Hvordan bruger du kryptering til, at sende en sikker mail. Persondataforordringen er meget omfangsrig og påvirker dig også når du skal sende en mail.
For data er det nye guld, og hvor der er guld, er der forbrydere der prøver at få fat i det. Derfor skal du selvfølgelig også beskytte personlige informationer og data, når disse bliver sendt via internettet.
Så skal du sende en sikker mail, skal den være krypteret.
Men hvordan krypterer man en mail? Kan jeg bruge min gamle mail? Og er min mail overhovedet sikker i indbakken?
Hvad er en sikker mail og hvordan krypterer du den?
Datatilsynet kræver, at virksomheder der sender fortrolige personoplysninger via internettet, gør det via en sikker mail. Så hvis din virksomhed sender cpr-numre eller andre fortrolige personoplysninger via mails, så skal I nu anvende kryptering.
Hvad er en mail?
Når du sender en E-mail, mail eller E-post, så foregår det lidt, som når du sender et brev. Gitte trykker send og postbudet, eller i denne forbindelse en mailudbyder (gmail, outlook osv.), modtager mailen i posthuset (A server). Herfra afleverer de via internettet mailen til et andet posthus (B server) som sender Per hans mail.
Når du sender et brev i kuvert med postvæsenet, så er dette en sikker forbindelse. Postvæsenet er ansvarlig for, at dit brev ikke bliver læst, og at det havner det rigtige sted. Men sender du en mail er der intet postvæsen der “beskytter” brevet, og der kan ske mange ting på vejen fra Gitte til Per.
Hvad er en sikker mail?
For at efterleve persondataforordningen, har Datatilsynet vurderet, at du skal kryptere dine mails for at forebygge læk af fortrolige og følsomme personoplysninger.
En sikker mail er en mail der bliver krypteret når den sendes. Kryptering betyder, at oplysninger eller data ændres til en hemmelig kode, som uvedkommende ikke kan tyde. Du har overordnet set to muligheder for, at kryptere dine mails i praksis.
Kryptering af overførslen (Transport Layer Security)
Den nemme løsning er at bruge Transport Layer Security (TLS). TLS giver dig sikkerhed for at din mail ikke bliver snuppet på vejen til modtageren.
Det er fordi, at denne løsning krypterer selve overførslen af mailen, fra “A server”, over internettet, til “B server”. Med TLS vil mailen fremkomme ukrypteret på modtagerens server, hvis modtagerens “mail-service” også understøtter TLS fx Microsoft Outlook.
Denne løsning er nemmest at anvende i praksis, da de fleste mailudbydere har TLS som standard. Figuren viser hvordan TLS kryptering virker. Den stiplede pil indikerer, at det er selve vejen over internettet der bliver krypteret. Indholdet af mailen er altså ikke krypteret.
Kryptering af indholdet (End-to-End kryptering)
En mere omfattende løsning er, at kryptere selve indholdet af mailen, ofte kendt som end-to-end kryptering. Figuren viser en typisk end-to-end kryptering. Mailen bliver sendt fra Gitte til (A server) der krypterer indholdet. Afhængig af mailudbyderen, kan Per enten modtage mailen dekrypteret, eller modtage et link til et sted, hvor beskeden kan læses sikkert.
Ved denne metode skal både afsender og modtager have et nøglepar, der kan kryptere og dekryptere indholdet af mailen – derfor navnet “End-to-End” kryptering. Denne løsning giver en høj sikkerhed for hvem der modtager mailen, og hvem der afsender, da kun disse personer kan læse mailens indhold.
Hvilken kryptering skal du bruge?
Hvis din virksomhed har behov for at overføre fortrolige eller følsomme personoplysninger, skal du vurdere hvordan de skal krypteres.
Ifølge datatilsynet, skal du som minimum bruge TLS version 1.2, hvis du overfører fortrolige eller følsomme oplysninger. Du skal anvende end-to-end kryptering, hvis der er en særlig høj risiko for de implicerede, f.eks. helbredsoplysninger og lignende.
Anskaf en måde at sende end-to-end krypterede mails, så har du din ryg fri, hvis du er i tvivl.
Er min mail sikker i indbakken!
Når din mail ligger i indbakken, ligger den typisk på din mailudbyders server. Du har højst sandsynlig lavet en aftale med dem om at de opbevarer dine mails forsvarligt – hvilket er nok for at efterleve persondataforordningen.
Men!
Selvom du efterlever datatilsynets krav til at sende sikker mail med kryptering, skal du være opmærksom på hvad der sker med din mail, når den opbevares i din indbakke.
“Data at rest” vs. “Data in transit”
Når du overvejer sikkerheden af dine mails, så er det nyttigt, at tænke i følgende to begreber:
- Data in transit – data der bevæger sig over internettet eller LAN-netværk (mail)
- Data at rest – data der ligger et fysisk sted, på computer eller server (mail i indbakken)
Du sender krypteret mail, men er din mail i indbakken krypteret?
Det korte svar er nej! Din indbakke er typisk beskyttet af din mailudbyder. Dette betyder, at du skal have ’tiltro’ til, at de ikke misbruger dine data, samt at de beskytter dine mails ordentligt. Disse udbydere er ikke altid sikre, så du skal bruge din risikovurdering til at vurdere brugen af disse. Se eksempelvis disse sager:
- Hvad de bruger dine mails til. Google indrømmer at de lader hundredvis af selskaber læse dine mails
- Hackerangreb – Yahoo mistede kontrol over 3 millioner kontoer i 2017
- Læk af oplysninger fra interne kilder – whistleblowers, panama-pa
Krav til IT-sikkerhed ændrer sig
Implementeringen af persondataforordningen, fører til nye standarder for sikkerhed.
Indtil nu har der været meget fokus på f.eks. passwords, som meget gerne skal opdateres løbende, være unikt, langt, med tal, store og små bogstaver osv. