Filesharingdiensten belemmeren AVG-compliance

In vrijwel elke organisatie is het mailen en delen van bestanden de normaalste zaak van de wereld. En als een attachment te groot is, kiezen medewerkers vaak voor zo'n handige filesharingdienst. Met de AVG in werking levert dit echter nieuwe risico's op. Dan is het beter om te werken met een speciale gateway. Die beveiligt bestanden op een manier die de gebruiker niet in de wielen rijdt.

Het veilig versturen van gevoelige gegevens is sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) een actueel onderwerp. Veel oplossingen om veilig bestanden te delen, maken gebruik van een digitale kluis, die doorgaans vanuit de cloud wordt aangeboden. Om bestanden in deze kluis te leggen, moeten gebruikers via een webinterface of een speciale app inloggen.

De kluis is vaak beveiligd met tweefactorauthenticatie (2FA), met naast het reguliere wachtwoord nog een code die op de smartphone wordt aangeleverd. Zodra het bestand in de kluis ligt, kan de ontvanger met behulp van een eigen toegangscode inloggen op de kluis om de gedeelde data op te vragen.

Digitale kluis vaak onhandig in gebruik
Dergelijke oplossingen maken het mogelijk veilig bestanden te delen, maar verstoren op ernstige wijze de dagelijkse gang van zaken van gebruikers. Zo zijn gebruikers gewend via e-mail bestanden te delen met klanten, partners en andere partijen. Het verplicht inloggen op een digitale kluis zorgt dan voor extra handelingen, wat weerstand kan oproepen en de acceptatie van de oplossing kan aantasten.

Daarnaast biedt tweefactorauthenticatie weliswaar een hoger beveiligingsniveau, maar kan deze maatregel ook leiden tot complicaties. Wat als een medewerker met (ziekte-)verlof is, maar belangrijke gegevens via een digitale kluis naar diegene zijn gestuurd? De kluis kan alleen worden geopend met de tweede code, die via sms bij de afwezige terechtkomt. Of: op welke telefoon komt deze code binnen als bestanden zijn verstuurd naar een algemeen e-mailadres van een organisatie of een e-mailadres dat door meerdere medewerkers wordt beheerd?

Een digitale kluis die het werk belemmert, zal eerder worden omzeild, overigens vaak met de beste bedoelingen. Belemmeringen zoals deze kunnen er zelfs toe leiden dat werknemers alternatieven omarmen en zonder medeweten van de IT-afdeling niet goedgekeurde filesharingdiensten in gebruik nemen, wat ook wel schaduw-IT wordt genoemd.

Integreer file sharing in de normale workflow
Het is dan ook aan te raden het veilig versturen van bestanden onderdeel te maken van de reguliere workflow van gebruikers. Dit kan door een dergelijke oplossing nauw te integreren in de bestaande e-mailoplossing, zodat gebruikers hun werkwijze niet hoeven aan te passen om bestanden veilig te versturen. Door het beveiligingsproces volledig achter de schermen uit te voeren, ondervinden gebruikers hiervan geen hinder en wordt hun productiviteit niet aangetast.

Met het oog op de AVG is het niet alleen van belang bestanden op een veilige wijze te versturen, maar ook om inzicht te hebben in verwerkingen van deze data, zoals: wie heeft welke data verstuurd, wanneer en vanaf welk apparaat. Indien dit inzichtelijk is, kan bij een onverhoopt datalek exact worden nagegaan hoe dit lek heeft kunnen ontstaan. Dit is van groot belang, aangezien bedrijven die met een ernstig incident worden geconfronteerd onder de AVG zullen moeten aantonen dat zij hun zaken op orde hadden.

Om dit inzicht te verkrijgen in e-mailverkeer maken bedrijven doorgaans gebruik van een archiveringsoplossing. Data die via een digitale kluis in en uit gaan, worden echter doorgaans niet opgenomen in dit archief, waardoor cruciale zichtbaarheid ontbreekt.

Beveiliging op de gateway
Een oplossing die de beveiliging van e-mailverkeer en data op de gateway regelt biedt uitkomst. Bijvoorbeeld Mimecast Secure Email Gateway verzorgt niet alleen de beveiliging van e-mailverkeer, maar neemt ook het veilig versturen van (grote) bestanden uit handen. De gateway wordt in het netwerk opgenomen en zorgt dat communicatie tussen e-mailservers altijd is versleuteld. De gebruiker heeft hier geen omkijken naar en verstuurt zowel e-mails als bijlages op vertrouwde wijze via zijn reguliere mailprogramma.

Als de gateway geen versleutelde verbinding kan opzetten met de ontvanger, dan wordt de verbinding geweigerd en de verzonden e-mail niet afgeleverd. In zo'n geval slaat de gateway de verstuurde data automatisch op in een digitale kluis, tot het moment dat ze wél op de correcte en veilige manier kunnen worden gedeeld.

Deze kluis wordt ook ingezet als bestanden te groot zijn om via reguliere e-mail te verzenden. In beide gevallen wordt een logbestand aangemaakt waarin het verzenden nauwkeurig wordt vastgelegd, zodat exact kan worden nagegaan op welke wijze de gegevens naar welke persoon of locatie zijn verstuurd.

Beschermd tegen impersonatie-aanvallen en spoofing
Mimecast Secure Email Gateway biedt daarnaast toegang tot een reeks aanvullende beveiligingsfunctionaliteiten, onder andere gericht op het voorkomen van impersonatie-aanvallen. Bij deze aanvallen registreren cybercriminelen een domeinnaam die sprekend lijkt op de domeinnaam van een legitieme organisatie, maar die echter op één of enkele karakters afwijkt. Deze domeinnaam is hierdoor met het blote oog moeilijk van echt te onderscheiden, waardoor het risico bestaat dat medewerkers om de tuin worden geleid.

De gateway controleert actief de status van de belangrijkste domeinnamen waarmee de organisatie communiceert, zodat dergelijke aanvallen worden tegengehouden. De oplossing maakt hiervoor gebruik van actuele data die worden verzameld in het Security Operations Center van Mimecast.

De gateway biedt daarmee ook bescherming tegen malafide URL's, zoals phishingwebsites en websites waar malware wordt geserveerd. Bijlages worden daarnaast standaard gescand op de aanwezigheid van kwaadaardige elementen. Dankzij ondersteuning voor SPF, DKIM en DMARC wordt spoofing van e-mailadressen tegengegaan. De Mimecast Secure Email Gateway geeft niet alleen de garantie dat bestanden veilig worden uitgewisseld, maar wapent een organisatie ook tegen allerlei andere dreigingen op het gebied van e-mail.

Door: Sander Hofman is European Sales Engineer bij Mimecast.