Regelmatig verschijnen er berichten in de krant over het lekken van data doordat een e-mail niet op een veilige manier is verzonden. Sinds 1 januari van dit jaar heeft de Autoriteit Persoonsgegevens (AP) de mogelijkheid om boetes op te leggen aan bedrijven (én overheden) die slordig omgaan met privacygevoelige data.
Per dag worden er wereldwijd meer dan tweehonderd miljard e-mails verstuurd. Veel van deze e-mail kan onder ‘spam’ geschaard worden. Tegenwoordig zijn ook phishing e-mails erg populair. Bij phishing doet de verzender zich als een bedrijf voor en probeert u via een malafide link op te lichten. Tussen al deze e-mail vindt u dan ook nog de zakelijke mail met offertes, opdrachtbevestigingen, werktekeningen en andere bedrijfsgeheimen waarvan u als bedrijf of overheid liever niet hebt dat die op straat komen te liggen.
Om te voorkomen dat iemand uw e-mail ongeoorloofd mee kan lezen, of veranderen, kunt u gebruik maken van de mogelijkheid om e-mail en bijlagen te versleutelen zodat alleen de ontvanger(s) met de juiste sleutel deze kunnen lezen. E-mail kan, vanaf het ‘enduser device’ (bijvoorbeeld een laptop), versleuteld worden met een certificaat (S/MIME, OpenPGP). Voor niet-zakelijk gebruik is dit een bruikbare oplossing, voor zakelijk gebruik kleven daar echter de nodige nadelen aan.
Nadelen encryptie
In zakelijke omgevingen wordt over het algemeen gebruik gemaakt van e-mail servers waar alle inkomende en uitgaande e-mail wordt ontvangen, verstuurd, opgeslagen en worden er back-ups gemaakt. Indien je vanaf het enduser device de e-mail gaat encrypten, zal deze encrypt op de mailserver komen te liggen. Als de betreffende medewerker de organisatie verlaat en het certificaat wordt meegenomen of ongeldig gemaakt (Revoke) dan is de mail op de server niet meer terug te lezen. Daarmee voldoet het bedrijf niet aan de wettelijke eis dat de mail gedurende een bepaalde periode (vijf jaar) bewaard en gereproduceerd moet kunnen worden.
Het tweede nadeel is dat het bedrijf het toepassen van encryptie niet automatisch kan afdwingen omdat de medewerker dat zelf bepaalt.
Meest eenvoudige oplossing
De meest ideale oplossing voor bedrijven en (overheids)instellingen bestaat uit een oplossing die automatisch aan de hand van de bedrijfspolicies bepaalt of een e-mail wel of niet versleuteld moet worden. Dit kan bereikt worden met een e-mail gateway die achter de mailserver in het netwerk wordt geplaatst.
De bedrijfspolicies worden omgezet naar regels(rules) en in de rulebase ingevoerd. Deze rulebase zorgt voor de juiste afhandeling zonder dat de verzender daar enige notie van heeft. Alle e-mail die op deze manier wordt verstuurd is nog altijd leesbaar (onversleuteld) aanwezig op de mailserver en in de back-ups.
Ook in het geval van ‘hosted e-mail’ kan men een e-mail gateway inzetten, de mails van en naar de cloud worden dan omgeleid naar een zogenaamde ‘on premisse’ gateway die zorg draagt voor de versleuteling. De e-mails en bijlagen liggen onversleuteld op de mailservers (en back-ups) van de cloud dienstverlener. Kleinere ondernemingen met weinig medewerkers kunnen gebruik maken van de mail encryptie services van een Nederlands hostingbedrijf.
De e-mail gateway die hier is beschreven is een product van een bekende Nederlandse cryptofabrikant die ook de ondersteuning vanuit Nederland levert. Er is directe toegang tot kennis, updates en upgrades en vooral: Geen achterdeurtjes! Wereldwijd maken al honderden klanten gebruik van deze oplossing, waarom u nog niet?
Voor zakelijke omgevingen is het gebruik van certificaten (S/MIME, OpenPGP) geen enkel probleem (zoals beweerd wordt in dit artikel). De asymmetrische versleuteling van de gebruikte symmetrische sleutel kan gedaan worden met meerdere publieke certificaten tegelijkertijd. Dit kunnen ook een of meerdere ook bedrijfscertificaten zijn. De private sleutels welke bij deze bedrijfscertificaten horen zijn bekend bij een of meerdere medewerkers van het bedrijf. Alle versleutelde info kan dan altijd ontsleuteld worden door het bedrijf mocht dit noodzakelijk zijn.
Beste Willem Gravesande,
in de ideale wereld is certificaat management goed ingericht en wordt nauwkeurig geadministreerd. Dit betekent wel dat men kennis moet hebben van deze materie en een nauwgezette sleuteladministratie moet voeren. Dat is niet voor ieder bedrijf, en zeker niet voor de kleintjes, vanzelfsprekend eenvoudig vanwege het ontbreken van expertise.
S/MIME en (open)PGP kunnen gebruikt worden in de communicatie met personen (of servers) die dit ook hebben. (uitwisselen van Public Keys)
Ingeval de communicatiepartner geen certificaat heeft kun je met behulp van de Gateway ook met deze personen encrypted mail uitwisselen. Je kunt dan gebruik maken van de Webmail- of PDF mail functionaliteit. Op deze manier kan een advocaat of arts altijd veilig met de cliënt data uitwissel per e-mail.
Ad Koolen,
Goed punt, ‘sleutelbeheer’ is essentieel en na een groot aantal organisatorische incidenten
blijkt dit procesmatig binnen veel PKI-infrastucturen (DigiNotar?) nogal wanordelijk te zijn.
Beveiliging kost geld en e-mail is uiteindelijk vooral een bezuiniging op de postzegels die de prijs van enveloppen vergeet, over de brievenbussen zal ik nog maar niets zeggen omdat er nog een ander risico’s is met malware.
@Ad Koolen: in de ideale wereld zou de beveiliging niet nodig moeten zijn ….
@Ad Koolen
Dank voor de reactie. We gebruiken al jaren OpenPGP. Daarbij voldoen we ook aan alle wettelijke eisen. Bijvoorbeeld bij het gegeven phishing voorbeeld in het artikel is het ondertekenen van de email berichten voldoende. Daarbij behoeft de ontvanger geen publieke sleutel te hebben.
@Willem Gravesande | 24 mei 2016: Standaard Roundcube 1.2 ondersteund op dit moment ook al Client-side en Server-side PGP. Daar is geen e-mail gateway voor nodig.
@Q | 25 mei 2016 16:09: Dank. We hebben Roundcube 1.2 geinstalleerd. Het werkt.