Steeds meer organisaties implementeren een oplossing voor 'Veilig Mailen'. Soms doen ze dit omdat ze het zelf belangrijk vinden, omdat ze horen dat het belangrijk is, of gewoon omdat ze aan wettelijke verplichtingen moeten voldoen zoals de AVG, WDO, NIS2, en DORA. Deze wetgevingen stellen eisen aan 'sterke encryptie', 'twee-factor-authenticatie', 'voorkomen van ongeautoriseerde toegang' en 'voorkomen van menselijke fouten'. Eisen waarvan de meerderheid van experts het eens is dat er aanvullende oplossingen nodig zijn op de standaard mailoplossingen van Microsoft en Google om aan deze eisen te kunnen voldoen.
Wat opvalt, is dat veel organisaties die claimen al een aanvullende oplossing voor 'Veilig Mailen' te hebben, niet duidelijk kunnen uitleggen welk probleem ze ermee beogen op te lossen. Ze noemen vaak vage redenen zoals 'datalekken voorkomen', 'gevoelige informatie beveiligen' of 'voldoen aan de eisen van XX' zonder uit te kunnen leggen hoe de oplossing daaraan bijdraagt. Het is verbazingwekkend dat zoveel organisaties een aanvullende oplossing nemen waarvan ze niet kunnen uitleggen hoe deze bijdraagt aan een oplossing van het probleem. Dit leidt niet alleen tot schijnveiligheid en het verspillen van geld, maar in veel gevallen ook tot een lagere gebruiksvriendelijkheid voor de eigen medewerkers en de mensen waarmee ze communiceren. Met frustraties en inefficiënties tot gevolg. Hierdoor ontstaat een vorm van greenwashing, waarbij de organisatie bij 'Veilig Mailen' slechts een vinkje wil zetten, maar niet het echte probleem wil oplossen.
In deze blog bespreek ik waarom het zo belangrijk is om zorgvuldig te zijn bij het kiezen van een 'Veilig Mailen' oplossing en welke valkuilen vermeden moeten worden.
De meest gehoorde doelstellingen van 'Veilig Mailen'
Voordat je een oplossing voor wat dan ook gaat zoeken, moet je uiteraard eerst helder hebben welke problemen je wilt oplossen en/of welke doelen je wilt realiseren. Verrassend genoeg blijken veel organisaties dit niet te hebben gedaan en zijn ze gewoon op zoek gegaan naar een oplossing die zich 'Veilig Mailen' noemt. Dat lijkt erg onverstandig. Organisaties die wel nadenken over welke doelen ze willen bereiken met 'Veilig Mailen' komen vrijwel altijd tot de volgende antwoorden:
Met een oplossing voor Veilig Mailen willen wij:
- Datalekken door menselijke fouten voorkomen
- Gevoelige informatie passend beveiligen
- Informatie kunnen delen met de juiste juridische aantoonbaarheid
- Awareness van medewerkers rondom privacygevoelige informatie vergroten
- Voldoen aan normen
- Voldoen aan wetgeving
- Interoperabiliteit
Laten we deze doelstellingen nader bekijken en zien waar het vaak misgaat.
Datalekken door menselijke fouten voorkomen
Vrijwel alle organisaties stellen dat het voorkomen van datalekken het belangrijkste doel van 'Veilig Mailen' is. Datalekken ontstaan meestal door menselijke fouten, zoals het versturen van informatie naar de verkeerde ontvanger. Uit de rapporten over de 140.000 datalekken die de afgelopen zes jaar in Nederland zijn gemeld, blijkt dat alle datalekken met e-mails en andere vormen van digitale communicatie werden veroorzaakt door menselijke fouten. Denk aan het versturen van informatie naar de verkeerde ontvanger, het sturen van de verkeerde informatie, of het gebruiken van CC in plaats van BCC.
Een effectieve 'Veilig Mailen' oplossing moet daarom de volgende functies bieden om datalekken te helpen voorkomen:
- Waarschuwen voor ongewone ontvangers: De oplossing moet medewerkers waarschuwen als ze een e-mail willen sturen naar een ongebruikelijke ontvanger. Bijvoorbeeld: “Je stuurt medische informatie naar ‘Jan.devries@hotmail.com’. Bedoel je niet ‘Janus.devries@hotmail.com’?”
