Vanaf 17 januari 2025 treedt de Digital Operational Resilience Act (DORA) in werking voor alle financiële organisaties in de EU. DORA stelt strenge eisen aan de ICT-weerbaarheid van financiële instellingen. E-mailbeveiliging speelt daarbij een cruciale rol. Dit artikel gaat in op de eisen die DORA stelt aan e-mailbeveiliging ‘in transit’, ofwel transportbeveiliging, de tekortkomingen van Microsoft 365 (M365) in dit kader, en waarom aanvullende oplossingen noodzakelijk zijn om op dit aspect van e-mailbeveiliging aan DORA te voldoen. 

DORA-eisen voor e-mailbeveiliging 

DORA verplicht financiële instellingen om de beveiliging van gegevensoverdracht te waarborgen. De belangrijkste eisen van DORA voor e-mailbeveiliging zijn: 

1. Goedgekeurde gegevensclassificatie en risicobeoordeling: Gegevens moeten geclassificeerd worden om te kunnen zorgen dat er passende beveiliging is voor verschillende soorten informatie (Artikel 6, Artikel 7, Artikel 13,  Artikel 14). 
2. Sterke encryptie van data in transit en at rest: Gegevens moeten zowel tijdens verzending als in opgeslagen staat worden versleuteld met best-practice versleuteling (Artikel 6, Artikel 7, Artikel 14). 
3. Sterke authenticatie van ontvangers: MFA (multi-factor authenticatie) moet worden toegepast op gevoelige e-mails om de identiteit van ontvangers te verifiëren en de toegang tot kritieke gegevens beter te beveiligen. (Artikel 20, Artikel 21). 
4. Bewijst van beveiligde aflevering en geautoriseerde toegang: Vertrouwelijkheid van gegevens tijdens netwerkoverdracht is gewaarborgd, en er zijn procedures om de naleving van deze vereisten te beoordelen (Artikel 14). Ook moet er logging zijn met alle gebeurtenissen rondom de toegang tot gevoelige gegevens (Artikel 12). 
5. Maatregelen tegen menselijke fouten: Er moeten ICT-oplossingen geïmplementeerd zijn die beschermen tegen de risico’s van datalekken en van menselijke fouten (Artikel 9, Artikel 11).
   

   In dit artikel geen we specifiek in op de specifieke eisen rondom encryptie van data in transit, ook wel transportbeveiliging genoemd, in relatie tot e-mail. 

Eisen aan encryptie van data in transit in relatie tot e-mail 

DORA legt sterke nadruk op de versleuteling van gegevens in transit zoals beschreven in Artikel 6, Versleuteling en cryptografische controles. Zo stelt Artikel 6, lid 2 dat financiële entiteiten beleidsmaatregelen moeten hebben die "regels bevatten voor al het volgende: a. de versleuteling van gegevens in rust en tijdens overdracht; Artikel 14, lid 1 benadrukt dat "als onderdeel van de waarborgen om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te behouden, financiële entiteiten beleid, procedures, protocollen en tools moeten ontwikkelen, documenteren en implementeren om informatie tijdens overdracht te beschermen.". 

Goede encryptie in transit, ook wel transportbeveiliging genoemd, moet ervoor zorgen dat e-mails en hun bijlagen beschermd zijn tegen afluisteren of ongeautoriseerde wijzigingen tijdens de verzending. Dit is cruciaal voor het behoud van de vertrouwelijkheid en integriteit van gegevens bij communicatie met klanten of derden. 

Waarom het gebruik van TLS bij e-mail niet veilig genoeg is 

TLS (Transport Layer Security), of eigenlijk StartTLS, wordt door velen nog steeds gezien als de standaard voor e-mailencryptie of de transportbeveiliging van e-mail. Echter, TLS is lang niet zo veilig als vaak wordt gedacht. Een van de nadelen van TLS is dat e-mailclients en servers niet verplicht zijn om mee te werken, waardoor de beveiliging niet gegarandeerd is. Dit biedt ruimte voor aanvallers om een 'downgrade-aanval' uit te voeren, waarbij de StartTLS-mogelijkheid van een server voor een e-mailclient kan worden verborgen, zodat de e-mail alsnog onversleuteld verstuurd wordt. 

Daarnaast biedt TLS geen end-to-end authenticatie. Dit betekent dat een aanvaller potentieel een man-in-the-middle-aanval kan uitvoeren en e-mails kan onderscheppen en versleutelen met zijn eigen certificaat. Hierdoor kunnen aanvallers de inhoud van de e-mails lezen zonder dat de verzender of ontvanger dit doorheeft. TLS zorgt voor versleuteling van de verbinding tussen de mailservers tijdens het transport, maar zonder een goede verificatie van certificaten blijft er een risico bestaan op misbruik. Daarom is aanvullende beveiliging noodzakelijk om ervoor te zorgen dat e-mails veilig en betrouwbaar worden verstuurd en ontvangen. 

Waarom DANE de enige veilige e-mailstandaard is 

DANE (DNS-based Authentication of Named Entities) biedt hier een oplossing voor. DANE is een veel veiligere methode om te zorgen dat e-mails alleen worden verzonden over verbindingen die daadwerkelijk beveiligd zijn. Het voorkomt dat e-mails onversleuteld verstuurd worden, zoals bij TLS soms kan gebeuren. DANE bouwt voort op DNSSEC en biedt zekerheid over de identiteit van de ontvangende mailserver, waardoor het risico op man-in-the-middle-aanvallen drastisch wordt verminderd. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen. Het dwingt het gebruik van TLS af, wat voorkomt dat een aanvaller de StartTLS-mogelijkheid kan blokkeren om toegang te krijgen tot onversleutelde berichten. 

