Het veilig versturen van berichten is al zo oud als de mensheid. We gebruikten ijlbodes te voet of te paard. Rooksignalen en postduiven. Tot en met Enigma-code of aangetekende post. Elk tijdperk en elke techniek kent zo zijn eigen uitdagingen en methodes. Niet alleen om ervoor te zorgen dat een bericht aankwam, maar ook dat het veilig verstuurd werd.
Tegenwoordig gebruiken we dagelijks e-mail om elkaar berichten en documenten te versturen. Authenticatie en cryptografie zijn hierbij de geëigende technieken om een vertrouwelijk bericht te beschermen tegen ongeautoriseerd meelezen. Maar bij het beveiligen van elektronisch berichtenverkeer komt wel iets meer kijken.
Juristen kunnen daarover meepraten. Die gebruiken soms nog steeds de good-old fax om berichten veilig van A naar B te zenden. De fax is dus daar nog niet overal uitgefaseerd, maar ze stappen ook over op veilig e-mailen. Ze doen daar leentjebuur bij de zorgsector, waar veilig e-mailen volgens de NTA7516 standaard is voorgeschreven.
Veilig e-mailen volgens NTA7516
De Nederlandse norm NTA7516 beoogt datalekken via e-mail met gevoelige medische informatie te voorkomen. Het gaat dus specifiek om e-mailverkeer waarin patiëntgegevens worden uitgewisseld. Maar de standaard technieken die hiervoor gebruikt worden, zou eigenlijk iedereen moeten toepassen om zijn e-mailverkeer veiliger te maken, bijvoorbeeld om te voldoen aan de AVG. Maar ook om je te beschermen tegen allerlei onheil. Zeker in die gevallen waar gevoelige persoonsgegevens worden verstuurd. Vandaar dat ook gemeenten en justitie naar deze norm kijken om te kunnen voldoen aan de richtlijnen.
Technische maatregelen
Om een beveiligde verbinding tussen verzender en ontvanger te realiseren moeten beiden zich houden aan protocollen als DNSSEC (DNS Security Extensions), DANE (DNS-based Authentication of Named Entities) en STARTTLS. Verder dient de verzender ervoor te zorgen dat de ontvanger kan controleren of de verzonden e-mail geautoriseerd is door de beheerder van het e-maildomein. Hiervoor wordt SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting and Conformance) gebruikt.
Pas als alle bovenstaande maatregelen juist zijn geïmplementeerd, kun je beginnen aan veilig e-mailen conform NTA7516.
Het toepassen van deze technieken zijn noodzakelijk bij de preventie van beveiligingsincidenten (denk aan spoofing en phishing) en het voorkomen van reputatieschade (denk aan misbruik van je e-maildomein). Eerder wijdden we hieraan het artikel Help, mijn e-mailadres wordt misbruikt! op deze website.
Als je hier nog meer over wilt weten, dan is dit handige artikel van de SIDN (Stichting Internet Domeinregistratie Nederland) een aanrader.
Zelf ook veilig e-mailen?
Als je je e-mailsysteem wilt beveiligen, dan kun je ook bij INISI terecht. We hebben om te beginnen het DMARC Stappenplan voor het veilig maken van je e-maildomein. Nadat dat is gebeurd, is de volgende stap het veilig versturen van e-mail volgens NTA7516 en/of AVG.
Hiervoor zetten we het systeem van Bastion 365 in. Dit systeem draait in de cloud en vormt een beveiligde gateway die nauw samenwerkt met Office 365 of je e-mailserver. Op basis van als-dan-regels, die je zelf kunt configureren, wordt alle uitgaande e-mail gecontroleerd, geïdentificeerd op vertrouwelijkheid en veilig verstuurd. Hierbij kan onder andere gebruik gemaakt worden van de sensitivity labels van Office 365, maar ook bijvoorbeeld op basis van (medische) keywords in de e-mailtekst of bijlagen.
Indien de ontvanger zelf geen veilig e-maildomein gebruikt, wordt automatisch een extra authenticatie uitgevoerd door middel van SMS (geheel conform NTA7516).
Anders dan bij zg. berichtenbox-services die momenteel veel in de zorgsector worden gebruikt, zorg je er met Bastion 365 voor dat je rechtstreeks en NTA7516 compliant e-mail kunt gaan uitwisselen tussen vertrouwde partijen, bijvoorbeeld tussen een gemeente en een zorginstelling. Door zelf NTA7516 compliant te zijn, kun je ook veilig e-mail ontvangen van andere instellingen, zonder de tussenkomst van derde partijen. Ook belangrijk: Bastion 365 werkt altijd, voor elke mailclient en zonder lastige plug-ins en ook als de eindgebruiker vergeet de ‘veilig mailen’ button te gebruiken.
Meer weten over veilig e-mailen?
Neem contact op met INISI via veiligmailen@inisi.com.