worden toegekend dan aan persoonsgegevens. Met deze gradaties in beveiligingsniveaus krijgt iedere gegevenscategorie de passende beveiliging en stuurt het gebruikers in hun gedrag. Iedere verzonden e-mail wordt daarmee een effectieve awareness training.”
In de praktijk
Een bedrijf dat Cryptshare in gebruik nam, doorliep een interessant traject. “Binnen één dag was Cryptshare geïnstalleerd en operationeel”, vertelt Barink. “Er was voor gekozen de veiligheid af te dwingen op basis van de gekozen instellingen, zodat gebruikers geen keus hadden en moesten werken zoals bepaald. De eerste paar weken mopperden de gebruikers vanwege die nieuwe werkwijze, maar dat veranderde snel toen iedereen het gemak en nut ervan ging ervaren. Het kunnen meesturen van grote bestanden was hierbij echt een ‘winner’. Toen de weerstand was veranderd in acceptatie, ontstond er een derde golf waarin de medewerkers ook gingen opletten op wat er op hun bureau aan gevoelige informatie rondslingerde of hoe ze met gevoelige informatie in het algemeen omgingen. Kortom, het leverde een sterke awareness-groei op. Je moet wel het lef hebben om die weerstand te doorstaan, maar uiteindelijk ging Cryptshare als een olievlek door de organisatie en zorgde de mond-op-mondreclame voor een hoge gebruikersacceptatie.”
Cryptshare wordt wereldwijd dagelijks gebruikt door ruim 3 miljoen gebruikers. Velen van hen zijn actief in de zorgsector. Ook in Nederland maken inmiddels meerdere zorginstellingen gebruik van Cryptshare. Cryptshare voorziet bestaande e-mailprogramma’s snel van een gebruiksvriendelijke veiligheidsupgrade. Hiervan kunnen de vele referenties van Cryptshare getuigen.
Goede e-mailbeveiliging
Een effectief beveiligingsprogramma voor e-mail is actief op verschillende vlakken. Zo moet het gevoelige inhoud kunnen beveiligen. Het moet verkeerd geadresseerde e-mails kunnen tegenhouden. Tijdens het verzenden van de e-mail moet de gebruiker niet gehinderd worden in de gene met wie hij wil communiceren. De bescherming moet eenvoudig aangebracht kunnen worden. In- en outbound e-mail verkeer moet beveiligd worden. De beveiliging moet zekerheid bieden dat alleen de beoogde ontvanger toegang heeft tot de e-mailinhoud. Het moet bijdragen aan de bewustwording over beveiliging van gegevens. Tot slot moet het voorzien in de volledige traceerbaarheid van e-mails.