5 min leestijd

Versterking van E-mailbeveiliging voor NIS2-naleving: De Rol van Microsoft 365 en aanvullende oplossingen

Geplaatst door Rick Goud op 12 maart, 2024

""

De NIS2-richtlijn en e-mailbeveiliging

De NIS2-richtlijn, een cruciaal stuk cybersecuritywetgeving in de EU, stelt strenge normen voor encryptie en authenticatie om gevoelige gegevens te beschermen. Deze vereisten zijn vooral relevant voor e-mailcommunicatie aangezien e-mail nog steeds veruit het belangrijkste middel is dat organisaties gebruiken om informatie te delen, maar ook een veelvoorkomende bron voor datalekken en cyberaanvallen. 

Met de komst van NIS2 herzien organisaties in de hele EU hun cybersecuritystrategieën. Een kritisch aspect van deze herziening omvat het evalueren van de capaciteiten van bestaande oplossingen zoals Microsoft 365 (M365) in het voldoen aan deze eisen. In deze blogpost wordt ingegaan op de beperkingen van M365 in de context van NIS2-naleving om gevoelige informatie via e-mail adequaat te beschermen en wordt de noodzaak van aanvullende oplossingen voor e-mailbeveiliging verkend.

De uitdaging van het afdwingen van e-mailbeveiliging in M365

Belangrijke vereisten van de NIS2-richtlijnen, uiteengezet in artikel 21, omvatten het hebben van beleid en procedures met betrekking tot het gebruik van cryptografie en, waar passend, encryptie, het gebruik van multifactorauthenticatie of continue authenticatieoplossingen om de bescherming van gegevens te waarborgen, evenals beveiligde communicatieoplossingen, waar passend.

Standaard ontbreekt bij e-mail elke vorm van encryptie en authenticatie. Maatregelen die nodig zijn om te zorgen dat e-mails beveiligd naar de juiste server worden verzonden, omvatten het afdwingen van transport-encryptie en het authenticeren van de e-mailserver van de ontvanger. Een mechanisme om dit te doen is door DANE te gebruiken, welke TLS en DNSSEC combineert. DANE wordt internationaal erkend als het meest betrouwbare protocol voor e-mailbeveiliging. Hoewel M365 inmiddels DANE ondersteunt, biedt het geen effectief alternatief, zoals Purview Message Encryption, voor situaties waarin DANE niet beschikbaar is bij de ontvanger. Dit geldt ook bij gebruik van alleen TLS of MTA-STS. Dit betekent dat met M365 organisaties moeten kiezen tussen het versturen van de e-mail met lagere beveiliging, wat de naleving van NIS2 en de beveiliging van de informatie in gevaar brengt, of het laten terugsturen van de e-mail naar de afzender, wat leidt tot communicatiestoringen. In de praktijk betekent dit dat belangrijke berichten mogelijk niet veilig of tijdig hun bestemming bereiken, wat bedrijfsactiviteiten en naleving beïnvloedt.

Beperkingen in geautomatiseerde verwerking van e-mails

Wanneer e-mails worden verzonden met Purview Message Encryption, hetzij door een gebruikersactie of een DLP-regel, ontstaat er een andere uitdaging. In het geval dat een ontvanger een bericht opent dat is versleuteld met Purview en besluit om erop te reageren, bijvoorbeeld door een ingevuld formulier terug te sturen of een vraag te stellen, worden deze reacties van ontvangers ook versleuteld met Purview Message Encryption. Dit vormt een aanzienlijke uitdaging voor veel organisaties, aangezien deze versleutelde antwoorden niet automatisch in een leesbare vorm kunnen worden verwerkt door geautomatiseerde systemen die veel grote organisaties gebruiken voor taken zoals het laden van berichten in CRM-systemen zoals Salesforce, of voor het routeren en verwerken van berichten. Dit betekent dat workflows aanzienlijk worden verstoord, aangezien e-mails handmatig moeten worden geopend in de ontvangende mailbox en handmatig naar of belangrijk in het daaropvolgende verwerkingssysteem moeten worden verzonden. U kunt zich de extra kosten, tijd en ruimte voor fouten die hiermee gepaard gaan voorstellen.