Gelukkig heeft Microsoft recent ondersteuning voor DANE op inkomende e-mail toegevoegd in M365. Dit betekent dat steeds meer domeinen in de komende maanden DANE zullen implementeren, waardoor het afdwingen van DANE-realistische opties biedt voor financiële organisaties die aan DORA willen voldoen. 

Tekortkomingen in de DANE-implementatie van Microsoft 

Microsoft biedt in M365 sinds 2022 ondersteuning voor DANE voor het verzenden van e-mails. Het standaardgedrag blijft echter opportunistisch: de server probeert eerst via DANE te verbinden, maar als de ontvangende server DANE niet ondersteunt, schakelt deze automatisch over naar TLS of zelfs naar een volledig onbeveiligde verbinding. Dit brengt aanzienlijke risico's met zich mee, zeker voor organisaties die strikt aan DORA willen voldoen. 

Hoewel het mogelijk is om in M365 te configureren dat e-mails alleen via DANE mogen worden verstuurd, brengt dit onwerkbare praktische problemen met zich mee. Als de ontvangende partij geen DANE ondersteunt, wordt de e-mail simpelweg niet bezorgd en teruggestuurd (‘gebounced’) aan de verzender. Aangezien veel organisaties, waaronder grote spelers zoals Google, nog geen ondersteuning voor DANE bieden, kan dit ertoe leiden dat een aanzienlijk deel van de e-mails terug wordt gestuurd aan de medewerkers. Dit betekent dat medewerkers andere manieren moeten vinden om gevoelige informatie te communiceren, wat in de praktijk uiteraard niet werkbaar is. 

Kortom, Microsoft biedt geen veilig fallback-mechanisme als DANE niet wordt ondersteund, bijvoorbeeld naar Purview Message Encryption. Dit staat ook niet op de openbare roadmap, en zal daarmee vrijwel zeker de komende jaren niet beschikbaar zijn. Dit betekent dat financiële instellingen die volledig willen voldoen aan DORA, niet zonder aanvullende beveiligingsoplossingen kunnen. 

Aanvullende oplossing voor e-mailencryptie noodzakelijk 

De enige haalbare optie om compliant transportbeveiliging van e-mailverkeer te waarborgen en te voldoen aan de DORA-eisen is het gebruik van een aanvullende e-mailbeveiligingsoplossing. Gartner beveelt aan om naast de standaardbeveiliging van M365 een specialist voor e-mailgegevensbescherming te gebruiken. 

Specialistische oplossingen bieden geavanceerde e-mailencryptie waarmee DANE wel afgedwongen kan worden met een veilige fall-back is voor ontvangers die DANE niet ondersteunen. Deze oplossingen kunnen verschillende beveiligingsniveaus aan, maar als de verzender of zijn organisatie bepaalt dat bepaalde informatie met DANE moet worden verzonden, controleert de oplossing - vaak tijdens het opstellen van de e-mail - of de ontvanger DANE ondersteunt. Indien dit het geval is, vindt er afgedwongen aflevering via DANE plaats; zo niet, dan wordt de e-mail geleverd via een beveiligd berichtenportaal met (sterke) authenticatie. Deze methode is niet gevoelig voor de eerdergenoemde ‘man-in-the-middle’ en ‘downgrade’ aanvallen. De sterkte van de authenticatie van de ontvanger kan door de verzender of de organisatie worden vastgesteld en kan afhankelijk zijn van de classificatie. Voorbeelden zijn tweestapsverificatie via e-mail of tweefactorauthenticatie via een automatisch verstuurde SMS-code voor (zeer) privacygevoelige informatie. 

Naast het kunnen afdwingen van DANE bieden veel specialistische oplossingen ook functionaliteiten op aspecten waar de oplossing van M365 tekortschiet in functionaliteit en gebruiksvriendelijkheid. Denk aan automatische dataclassificatie, sterke encryptie van opgeslagen data, sterke ontvangerauthenticatie, het voorkomen van datalekken door menselijke fouten, en het bieden van file-transfer en digitaal ondertekenen. Deze extra beveiligingslagen zijn noodzakelijk om volledig aan de DORA-eisen te voldoen, terwijl de operationele efficiëntie van e-mail als communicatiemiddel behouden blijft. Daarnaast maken deze oplossingen het mogelijk om traditionele papieren communicatie veilig te digitaliseren, zoals brieven, aangetekende post en natte handtekeningen. Ook kunnen ze helpen om losse, specifieke oplossingen samen te brengen in een geïntegreerde aanpak. 

Conclusie 

Het naleven van de DORA-richtlijnen voor e-mailbeveiliging gaat verder dan de standaardfunctionaliteiten van Microsoft 365. Hoewel de ondersteuning voor DANE een stap in de goede richting is, blijven er significante beperkingen bestaan, zoals de opportunistische downgrade naar TLS en het ontbreken van een automatische fallback naar andere versleutelde kanalen zoals Purview Message Encryption. Daarom is het voor financiële instellingen cruciaal om gebruik te maken van aanvullende e-mailbeveiligingsoplossingen. Deze oplossingen bieden niet alleen geavanceerde encryptie en veilige fallback-methoden, maar ook extra functionaliteiten zoals automatische dataclassificatie, sterke authenticatie en veilige digitale communicatie, waardoor aan alle DORA-vereisten wordt voldaan zonder concessies te doen aan de operationele efficiëntie. Bovendien bieden deze oplossingen aanvullende voordelen, zoals het veilig digitaliseren van papieren communicatie, het samenbrengen van losse oplossingen in een geïntegreerde aanpak, en het verbeteren van de gebruiksvriendelijkheid en efficiëntie van beveiligde e-mailcommunicatie.