Het veilig versturen van gevoelige data is sinds de komst van de AVG nog belangrijker dan het al was. Veel filesharingdiensten gebruiken een soort veilige kluis die vanuit de cloud wordt aangeboden. Via een webinterface plaatsen gebruikers data in die kluis en stellen deze beschikbaar aan anderen.

Toegang tot de kluis verloopt vaak via tweefactorauthenticatie (2FA). Naast het reguliere wachtwoord moeten gebruikers daarbij een code invoeren die ze doorgaans via de smartphone ontvangen. Ligt het bestand in de kluis, dan kan de ontvanger met de eigen toegangscode inloggen en de data ophalen.

Onhandig

Een dergelijke oplossing maakt veilige bestandsuitwisseling mogelijk. Toch is het vaak een grote inbreuk op de dagelijkse gang van zaken van gebruikers. Zij zijn gewend via e-mail bestanden te delen, niet via een SaaS-dienst die bovendien extra handelingen vereist. Dat kan weerstand oproepen en de acceptatie bemoeilijken.

Ook tweefactorauthenticatie is niet zaligmakend. Ja, het verhoogt de veiligheid, maar complicaties liggen op de loer. Wat als een medewerker met (ziekte-)verlof is, maar belangrijke gegevens via een digitale kluis naar diegene zijn gestuurd? De kluis kan alleen worden geopend met de tweede code, die via sms bij de afwezige terechtkomt. Daarbij: op welke telefoon komt deze code binnen als bestanden zijn verstuurd naar een algemeen e-mailadres van een organisatie of een e-mailadres dat door meerdere medewerkers wordt beheerd? Dat is niet altijd duidelijk.

Een digitale kluis die het dagelijkse werk verstoort wordt eerder omzeild, en niet altijd met kwade bedoelingen. Medewerkers grijpen in zo'n geval gemakkelijk naar onveilige alternatieven, zonder medeweten van de IT-afdeling. Dat fenomeen staat als 'shadow-IT' te boek en zorgt voor nieuwe risico's.

Dagelijkse workflow

Het veilig versturen van bestanden zou dan ook onderdeel moeten zijn van de dagelijkse workflow van gebruikers. Dat kan door bijvoorbeeld een dergelijke oplossing naadloos te integreren met e-mail, zodat de gebruiker niet allerlei nieuwe handelingen hoeft te leren en hun productiviteit intact blijft.

Een belangrijk aandachtspunt van de AVG is inzicht in de verwerkingen die een organisatie op persoonsgegevens uitvoert. Wie stuurt welke data naar wie, en met welk device? In het geval van een datalek is het 'lek' op die manier te achterhalen. Dat is belangrijk, want organisaties moeten in zo'n situatie kunnen aantonen dat ze hun zaken netjes op orde hebben.

Dat inzicht krijgen organisaties vaak via een archiveringsoplossing. Het dataverkeer van en naar een digitale kluis wordt echter vaak niet meegenomen in dat archief. Dat gaat ten koste van de transparantie, met alle mogelijke gevolgen van dien.

Gateway als oplossing

De oplossing? De beveiliging van e-mailverkeer en data op de gateway. Bijvoorbeeld Mimecast Secure Email Gateway. Deze oplossing beveiligt het e-mailverkeer, maar zorgt ook voor veilige uitwisseling van (grote) bestanden. De gateway is onderdeel van het bedrijfsnetwerk en verzorgt een veilig versleutelde communicatie tussen e-mailservers. De gebruiker merkt daar niets van en verstuurt bijlages van ongeacht welke grootte via de reguliere e-mailsoftware.

Kan de gateway geen versleutelde verbinding opzetten met de ontvanger, dan zal de gateway de verbinding verbreken en de e-mail niet afleveren. De data belanden in dat geval in een digitale kluis, net zo lang tot deze wel op een veilige wijze gedeeld kunnen worden.

Deze kluis doet ook dienst als tijdelijke opslag voor data die te groot zijn om via reguliere e-mail te verzenden. In beide gevallen is de transactie terugvindbaar in een logbestand. Zo kan de organisatie altijd nagaan wat er naar wie verstuurd is.

Aanvullende security

Daarnaast biedt de oplossing toegang tot enkele aanvullende securityfunctionaliteiten. Deze zijn onder andere gericht op het voorkomen van impersonatie-aanvallen. Daarbij registeren cybercriminelen een domeinnaam die nauwelijks van het origineel te onderscheiden is. Slechts enkele karakters wijken af, maar dat is met het blote oog nauwelijks zichtbaar. Medewerkers kunnen zo gemakkelijk in de val lopen en niets in de gaten hebben.

De gateway checkt of de domeinnamen zuiver zijn en voorkomt op die manier dergelijke oplichterspraktijken. Daarvoor maakt de oplossing gebruik van actuele data afkomstig uit het Security Operations Center van Mimecast.

De gateway onderschept op die manier ook malafide URL's, zoals phishingwebsites en besmette sites. Ook scant de oplossing e-mailbijlages op malware. Spoofing wordt voorkomen dankzij ondersteuning voor SPF, DKIM en DMARC. Mimecast Secure Email Gateway biedt daarmee een complete bescherming tegen e-maildreigingen en maakt veilige bestandsuitwisseling mogelijk.

Sander Hofman, Manager Sales Engineering Central Europe bij Mimecast.