De Digital Operational Resilience Act (DORA) is een cruciale regelgeving in de EU die bedoeld is om de cybersecurityinfrastructuur van de financiële sector te versterken. Met de toenemende afhankelijkheid van digitale communicatie, vooral e-mail, is de behoefte aan strenge beveiligingsmaatregelen van groot belang. E-mail, als een primaire manier van informatie-uitwisseling in de financiële sector, is ook een belangrijk doelwit voor cyberdreigingen. DORA eist robuuste beveiligings om de veerkracht en integriteit van e-mailsystemen te waarborgen.
Met de komst van DORA heroverwegen financiële entiteiten in de EU hun cybersecuritystrategieën. Een kritisch aspect van deze herbeoordeling omvat het evalueren van de capaciteiten van bestaande tools zoals Microsoft 365 (M365) om aan deze eisen te voldoen. Deze blogpost gaat in op de beperkingen van M365 in de context van DORA-naleving om gevoelige informatie via e-mail adequaat te beschermen en onderzoekt de noodzaak van aanvullende oplossingen voor de bescherming van e-mailgegevens.
De Uitdaging van het afdwingen van E-mailbeveiliging in M365
DORA verplicht organisaties om 'de beveiliging van de middelen voor gegevensoverdracht te waarborgen', 'sterke authenticatiemechanismen te implementeren, gebaseerd op relevante normen' en 'beschermingsmaatregelen te nemen waarbij gegevens worden versleuteld op basis van de resultaten van goedgekeurde gegevensclassificatie en ICT-risicobeoordelingsprocessen'.
E-mail biedt standaard echter geen versleuteling of authenticatiefuncties. Om een veilige overdracht van e-mails te garanderen, is het essentieel om transportversleuteling toe te passen en de e-mailserver van de ontvanger te verifiëren. Een manier om dit te bereiken is via DANE, algemeen beschouwd als het veiligste e-mailprotocol voor transportbeveiliging. Hoewel Microsoft 365 (M365) sinds kort DANE ondersteunt, schiet het tekort in het bieden van een alternatief beveiligingsprotocol wanneer DANE niet beschikbaar is aan de kant van de ontvanger. Dit geldt ook bij gebruik van andere protocollen zoals TLS of MTA-STS. Deze beperking in M365 betekent dat organisaties voor een dilemma staan: zij moeten e-mails verzenden met verminderde beveiliging, het risico lopend op niet-naleving van DORA en de onvoldoende beveiliging van de informatie, of het risico lopen dat de e-mails worden teruggestuurd naar de verzender, wat de communicatiestromen kan verstoren. Dit kan ertoe leiden dat cruciale berichten niet veilig of tijdig worden afgeleverd, wat zowel de bedrijfsvoering als de inspanningen om aan regelgevende eisen te voldoen negatief beïnvloedt.
De noodzaak voor eenvoudige maar effectieve automatische classificatie van informatie
DORA bepaalt dat gegevensbescherming gebaseerd moet zijn op 'goedgekeurde gegevensclassificatie'. Het opzetten van automatische classificatie in M365 kan voor veel organisaties een complexe en overweldigende taak zijn. Deze complexiteit wordt verergerd door de beperkingen die inherent zijn aan de classificatietools van M365, die voornamelijk vertrouwen op basismethoden zoals woordmatching en reguliere expressiepatronen (regex). Hoewel deze methoden eenvoudig zijn, zijn ze niet voldoende voor effectieve classificatie. Ze missen de verfijning die nodig is om de genuanceerde en gevarieerde soorten gevoelige informatie, typisch in de financiële sector, nauwkeurig te identificeren en te categoriseren. Als gevolg hiervan vinden organisaties die willen voldoen aan DORA het noodzakelijk om verder te kijken dan de standaardmogelijkheden van M365 en extra, meer geavanceerde classificatieoplossingen te overwegen die grotere nauwkeurigheid en contextbewustzijn bieden bij het omgaan met gevoelige gegevens.
Beperkingen in Geautomatiseerde Verwerking van E-mails
Bij het gebruik van Purview Message Encryption voor het verzenden van e-mails, handmatig of via een DLP-regel, doemt een opvallende moeilijkheid op. Als een ontvanger, die een versleuteld bericht heeft ontvangen, antwoordt – bijvoorbeeld door een ingevuld formulier terug te sturen of een vraag te stellen – wordt hun antwoord ook versleuteld met Purview Message Encryption. Dit scenario vormt een aanzienlijke hindernis voor tal van organisaties, aangezien dergelijke versleutelde reacties niet compatibel zijn met automatische verwerking door de systemen die veel grote organisaties gebruiken voor taken zoals het integreren van berichten in CRM-platforms zoals Salesforce of voor berichtroutering en -verwerking. Hierdoor worden gevestigde workflows verstoord, wat de handmatige opening van e-mails in de inbox van de ontvanger en hun vervolgens handmatige overdracht of integratie in de volgende fase van het verwerkingssysteem noodzakelijk maakt. De extra tijd, kosten en potentiële fouten die dit proces met zich meebrengt, zijn aanzienlijk en impactvol.
