Alleen al vanwege de invoering van de AVG was 2018 een belangrijk jaar voor de markt van e-mailbeveiliging. En 2019 belooft nu al een enerverend jaar te worden nu de erkenning van schaduw-it (en de bewustwording van de gevaren die daarmee gepaard gaan) de markt naar nieuwe innovatieve oplossingen voor veiligere e-mail drijven.
- Terugblik op 2018: Schaduw IT en AVG drijven innovatie
In de afgelopen jaren werd de behoefte om grote bestanden te kunnen versturen steeds belangrijker. Doordat standaard-e-mail niet geschikt is voor het versturen van dergelijke bestanden, gingen gebruikers op zoek naar andere uitwisselingsmanieren. Zo ontstond het verschijnsel schaduw-it. Clouddiensten, zoals Dropbox en WeTransfer, mochten zich verheugen in grote belangstelling.
Mede gedreven door de invoering van de AVG dit jaar, wordt schaduw-it inmiddels erkend als een ongewenst en onveilig fenomeen dat voorkomen moet worden. Die bewustwording, gecombineerd met de nieuwe regelgeving, zorgt voor een roep om innovatie binnen de e-mailbeveiligingsmarkt. We willen namelijk allemaal veilig e-mails en grote bestanden versturen, maar het moet met wel een gebruiksvriendelijke tool zijn, die past bij de bedrijfsprocessen van de organisatie.
- Trend 1: Naschok van AVG
De invoering van de AVG heeft de bewustwording van de onveiligheden die op de loer liggen bij het gebruik van e-mail verhoogd. Veel bedrijven hebben als reactie op de deadline van 25 mei gekozen voor een kortetermijnoplossing om dan maar in elk geval compliant te zijn. Het gevolg daarvan was dat er een breed aanbod van oplossingen is ontstaan. Echter, dat aanbod is weinig transparant en de oplossingen werken onderling slecht samen. Inmiddels hebben organisaties hun eerste ervaringen met de geboden oplossingen opgedaan. Op basis van die kennis zullen bedrijven de gekozen oplossing gaan heroverwegen. Bedrijven zullen ontdekken dat het van belang is dat software zich aan kan passen aan de bedrijfsprocessen, in plaats van andersom – iets wat al jaren normaal is voor andere it-oplossingen. Ook wordt de roep om onderlinge veilige communicatie in de keten bij verschillende oplossingen steeds sterker. Het initiatief van het ministerie van VWS voor het opstellen van een ‘Veldnorm voor veilige e-mail in de zorg’ onderstreept die behoefte heel duidelijk. Een goede ontwikkeling, die ervoor zal zorgen dat veilige e-mailoplossingen straks functioneel gezien aan een minimumeis zullen moeten voldoen, maar ook dat de onderlinge uitwisseling van berichten tussen de verschillende oplossingen wordt bevorderd.
- Trend 2: Opkomst van veiligere wachtwoorden
De industrie wordt zich ook bewust van het belang van veilige wachtwoorden. Het inloggen met alleen een gebruikersnaam en wachtwoord is niet meer van deze tijd. Hier gaat het namelijk om gegevens die bekend zijn bij de gebruiker – en dus zijn te stelen. Daarom zien we een opkomst van multi-factorauthenticatie (mfa). Hierbij worden meerdere bronnen gebruikt om de identiteit van de gebruiker aan te tonen. Denk aan een code verstuurd per sms, zoals DigiD al jaren aanbiedt. De gebruikers zitten wel nog midden in de acceptatiefase: de extra stap die nodig is om e-mail te beveiligen wordt vooral als ‘lastig’ gezien, zowel bij de verzender als de ontvanger.
De vraag van gebruikers is eigenlijk: kan het niet wat makkelijker? Gegevens moeten wel beschermd zijn, maar het moet toegankelijk, makkelijk en werkbaar zijn. Gebruikers tonen namelijk weinig bereidheid om concessies te doen ten behoeve van de veiligheid en dat drijft de noodzaak om innovatieve oplossingen te ontwikkelen.
- Trend 3: Beveiligde email niet in de cloud
Cloudadoptie is niet meer te stoppen. Echter, de vraag is of de cloud wel de veiligste en handigste oplossing is voor het beveiligen van e-mail. Dat cloudoplossingen niet de veiligheid bieden bij het beveiligen van de e-mail is meer dan duidelijk geworden door de grote datalekken in de afgelopen periode.
Toch zien we de cloud als makkelijk. De oplossing is al helemaal voor je ingericht en is zonder extra inspanningen in gebruik te nemen. De gebruiker moet zich dan alleen wel even aanpassen aan die manier van werken, ook als die anders is dan gewend. Een oplossing in de cloud is moeilijk of zelfs helemaal niet aan te passen aan de bedrijfsprocessen van organisaties. Niet bij aanvang en niet over tijd, als de manier van werken binnen de organisatie verandert. De cloud is dus niet alleen onveilig, maar ook nog eens inflexibel. En dat zijn nu precies de zaken die de markt anno 2019 niet meer accepteert.