- Waarschuwen voor gevoelige informatie: Medewerkers moeten gewaarschuwd worden als ze gevoelige informatie zoals BSN-nummers in een onderwerpregel of bijlage willen versturen.
- Adviseren om BCC te gebruiken bij grote aantallen ontvangers: Een melding zoals “Er staan 12 mensen in de CC. Het is aan te raden deze naar de BCC te verplaatsen” kan veel datalekken voorkomen.
- Kunnen intrekken van toegang tot berichten: Fouten zullen gemaakt blijven worden. Daarom moeten medewerkers in staat zijn om foutief verzonden berichten in te trekken, met inzicht in wie het bericht mogelijk al heeft gelezen.
Klinkt logisch, toch? Toch biedt het overgrote deel van de ‘Veilig Mailen’ oplossingen geen van de genoemde interacties met gebruikers. Degenen die het wel (zeggen te) bieden, geven vaak slechts een waarschuwing zoals ‘je mailt naar iemand buiten je organisatie’ of ‘je mailt voor het eerst met persoon X’. Deze meldingen zijn zeer beperkt waardevol, aangezien het helemaal niet om ongewoon gedrag gaat en de gevoeligheid van de informatie niet wordt betrokken. Dit zorgt voor meldingmoeheid (alert-fatigue) en werkt daarmee juist averechts. Eventuele interventies moeten sensitief en effectief zijn in plaats van generiek en invasief.
Een enkele oplossing biedt de mogelijkheid om toegang tot berichten terug te trekken, maar daar moet je meestal voor naar een apart portaal gaan, inloggen, het bericht zoeken en dan terugtrekken zonder dat je daarbij ziet wie het bericht mogelijk al heeft gelezen. In een dergelijke noodsituatie weten medewerkers dat portaal vrijwel zeker niet (tijdig) te vinden, en zonder te weten wie het bericht al heeft gelezen, is de maatregel zeer beperkt waardevol. Dit maakt dat deze doelstelling van ‘Veilig Mailen' in de meeste gevallen niet wordt behaald.
Gevoelige informatie passend beveiligen
Sommige informatie hoeft niet beveiligd te worden (bijvoorbeeld een lunchafspraak), sommige informatie moet beveiligd worden met transportbeveiliging (bijvoorbeeld een overeenkomst met een leverancier), andere informatie moet met twee-factor-authenticatie worden beveiligd (bijvoorbeeld medische informatie) en weer andere informatie moet aangetekend worden verstuurd (bijvoorbeeld een ingebrekestelling). De manier waarop communicatie moet worden beveiligd, is dus afhankelijk van de gevoeligheid, vaak omschreven als de classificatie van de informatie. Passend beveiligen is nodig om te voldoen aan wetgeving (AVG, NIS2) en normen (NCSC, NTA 7516, BIO). Om informatie effectief passend te beveiligen moet een oplossing de volgende functionaliteiten bieden:
- Gebruik van intelligente algoritmen om automatisch de juiste gevoeligheid te bepalen: Het toekennen van de juiste classificatie of label aan communicatie is essentieel om informatie passend te beveiligen. Hierbij is het onwenselijk dat medewerkers dit zelf moeten toekennen, aangezien dit foutgevoelig is en/of vergeten wordt. Een goede oplossing voor Veilig Mailen moet daarom automatisch classificeren. Het is hierbij essentieel dat dit gebeurt met effectieve, intelligente algoritmen die een hoge ‘predictieve waarde’ hebben bij het bepalen van de juiste gevoeligheid.
- Automatisch de juiste veiligheid selecteren met regie bij de medewerker: Voor optimale gebruiksvriendelijkheid, en vanuit privacy by default, moet de oplossing automatisch Veilig Mailen aanzetten als de gevoeligheid van de informatie daarom vraagt. Gezien het feit dat geen enkel classificatie-algoritme perfect is, moeten medewerkers voordat het bericht daadwerkelijk wordt verzonden over de gevonden gevoeligheid worden geïnformeerd, zodat zij de mogelijkheid hebben om de classificatie/beveiliging te veranderen ten opzichte van de bevinding van het algoritme.