De Behoefte aan Effectievere Data Loss Prevention (DLP)
Data loss prevention is een ander kritiek gebied waar M365's mogelijkheden aanvulling behoeven. Artikel 9 van DORA benadrukt het belang van het voorkomen dat gevoelige financiële gegevens onbedoeld worden gedeeld of geopend via e-mail door 'te zorgen dat gegevens worden beschermd tegen ... menselijke fouten'. Hoewel M365 enkele DLP-functies bevat, ontbreken effectieve functionaliteiten om de grootste oorzaak van datalekken te voorkomen, namelijk medewerkers die verkeerde informatie naar de verkeerde persoon sturen. M365 heeft alleen basisfuncties die waarschuwen voor situaties zoals 'u stuurt informatie buiten uw organisatie', terwijl dat waarschijnlijk de taak is van veel mensen in de organisatie. M365 mist elke functionaliteit om ongebruikelijk gedrag van medewerkers te detecteren, wat nodig is om menselijke fouten effectief te voorkomen.
Aanvullende Beperkingen van M365 voor Effectieve E-mailbeveiliging
Naast deze drie belangrijke beperkingen, mist M365 meer functionaliteiten op andere kritieke gebieden die essentieel zijn om datalekken en ongeautoriseerde toegang te voorkomen:
- Multi-Factor Authenticatie voor Ontvangers: MFA voor ontvangers is in bepaalde scenario's een noodzakelijke maatregel voor het voorkomen van ongeautoriseerde toegang. Dit wordt echter niet ondersteund door M365.
- Toegang tot berichten intrekken: Met M365 kunt u alleen berichten intrekken bij gebruik van Purview Advanced Message Encryption, maar alleen voor ontvangers buiten het Microsoft-ecosysteem. Met een hoge adoptie van Microsoft is deze functie weinig effectief.
- Veilige bestandsoverdracht: Purview ondersteunt alleen het versleutelen van berichten als de bestandsgrootte niet meer dan 25 MB bedraagt.
- Zero-access encryptie: Purview biedt geavanceerde functionaliteit zoals Double Key Encryption. Dit kan echter nog niet worden toegepast op e-mailversleuteling via Outlook.
- Ontvanger-vriendelijke toegang: Purview maakt eenvoudige toegang tot berichten mogelijk via Microsoft-accounts. Echter, buiten het Microsoft-ecosysteem is de toegang tot versleutelde berichten veel minder gebruiksvriendelijk.
Aanvullende oplossing voor E-mailbeveiliging nodig voor naleving
Om deze hiaten aan te pakken, moeten financiële instellingen zogenaamde Email Data Protection-platforms overwegen die kunnen worden geïntegreerd met M365. Deze oplossingen kunnen geavanceerde versleuteling bieden die verder gaat dan M365's standaardaanbod, meer rigoureuze authenticatieprotocollen, uitgebreide risicobeheertools op maat voor de financiële sector, en verbeterde DLP-capaciteiten. Door deze oplossingen te integreren, kunnen financiële instellingen ervoor zorgen dat hun e-mailcommunicatie niet alleen voldoet aan DORA en beveiligd is tegen geavanceerde cyberdreigingen, maar ook operationele efficiëntie kan behouden.
Zivver is Microsoft-partner en door Gartner erkend als toonaangevende specialist in E-mailbeveiliging
Binnen het domein van E-mailbeveiliging is Zivver door Gartner erkend als een vooraanstaande aanbieder. Bovendien werkt Zivver nauw samen met Microsoft op dit gebied. Deze samenwerking verbetert Zivver's capaciteit om superieure beveiligingslagen toe te voegen bovenop het bestaande raamwerk van M365. Gartner's erkenning van Zivver onderstreept zijn innovatieve strategieën bij het aanpakken van de uitdagingen van e-mailbeveiliging. Een belangrijk kenmerk van Zivver is de naadloze integratie met M365, waardoor de beveiligingsfuncties van M365 worden verbeterd, terwijl de gebruiksvriendelijkheid behouden blijft. Zivver overwint effectief de primaire tekortkomingen van M365, en biedt een robuuste oplossing die geavanceerde encryptie, multi-factor authenticatie voor ontvangers en bescherming tegen menselijke fouten omvat. Deze krachtige combinatie versterkt niet alleen de e-mailcommunicatie tegen beveiligingsinbreuken, maar is ook in lijn met de dynamische nalevingsvereisten van DORA.
Conclusie
Terwijl de financiële sector zich voorbereidt op de uitrol van DORA, is het duidelijk dat Microsoft 365 alleen mogelijk niet voldoende is om e-mails passend te beveiligen. Dit tekort kan succesvol worden aangepakt met geavanceerde oplossingen zoals Zivver, die de huidige e-mailsystemen aanvullen. Met de erkenning door Gartner en het partnerschap met Microsoft, heeft Zivver haar status als vertrouwde oplossing voor geavanceerde gegevensbescherming verworven. Dit zorgt ervoor dat organisaties kunnen voldoen aan de strenge vereisten van DORA, terwijl ze operationeel effectief blijven. De incorporatie van dergelijke geavanceerde technologieën stelt bedrijven in staat om met vertrouwen de uitdagingen van naleving aan te gaan, in de wetenschap dat hun e-mailcommunicatie wordt beschermd door toonaangevende beveiligingsmaatregelen.