Lucien, we zitten qua inzicht niet op dezelfde pagina als het aankomt op e-mail en veiligheid.
Jouw quote:
“Dat cloudoplossingen niet de veiligheid bieden bij het beveiligen van de e-mail is meer dan duidelijk geworden door de grote datalekken in de afgelopen periode.”
Op welke datalekken met betrekking tot e-mail doel je precies? Zonder bronnen te vermelden kan ik geen goede inschatting maken.
Cloud e-mail lijkt mij juist een hele veilige keuze die ik kan onderbouwen. Een onderdeel van wat wij doen is het versturen van phishing e-mails. Bedrijven die office 365 en Outlook in de browser gebruiken hebben een veel lager percentage geslaagde phish pogingen. Bedrijven die Google G-Suite gebruiken (en e-mail clients die je moet installeren op een computer verbieden) daar is het slagingspercentage nog veel lager. Als je ziet welke maatregelen cloud providers nemen om pro-actief gebruikers te helpen dan blijken die zeer effectief. Meldingen als “Dit lijkt op een phishing email” of “Met deze gebruiker heeft u nog niet eerder gecommuniceerd en komt ook niet in uw contacten voor” helpen enorm. Als veel mensen bepaalde links gemeld hebben als malafide dan wordt dit real-time bijgewerkt terwijl e-mails die al in een client terecht gekomen zijn dit niet hebben.
Daarnaast bieden cloud providers prima API’s aan waarmee alle e-mail magie gewoon volledig mogelijk is. Maatwerk bouwen op lokale mailservers lijkt me juist een probleem die de technische schuld verhoogt waardoor je nog meer vast zit aan je oude reut. Dus het lijkt flexibel, maar is uiteindelijk gewoon een molensteen die cloud adoptie in de weg staat.
“Speed is the new scale” wordt er vaak gezegd. Ofwel snel kunnen (door)ontwikkelen is een zeer belangrijke eigenschap om relevant te blijven. Deze is zelf vaak moeilijk te bereiken dus schakel je aan op bedrijven die het voor je doen. De ontwikkelingen die AWS, Azure, GCP, IBM Cloud en bijvoorbeeld ook NetApp bieden gaan zo snel, dat kun je zelf niet.
Als aanbieder van oplossingen zou ik juist daar mijn integraties op regelen.
Dat vind ik.
“De cloud is in feite niets anders dan uw gegevens op iemand anders zijn computer zetten.”
komt uit een eerder artikel van de auteur dit jaar.
Zitten is het nieuwe roken, suiker is het nieuwe vet. Stilstand is achteruitgang, te weinig developers, straks weer te veel. Dan weer te weinig met de modernste technieken. Weer te duur of niet full time beschikbaar. Altijd wat.
Waarom niet een strategie van gewoon stil wachten tot een opportunity zich voordoet en dan toeslaan. Mijn vriend, de krokodil, is er al een aantal jaar succesvol in. Lekker in zijn kracht laten rollen. Al eens een krokodil met burnout gezien of die moest omscholen om relevant te blijven ? Nou dan !
Henri zal het wel weer een flauwe reactie vinden 😉
@Henri
Jij zit ook nooit op dezelfde pagina van mij als het om de Governance, Compliance & Risk (GRC) van bedrijfsprocessen gaat. Phising mails zijn tenslotte een vorm van social engineering, een proces waarvan het slagingspercentage veel kleiner is geworden door de bewustwording van gebruikers hiervoor door campagnes van banken. Betreffende bronnen over het lekken van persoonsgegevens via e-mail, kijk eens bij AP:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/meldplicht_datalekken_halfjaarrapportage_q1_en_q2_2018_algemeen.pdf
Het verkeerd adresseren van e-mails is een nog altijd veel voorkomende fout, techniek alleen geeft dus geen oplossing. Maar mogelijk dat de auteur wijst op de doorzoekbare e-mail archieven van Hillary Clinton die buiten de regels om haar eigen e-mail systeem in de cloud had. Ik
vind bijlage 1 in het rapport van de Erfgoedinspectie betreffende de archivering van bonnetjes door ministers dan ook interessant:
https://www.erfgoedinspectie.nl/binaries/erfgoedinspectie/documenten/rapport/2018/04/16/e-mail-archivering-vertrokken-bewindslieden/Erfgoedinspectie++inventariserend+onderzoek+naar+e-mailarchivering+vertrokken+bewindslieden++april+2018.pdf
De GRC-cycle van zeggen wat je doet, doen wat je zegt en dat bewijzen wordt uiteindelijk heel lastig als je de digitale (bidirectionele) verslaglegging niet goed archiveert. In elk geval is door het rapport van de Erfgoedinspectie nu duidelijk dat geen één ministerie aan de Wet Openbaarheid Bestuur kan voldoen, de technische schuld van e-mail zit niet in de lokale servers maar de wettelijke bewaartermijnen. De olifant in de (tweede)kamer waar niemand het over heeft………..