Aanvullende beperkingen van M365 voor effectieve e-mailbeveiliging

Naast deze twee belangrijke beperkingen, ontbreekt het M365 aan more functionaliteiten in andere kritieke gebieden die essentieel zijn om datalekken en ongeautoriseerde toegang te voorkomen:

  • Voorkomen van menselijke fouten: Verkeerd geadresseerde e-mails zijn een belangrijke oorzaak van datalekken, maar M365 mist robuuste mechanismen om dergelijke fouten te voorkomen.
  • Multi-Factor Authenticatie voor Ontvangers: Multi-Factor Authenticatie voor Ontvangers: MFA voor ontvangers is in bepaalde scenario's een noodzakelijke maatregel voor het voorkomen van ongeautoriseerde toegang. Dit wordt echter niet ondersteund door M365.
  • Toegang tot berichten intrekken: Met M365 kunt u alleen berichten intrekken wanneer u Purview Advanced Message Encryption gebruikt, maar alleen voor ontvangers buiten het Microsoft-ecosysteem. Met de hoge adoptie van Microsoft is deze functie weinig effectief.
  • Veilige bestandsoverdracht: Purview ondersteunt alleen het versleutelen van berichten als de bestandsgrootte niet meer dan 25MB bedraagt.
  • Zero-access encryptie: Purview biedt geavanceerde functionaliteit zoals Double Key Encryption. Dit kan echter nog niet worden toegepast op e-mailversleuteling via Outlook.
  • Eenvoudige toegang voor ontvangers: Purview maakt eenvoudige toegang tot berichten mogelijk via Microsoft-accounts. Echter, buiten het Microsoft-ecosysteem is toegang tot versleutelde berichten veel minder gebruiksvriendelijk.

De noodzaak voor aanvullende e-mailbeveiliging voor NIS2-naleving

Navigeren door het complexe landschap van NIS2-naleving vereist meer dan alleen opportunistische e-mailbescherming; het vraagt om verhoogde en afgedwongen niveaus van gegevensbeveiliging. Dit is waar zogenaamde Email Data Protection-platforms een cruciale rol spelen. Deze oplossingen overbruggen de gaten die zijn achtergelaten door reguliere platforms zoals Microsoft 365 en bieden geavanceerde functies die zijn afgestemd op de strenge eisen van NIS2. Ze bieden robuuste encryptie- en authenticatiemechanismen die verder gaan dan standaardaanbiedingen, en zorgen ervoor dat gevoelige informatie te allen tijde veilig blijft. Door dergelijke supplementen te implementeren, kunnen organisaties strengere controle uitoefenen over de gegevensstroom, de risico's van menselijke fouten verminderen en waar nodig multi-factor authenticatie bieden. Dit verhoogt niet alleen de beveiligingshouding van een organisatie, maar brengt deze ook naadloos in lijn met de NIS2-mandaten, waarbij naleving wordt gewaarborgd terwijl de operationele efficiëntie behouden blijft.

Zivver is Microsoft-partner en door Gartner erkend als toonaangevende specialist in e-mailbeveiliging

In het domein van e-mailbeveiliging wordt Zivver door Gartner erkend als koploper. Op dit gebied heeft Zivver ook een partnerschap met Microsoft. Deze synergie met Microsoft versterkt het vermogen om verbeterde beveiligingslagen bovenop de bestaande infrastructuur van M365 te bieden. De erkenning van Zivver door Gartner als toonaangevende specialist is een bewijs van zijn innovatieve aanpak bij het aanpakken van kwetsbaarheden in e-mailgegevens. Het unieke aspect van het platform ligt in zijn vermogen om naadloos te integreren met M365, waarbij de bestaande beveiligingsmogelijkheden van het systeem worden verhoogd zonder de gebruikerservaring onnodig te verstoren. Door de kritieke beperkingen van M365 aan te pakken, biedt Zivver een uitgebreide oplossing die geavanceerde versleuteling, multifactorauthenticatie voor ontvangers en mechanismen om menselijke fouten te voorkomen omvat. Deze krachtige combinatie versterkt niet alleen e-mailcommunicatie tegen inbreuken, maar zorgt ook voor naleving van de evoluerende eisen van NIS2.

Conclusie

Naarmate organisaties zich voorbereiden op de implementatie van NIS2, worden de beperkingen van Microsoft 365 in het bieden van volledige bescherming van e-mailgegevens duidelijk. Deze kloof kan echter effectief worden overbrugd met oplossingen zoals Zivver, die niet alleen bestaande e-mailoplossingen aanvullen maar ook verbeteren. Met de erkenning door Gartner en het partnerschap met Microsoft, heeft Zivver haar status als vertrouwde oplossing voor geavanceerde gegevensbescherming verworven, waarbij wordt gewaarborgd dat organisaties aan de strenge eisen van NIS2 kunnen voldoen zonder in te boeten aan operationele efficiëntie. Door dergelijke innovatieve oplossingen te integreren, kunnen bedrijven met vertrouwen de complexiteit van naleving navigeren, wetende dat hun e-mailcommunicatie is versterkt met de hoogste normen van beveiliging.

Rick Goud avatar

Rick Goud

CIO & Founder Zivver

Geplubliceerd: 12th maart 2024

Meld je aan voor onze nieuwsbrief
Deel dit

Vond je dit artikel interessant? Laat anderen er ook van weten

Blijf op de hoogte met Zivver

Blijf op de hoogte van security tips, meld je aan.