- Medewerkers helpen de juiste authenticatie in te stellen: Sommige informatie moet met sterke authenticatie worden verstuurd, zoals medische informatie over een persoon naar een ontvanger buiten een gecertificeerde zorginstelling, of een aangetekende mail. Dat betekent dat de verzender verantwoordelijk is om bijvoorbeeld het mobiele nummer van de ontvanger in te stellen als deze nog niet bekend is. De oplossing moet de medewerker op een gebruiksvriendelijke manier helpen de juiste veiligheid in te stellen.
Waarschijnlijk klinkt dit logisch. Maar ook hier zie je dat het overgrote deel van de ‘Veilig Mailen’ oplossingen op de markt geen van deze drie functionaliteiten biedt. Vrijwel altijd moeten medewerkers zelf de juiste label of classificatie selecteren of op de juiste knop drukken (ook als ze niet weten dat het moet). Oplossingen die wel claimen automatische classificatie te doen, gebruiken hiervoor vaak ‘domme’ woordenlijsten of patroonherkenning die maar in 10% tot 20% van de gevallen informatie goed classificeren. Oftewel, in meer dan 80% van de gevallen wordt informatie niet passend beveiligd.
De meeste oplossingen voor Veilig Mailen bieden alleen een ‘relay-oplossing’. Dit betekent dat ze ‘achter’ de eigen mailserver worden geplaatst en niet integreren in Outlook/Gmail. Het gevolg hiervan is dat deze oplossingen medewerkers niet kunnen informeren over, of betrekken bij, de beveiliging of de in te stellen authenticatie. In plaats daarvan wordt de verzender, nadat deze de mail al denkt te hebben verzonden, een retourmail gestuurd met de vraag om de gevonden classificatie te bevestigen en/of de ontbrekende authenticatie alsnog in te vullen voordat het bericht wordt verzonden. Na elke e-mail moeten afwachten of er een retourmail komt met extra instructies is niet bevorderlijk voor de medewerkertevredenheid en productiviteit. Dit leidt zelfs tot problemen, omdat mails mogelijk niet worden verzonden als de verzender niet op de retourmail reageert.
Informatie kunnen delen met de juiste juridische aantoonbaarheid
Veel organisaties willen veilig mailen inzetten voor officiële communicatie en/of ter vervanging van aangetekende post of fax. Voor veel organisaties is het essentieel dat deze communicatie een bepaalde mate van aantoonbaarheid heeft waarmee in het geval van een vraag, bezwaar of geschil aangetoond kan worden hoe, wanneer en door wie bepaalde communicatie is verstuurd, ontvangen en bekeken. Net als met aangetekende post. In eIDAS-termen wordt dat ERDS genoemd. Een oplossing voor Veilig Mailen die ingezet moet kunnen worden voor dergelijke communicatie, moet daarom de mogelijkheid bieden voor:
- Het opvragen van een afleverbewijs: Dit bewijs toont aan dat een e-mail succesvol is afgeleverd bij de e-mailserver van de ontvanger. Gebruikers moeten dit bewijs eenvoudig kunnen opvragen in een overzichtelijke en begrijpelijke vorm. Dit type bewijs is vergelijkbaar met het ontvangstbewijs van een fax, ook wel aangeduid als eDelivery.
- Het opvragen van een ontvangstbewijs: Dit bewijs bevestigt dat de ontvanger de e-mail daadwerkelijk heeft ontvangen en geaccepteerd. Gebruikers moeten dit bewijs eenvoudig kunnen opvragen in een overzichtelijke en begrijpelijke vorm. Dit type bewijs is vergelijkbaar met het ontvangstbewijs van aangetekende post, ook bekend als 'aangetekende mail' of 'registered email' in het Engels.
Met het risico in herhaling te vallen, moeten we ook hier constateren dat er nauwelijks oplossingen zijn die deze functionaliteiten bieden. Een aantal aanbieders biedt wel een functionaliteit voor een afleverbewijs, maar vrijwel altijd moeten medewerkers daarvoor naar een apart portaal gaan, inloggen en het bericht opzoeken. In de meeste gevallen bestaat dat ‘afleverbewijs’ uit zeer technische log-informatie waar een normaal mens geen wijs uit kan. Een enkele oplossing biedt de mogelijkheid om een aangetekende mail te sturen en het bijpassende bewijs op te vragen.
Awareness medewerkers rondom privacygevoelige informatie vergroten
Veel organisaties vinden het belangrijk dat een oplossing voor Veilig Mailen het privacybewustzijn van medewerkers vergroot. Mede omdat in de AVG, NIS2 en DORA staat dat het zorgen voor awarenesstraining van medewerkers rondom privacy- en cyberrisico’s verplicht is en het bieden van awarenesstraining geïntegreerd in de dagelijkse werkwijze van medewerkers aanzienlijk effectiever is dan alleen het bieden van een jaarlijkse training.
Voor het vergroten van de awareness van medewerkers moet een oplossing voor Veilig Mailen medewerkers dus informeren over (bijzondere) privacygevoelige informatie in hun e-mails of bijlagen en hen informeren over het beleid. Een oplossing moet daarmee de functionaliteit bieden om medewerkers te informeren of waarschuwen voor gevoelige informatie en beveiligingseisen en -mogelijkheden. Dit komt daarmee overeen met een van de functionaliteiten die nodig is om datalekken te voorkomen, waarvan we eerder hebben vastgesteld dat het overgrote deel van de oplossingen hier geen functionaliteit voor biedt.
Voldoen aan normen en standaarden
Sommige organisaties willen voorop lopen in informatiebeveiliging en/of zorgen dat in het geval van een datalek hen zo min mogelijk te verwijten valt. Daarom willen zij voldoen aan normen en standaarden. In Nederland spelen de volgende normen de belangrijkste rol bij het onderwerp Veilig Mailen:
- Standaard voor ‘beveiligde mail’: Op het forum standaardisatie staan alle normen waaraan organisaties in de publieke sector moeten voldoen. Op het gebied van e-mail is het gebruik van de standaarden STARTTLS en DANE verplicht om e-mails van verzendende mailserver tot ontvangende mailserver te beveiligen (server naar server), vaak aangeduid als ‘beveiligde mail’. Een oplossing voor Veilig Mailen moet de organisatie dus helpen aan deze ‘beveiligde mail’-standaarden te voldoen.
- Standaard voor ‘vertrouwelijke mail’: De NTA 7516 norm beschrijft 30 eisen waaraan een organisatie, niet een leverancier/oplossing, moet voldoen als zij gevoelige informatie passend wil beveiligen. Het gaat hierbij om beveiliging van de verzender tot de ontvanger (persoon naar persoon), vaak aangeduid als ‘vertrouwelijke e-mail’. Pas als de organisatie in een zelfverklaring beschrijft dat hij invulling geeft aan al deze 30 eisen, kan de organisatie stellen te voldoen. Deze norm is momenteel van toepassing op organisaties die gevoelige medische informatie delen of organisaties die communiceren met De Rechtspraak. Idealiter helpt een oplossing voor Veilig Mailen een organisatie dus aan zo veel mogelijk van deze 30 eisen op een zo goed en effectief mogelijke manier te voldoen.
Een oplossing/leverancier mag tegenwoordig niet meer stellen ‘aan de NTA-7516’ te voldoen, aangezien certificeringen zijn ingetrokken omdat bleek dat certificaten onterecht waren uitgereikt aan leveranciers die essentiële functionaliteiten niet boden. Ze kunnen hooguit stellen ‘een organisatie te kunnen helpen aan de NTA-7516 te voldoen’. Echter, de NTA-7516 stelt 30 eisen en de meeste oplossingen in de markt zijn relay-oplossingen, wat betekent dat ze überhaupt niet kunnen helpen te voldoen aan alle circa 10 eisen die te maken hebben met alles wat daarvoor gebeurt, zoals herkomstbevestiging en onweerlegbaarheid van de verzender. Toch zijn er genoeg organisaties die claimen aan de NTA-7516 te voldoen zonder een uitgebreide zelfverklaring waarin voor elk van de 30 eisen staat beschreven welke maatregelen er dan zijn genomen om invulling te geven aan de eis en ze gebruik maken van een oplossing die ze bij een groot deel van de eisen niet kan helpen.
Dan het voldoen aan de overheidsstandaarden. Hoewel Microsoft en Google wel DANE ondersteunen, kan het afdwingen ervan niet tenzij je als organisatie accepteert dat de e-mails verstuurd aan ontvangers die niet aan DANE voldoen retour komen. En aangezien in Nederland minder dan 50% aan DANE voldoet en in de rest van de wereld significant minder, is dat niet wenselijk. De meeste specialistische oplossingen voor Veilig Mailen bieden dit ook niet en degenen die het wel bieden gebruiken de klanten het momenteel meestal niet.
Natuurlijk is het voldoen aan wetgeving geen keuze, maar een must voor organisaties. Op dit moment met name de AVG voor alle organisaties en binnenkort daarbovenop de NIS2 en DORA. In deze wetgeving staan eigenlijk vooral eisen rondom alles binnen het redelijke doen om datalekken te voorkomen, gevoelige informatie passend beveiligen, ongeautoriseerde toegang voorkomen en awareness van medewerkers rondom privacygevoelige informatie vergroten. Oftewel, het grootste deel van de eisen die hierboven staan genoemd. Aanvullende eisen die nog aan oplossingen moeten worden gesteld om geheel aan deze wetten te voldoen zijn:
Voorkomen ongeautoriseerde toegang: Bij gebruik van M365 en Google kunnen deze leveranciers en de US-overheid bij data van gebruikers. Voor veel organisaties is het belangrijk te zorgen dat dit niet kan, door te zorgen dat zeer gevoelige informatie alleen versleuteld bij Microsoft/Google staat en de leverancier ook niet bij de data kan.
Een deel van de Veilig Mailen oplossingen in de markt hebben zelf ook (technisch) toegang tot de e-mails en bestanden die worden verstuurd. Een goede proef is bij de applicatie op de ‘wachtwoord vergeten’ knop klikken, een nieuw wachtwoord instellen en dan kijken of je weer bij je oude berichten kan. Zo ja, dan waren de berichten en bestanden niet (goed) versleuteld.
Daarbij kunnen de pure relay-oplossingen niet zorgen dat Microsoft en Google, en dus de US-overheid, niet bij je berichten kunnen en kunnen ook de meeste andere oplossingen dat niet.
Interoperabiliteit
Het is belangrijk om te kiezen voor oplossingen die interoperabiliteit ondersteunen omdat dit organisaties in staat stelt om effectief en veilig te communiceren, zonder afhankelijk te zijn van de keuzes van stakeholders. Een oplossing moet daarom gebaseerd zijn op open standaarden en naadloos kunnen integreren met verschillende systemen en platforms.
Helaas is dit vaak niet het geval. Veel 'Veilig Mailen' oplossingen opereren binnen gesloten netwerken, waardoor communicatie tussen verschillende systemen wordt bemoeilijkt. Dit creëert een situatie waarin organisaties vastzitten aan een specifieke leverancier en hun partners en klanten dwingen dezelfde oplossing te gebruiken, wat de flexibiliteit en efficiëntie beperkt.
Conclusie
Veel organisaties kiezen voor 'Veilig Mailen' oplossingen zonder goed te begrijpen welke problemen ze daarmee oplossen. Dit leidt tot teleurstellingen, schijnveiligheid, inefficiënties en een vermindering van de gebruiksvriendelijkheid. Het is verbazingwekkend dat zoveel organisaties genoegen nemen met oplossingen die aan vrijwel geen van de logische en noodzakelijke eisen voldoen.
Door blindelings te vertrouwen op deze oplossingen zonder grondig na te denken over hun effectiviteit en toegevoegde waarde, lopen organisaties het risico zich schuldig te maken aan een vorm van greenwashing, waarbij 'Veilig Mailen' slechts een oppervlakkige oplossing lijkt die geen echte veiligheid biedt. De juiste keuze voor een 'Veilig Mailen' oplossing betekent niet alleen voldoen aan de wettelijke eisen, maar ook het effectief voorkomen van datalekken, passend beveiligen van gevoelige informatie en het verhogen van het bewustzijn van medewerkers omtrent privacy.
Alleen met een weloverwogen en zorgvuldig gekozen oplossing kan 'Veilig Mailen' daadwerkelijk zijn beloften waarmaken en voorkomen dat het een vorm van modern greenwashing wordt, met gevaar voor de organisatie, de medewerkers en alle stakeholders.
Staat u aan de vooravond van een selectietraject, of loopt u tegen vergelijkbare uitdagingen aan? Graag ga ik met u in gesprek om ervaringen en best practices met u te delen.
Geschreven door Rick Goud, CIO Zivver