Take IT Away Blog

Her finder du "take aways" omkring IT, så som IT-sikkerhed, Tips & Tricks, Office365, Cloud, Outsourcing og mere teknisk nørderi. God fornøjelse.

Alle artikler

Hvad er en sikker mail?

blog sikker mail-01Skærpet krav ved e-mails med fortrolige oplysninger rammer den private sektor

Databeskyttelse er på alles læber!

Og Datatilsynet kræver nu, at alle i den private sektor skal sende sikre og krypterede e-mails, hver gang de sender en e-mail afsted med fortrolige og personfølsomme oplysninger. Kravet har allerede været gældende i den offentlige sektor siden år 2000, og nu har det altså også ramt private virksomheder.  

Kravet er udløst af den teknologiske udvikling samt det massive øgede fokus på databeskyttelse som databeskyttelsesforordningen (GDPR) har ført med sig.  

I  dette indlæg kommer vi ind på:


Hvad er problemet?

Men hvad er problemet?

Problemet er, at mange virksomheder ikke har det rette lag af sikkerhed, der krypterer deres e-mails. Dermed kan de fortrolige oplysninger nemt opsnappes af en eller anden suspekt type, der vil bruge oplysningerne til noget forkert. Derudover kan Datatilsynet også komme med bøder på op til 4% af din årsomsætning - slam - hvis du ikke overholder kravet om at kryptere de fortrolige og personfølsomme oplysninger. 

Billede3 

Hvad er fortrolige og personfølsomme oplysninger?

Definitionen af "fortrolige og personfølsomme oplysninger" får mange til at korse sig. GDPR opererer nemlig kun med almindelige og særlige person-oplysninger. 

 

Særlige personoplysninger

Særlige personoplysninger dækker over:

  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske data
  • Biometrisk data (iris-scanninger og fingeraftryk)
  • Helbredsoplysninger
  • Seksuelle præferencer

 

Fortrolige oplysninger:

De fortrolige oplysninger er ikke defineret i hverken GDPR eller databeskyttel-sesloven. Men de fortrolige oplysninger er dem, der efter en almindelig opfat-telse i samfundet ikke bør komme ud i offentligheden. 

Eksempler på fortrolige oplysninger:

  • CPR-nummer
  • Indtægts- og formueforhold samt kreditværdighed
  • Arbejds-, uddannelses- og ansættelsesmæssige forhold
  • Ansøgere i uopsagt stilling
  • Bortvisninger samt opsigelse grundet medarbejderens forhold

Kort sagt: Oplysninger vi ikke ønsker andre skal komme i besiddelse af. 

Hvad er kravene fra Datatilsynet?

Kravene fra Datatilsynet er, at den dataansvarlige skal vurdere hvilket sikkerhedsniveau, der er passende…

…og det bunder typisk i en risikovurdering. 

Når man foretager sin vurdering om, hvorvidt man har passende sikkerhed, så skal man stå med den registreredes rettigheder i den ene hånd og sine sikkerhedsmekanismer i den anden.

Jo større risiko for den registrerede, jo mere sikkerhed skal man have.

Derfor er anbefalingen at kryptere afsendelse af alle personoplysninger.

Så spørgsmålet er:  

Sender din virksomhed fortrolige og personfølsomme oplysninger via e-mail? 

Det kan være CPR-numre i ansættelseskontrakter, i slutsedler eller i kopier af pas ved rejseaktivitet. Eller oplysninger om helbred i lægeerklæringer og sygemeldinger, i referat af sygefraværssamtale, i patientdata og prøvesvar m.m.


Hvis ja, så skal disse e-mails nu krypteres.

Ja, du læste rigtigt. 

Du må ikke lige - pling - snige en enkelt e-mail afsted med fortrolige oplysninger.

Ikke alene, så risikerer du påtale eller bøder på op til 4% af din årsomsætning. Du risikerer også at de fortrolige oplysninger lander i de forkerte hænder.  

Bannerbillede2

Hvad er en sikker mail? 

Når vi sender e-mails over internettet, har vi ingen kontrol over, hvilke servere den enkelte e-mail passerer igennem - og ingen kontrol over, hvem der kan opsnuse informationen. 

Men hvad er en sikker mail så? 

Datatilsynet definerer en sikker mail, som en mail, der er krypteret (1). Kryptering er kodning af beskeder eller data, som typisk bliver sendt over åbne netværk. Det betyder, at mailen sendes på en måde, så uvedkommende ikke kan få fingrene i den. 

 

Hvorfor kryptere?

Krypteringen sikrer, at det kun er den tiltænkte modtager af en mail, der kan åbne den og læse indholdet. Skulle mailen ende hos en anden end den tiltænkte, vil den fremstå som det rene volapyk og være ulæselig.   

Det er jo ganske smart. 

Der findes tre forskellige løsning til kryptering af e-mails: 

  • TLS (Transport Layer Security): Kryptering af selve transporten af de datapakker, som indeholder e-mailen.
  • End-to-end-kryptering: Kryptering af selve indholdet af e-mailen hos afsenderen, inden mailen skydes ud i netværket. 
  • Portalløsning

Lad os dykke lidt mere ned i begreberne:

 

TLS kryptering

Hovedparten af den kommunikation, der sendes over netværk og internettet, sendes i såkaldte pakker. Disse pakker er enheder, hvor informationen er struktureret på en bestemt måde, der gør, at afsender- og modtagersystemet ved, hvordan den skal læses. 

tls

Transport Layer Security (TLS) krypterer indholdet af disse pakker, når informationen sendes over åbne netværk.

  • TLS krypterer forbindelsen mellem to mailservere. 
  • Indholdet er kun krypteret mellem mailserverene
  • På serverne opbevares mailen stadig u-krypteret

TLS er altså et ekstra lag sikkerhed oven på den almindelige e-mail protokol.

Lidt ligesom glasur på kagen. 

 

End-to-end kryptering

Ved den anden løsning sker krypteringen end-to-end. Dvs. e-mailen er krypteret imellem mail-klienterne (fx outlook). 

 end-to-end

End-to-end-kryptering kan ses som et alternativ til TLS - eller som en ekstra sikkerhedsforanstaltning. 

Ved denne løsning har både afsender og modtager et online nøglepar. Afsenderen har en offentlig nøgle og modtageren har sin egen private nøgle. Afsenderen krypterer indholdet af sine e-mails, før de afsendes. 

Det hele sker bag maskineret, så brugeren skal ikke sidde og fedte rundt med en nøgle. I stedet har afsenderen installeret et certifikat, der sørger for denne kryptering. 

Modtageren skal også have et certifikat installeret, der fungerer som en online nøgle til at dekryptere e-mailen. 

Denne løsning sikrer, at e-mailen er krypteret fra afsendelse til modtagelse. 

 

Hvad er et certifikat?

Et certifikat er en nøglefil som downloades og gemmes lokalt på ens computer. Hvis nu der sker et eller andet med denne computer og der ikke er tilstrækkelig backup, kan nøglen (Cerfifikatet) ikke geninstalleres. Mister brugerne disse certifikater, så mister de desværre også adgangen til data.  

 

 

Portalløsning

Udover TLS og end-to-end kryptering er der også mulighed for en portalløsning. Her skal brugerne tilgå en portalside for at få adgang til e-mailen. 

portal

  • E-mails tilgåes direkte fra portalen, eksempelvis i Office 365
  • E-mail serveren enten krypterer eller gemmer følsomt indhold
  • Modtageren tilgår portal-side for at få adgang
  • Nøgle udstedes til at åbne vedhæftningen

Portalløsningen ses fx når man modtager et e-mail svar fra sin læge, eller når det offentlige kommunikerer til ens E-boks. Beskeden forlader aldrig den sikrede server, men der skal logges ind på denne for at læse beskeden. Med denne metode, kan man også tilføje at brugeren skal verificere sig med to-faktor. Det betyder, at ud over password, skal brugeren også bruge en kode, der er  tilsendt på fx SMS. Avancerede løsninger kan også tilknytte ens Nem-Id.  

Hvorfor er alle e-mails ikke krypterede i dag?

Man kan jo spørge sig selv, hvorfor alle e-mails ikke er krypterede i dag, når vi ved, at det er det mest sikre at gøre?

Hvis jeg skal være helt ærlig, så kan det helt grundlæggende virke nemmere at bestige Mount Everest end at kryptere e-mails.

E-mail kryptering stiller nemlig krav til, at alle brugere har certifikater installeret og at de enten a) bruger den samme enhed hver gang, de skal tjekke disse e-mails - eller b) får installeret en kopi af certifikatet på alle deres enheder. 

Også deres smartphones. Og den anden computer, de måske bruger, hvis de arbejder hjemme en dag. 

Det er lidt besværligt. 

Forestil dig så dette: 

Din computer bliver stjålet og du har ikke nogen kopi af dit certifikat (nøgle) nogen steder. Bom bom, så kan du ikke længere få adgang til de krypterede e-mails.

En andet scenarie er, at når certifikatet er tilknyttet en enkelt medarbejder, vil ingen andre end denne medarbejder kunne læse disse e-mails (hvilket selvfølgelig er målet med end-to-end kryptering). Men hvad hvis denne medarbejder stopper?

Ja, så kan ingen andre få adgang til de end-to-end krypterede emails. 

Oven i dette kommer udfordringer med central scanning af mails for virus og malware. Ofte bliver krypterede e-mails fanget af ens virusscanner, da denne ikke kan læse indholdet, og dermed stopper det. Og endelig giver kryptering problemer med søgning i postkasser m.m. 

Ville det ikke være skønt, hvis du kunne sende e-mail på en enkel måde som samtidig gav et ekstra lag sikkerhed - uden certifikater?

Bare rolig. Det kan faktisk lade sig gøre.

 

Men hvordan sender du så en sikker e-mail?

Heldigvis findes der flere løsninger, hvor du ganske nemt kan sende krypterede e-mails uden at skulle helt op ad Mount Everest. Den helt store forskel er om du ønsker at kryptere selve transportlaget TLS, eller ønsker at benytte dig af den udvidede end-to-end kryptering.  Kryptering af transportlaget er relativt nemt at sætte op i de fleste mailklienter. 

Hvilken løsning du bør vælge, afhænger meget af dit behov. Vi anbefaler bl.a. løsninger fra:

  • Microsoft (Office 365 løsning -Office 365 Message Encryption )
  • SIKKER@MAIL

Microsoft (Office 365 løsning)

I Microsoft Office 365 findes der en løsning, hvor du kan tvinge systemet til at sende beskeden krypteret. Dog kræver det at du har produktet "Office 365 E3"

Sådan gør du:

  • Start med at lave en ny mail, som du plejer.
  • Klik derefter ind på Options/indstillinger
  • Klik videre til Permission/Tilladelse
  • Kryds af i Encrypt/Krypter: 
    4CE87411

 

 

SIKKER@MAIL

En anden mulighed er en sikker@mail-løsning, hvor du ud over krypteringen også får funktionen signering. 

Med signering sikrer du, at afsenderen af en mail rent faktisk er den rigtige afsender og at indholdet ikke er blevet manipuleret med. Med denne løsning er du dermed 100% sikker på, at dine mails lever op til Datatilsynets krav. 

Derudover kan du dokumentere, at mails med personfølsomme oplysninger er sendt sikkert og krypteret. 

 

En enkelt knap gør forskellen

Denne Sikker-mail-løsning er super simpel. Når softwaren er installeret får du i din indbakke en "send sikkert"-knap, der sidder lige over den normale send-knap. Det er bare denne "send sikkert"-knap, du skal bruge til e-mails med følsomme oplysninger. 

Billede1

 

Hvilken sikker-mail løsning passer til mig?

Hvilken sikker-mail-løsning der passer til dig, afhænger af dit behov. Mange vil opleve de slet ikke behøver at investere eller ændre noget, mens andre kan have behov for en SIKKER@mail løsning, der kort fortalt løser alle udfordringer omkring afsendelse af sikker e-mail.  

Få mere sikker mail nu >>

 

Relaterede artikler

Hostnordic solgt til team.blue og IT Relation

Hostnordic solgt til team.blue og IT Relation Med baggrund i ønsket om at udvikle vores virksomhed med flere ressourcer og kompetencer er det med stolthed, at vi kan fortælle at Hostnordics outsourcing-enhed fremover bliver en del af IT-virksomheden IT Relation samt at Hostnordics hostingforretning bliver en del af hostingvirksomheden team.blue.

Hvad er IT-outsourcing? (Fordele & ulemper, typer, eksempler)

Vil du gerne vide lidt mere om, hvad begrebet IT-outsourcing dækker over? Så er du havnet det rette sted.  I dette indlæg dykker vi ned i: Hvad er IT-outsourcing Statistik: outsourcing i Danmark  Mest uddelegerede IT-funktioner Hvorfor hyrer virksomheder andre til deres IT? Ulemper  Fordele Typer af outsourcing Hvad skal jeg være opmærksom på? Hvad er IT-outsourcing? Gartner beskriver IT-outsourcing som "brugen af externe service providers til effektivt at levere IT-processer, applikationsservice og infrastrukturløsninger"(1). Alle typer af outsourcing har én ting til fælles: det involverer at hyre en tredje-part uden for din virksomhed til at tage sig af specifikke forretningsområder for dig. Virksomheder i alle størrelsesordener benytter sig af outsourcing for i stedet at kunne skyde energien efter deres kerneforretning. På den måde kan de stadig få det bedste output inden for det outsourcede område, hvor de oftest ikke selv mestrer de krævede kompetencer.   Ifølge statista forventes det, at tallene for outsourcing af IT-infrastrukturen i Danmark vil kravle opad i årene frem (2). Statistikken herunder viser omsæt-ningen på IT-infrastruktur i Danmark fra 2016-2021. I 2018 blev omsætningen indenfor dette område fremsat til en værdi på 1.434,9 millioner U.S. dollars. Markedet inden for netop IT-infrastruktur forventes at beløbe sig til omkring  1.546,2 millioner U.S. dollars i år 2021.Statistik: outsourcing i Danmark:

Hvad gør en hacker? (Hop med ind i hackerens 5 angrebsfaser)

Hackerangreb sker desværre oftere og oftere.  Faktisk har to ud af tre virksomheder været udsat for hackerangreb eller anden form for IT-angreb i løbet af 2017. Det viser en undersøgelse fra Dansk Erhverv (1). Angrebene kan være alt lige fra  at stjæle informationer at lukke sider eller tjenester ned at fastlåse data for at få løsepenge I hvert 8. angreb har det ikke været muligt at stoppe hackeren.  Skræmmende, ikke sandt?   For bedre at kunne forstå og stoppe hackerne har vi derfor stillet os selv spørgsmålet:  Hvordan arbejder en hacker? Hvad gør  en hacker helt konkret, når vedkommende angriber os?  For at få svar på de spørgsmål har vi allieret os med en, der kommer så tæt på en hacker, som muligt - nemlig en af Danmarks bedste IT-sikkerhedseksperter; Kim Elgaard, Certified Ethical Hacker fra Arrow ECS Denmark A/S.