Waterdicht e-mailverkeer

Pels Rijcken & Droogleever Fortuijn willen zekerheid over afzender

Voor het aangaan van een wettelijke transactie is nog vaak een ouderwetse, op papier gezette handtekening nodig. Met de komst van de Wet Elektronische Handtekening en de Wet Elektronische Handel kunnen digitale handtekeningen dezelfde waarde krijgen als een met inkt gezette krabbel.

De roep om authenticatie van mailberichten wordt steeds sterker. Men wil immers vast kunnen stellen of diegene van wie een bericht afkomstig lijkt te zijn, ook daadwerkelijk die persoon is. In de advocatuur en het notariaat speelt deze problematiek al enige tijd. Bij Pels Rijcken & Droogleever Fortuijn Advocaten en Notarissen gaat een groot gedeelte van de digitale communicatie zowel met authenticatie als encryptie. Pieter Offers, hoofd Facilitaire Dienst en Automatisering, stipte dit thema al in een vroeg stadium aan.

 

 

 

Fax, post en koerier

"Bij Pels Rijcken zijn we daar al in 2001 over gaan nadenken", legt hij uit. "De technische mogelijkheden waren er overigens nog niet. Er bestonden wel allerlei initiatieven, maar het was nog niet duidelijk welke kant het op zou gaan. Het doel was wel helder: het zeker stellen van iemands identiteit wanneer iemand een bericht stuurt. Vooral in het notariaat was dat belangrijk. In de advocatuur speelde het op dat moment nog niet. Goed bezien werden er nog maar weinig zaken elektronisch gedaan. Veel schriftelijke communicatie ging per fax, post en koerier. E-mail gebruikten we voornamelijk om een klant of collega te laten weten dat er een fax of een koerier aan zou komen. Pas nu zie je dat die transportvormen minder worden ingezet en vervangen worden door digitale communicatiemiddelen. Al gaat er nog heel wat per envelop."

Eerste keer

Offers merkt op dat de traditionele manier van bezorgen een minder gegarandeerde authenticatie bevat dan elektronische post. "Iedereen kan aan de hand van internet een briefhoofd namaken en een naam en handtekening eronder zetten. De weg waar digitale authenticatie naar toe gaat, is in dat opzicht heel wat veiliger. We gaan hard naar het punt toe waar we als werknemer allemaal goed geauthenticeerd zijn en de werkgever een geauthenticeerde organisatie is. Als je het goed beschouwt, wordt dat dan de eerste keer in de geschiedenis dat we er echt zeker van zijn dat degene die ons een bericht stuurt, ook daadwerkelijk de persoon is waar hij of zij zich voor uitgeeft." Offers plaatst hierbij de kanttekening dat we op persoonlijk niveau al vrij ver zijn, maar er nog geen goede authenticatievorm voor organisaties bestaat. "Kijk naar wat er met phishing gebeurt. Je kan wel een mail van de bank krijgen, maar je blijft het risico lopen dat het fake is."

Gateway-oplossing

Pas rond 2004 is Pels Rijcken & Droogleever Fortuijn gestart met het zoeken naar een leverancier. Alleen was het nog niet duidelijk welke methodiek op grote schaal ingevoerd zou worden. "Het gaat er bij authenticatie en encryptie om dat ook klanten zich willen aansluiten. Het werkt namelijk alleen maar als twee partijen overeenkomstige technieken gebruiken." Pels Rijcken is met Izecom in zee gegaan. Daartoe is er tussen de clients en de internetgateway de Izemail-'gateway' geplaatst. In deze gateway worden de mails ondertekend en versleuteld voordat ze naar de ontvanger worden gezonden. Dit heeft als voordeel dat er niets op de individuele desktops hoeft te worden geïnstalleerd. Als voor een bepaald domein of mailadres is vastgesteld dat er aan beide zijden gebruik wordt gemaakt van authenticatie, wordt de mail naar die persoon of organisatie automatisch door de gateway versleuteld en ondertekend. "De manier waarop de gebruiker op ons kantoor kan zien of iets ondertekend is, is een klein icoontje. Omdat we gebruik maken van een gateway, hebben we ook de mogelijkheid om bijvoorbeeld onze BlackBerries te gebruiken. Het hele authenticatieproces en encryptieproces vindt plaats voordat een bericht via de BlackBerry-server naar de BlackBerry van onze gebruiker (en vice versa) gaat. Zo behouden we alle flexibiliteit en kunnen we in principe elke toepassing gebruiken." Desktopsoftware wordt in principe alleen bij de klanten en relaties geplaatst. Voor organisaties die liever niet hebben dat er software wordt geïnstalleerd is er een webinterface beschikbaar. Deze draait op de beveiligde servers van Izecom en kan worden gelezen nadat de gebruiker is geautoriseerd om de voor hem bestemde mail te lezen.

Papertrail

Volgens Offers zijn er nog meer wensen bij het versturen van mail. "Bijvoorbeeld ontvangstzekerheid: de garantie dat een bepaald bericht aankomt. We zijn op dit moment in gesprek met een aantal partijen over aangetekende e-mail: dat een verzender een bericht aankondigt en dat de geauthenticeerde gebruiker in een bewuste actie dit bericht ophaalt. Het grote voordeel is dat je precies kan registreren wanneer en door wie het bericht is opgehaald. Je hebt dan een sluitende ‘papertrail' van een bericht. Pas als dat een feit is, kunnen we met authenticatie, encryptie en zekerheid van ontvangst over waterdicht en veilig e-mailverkeer spreken."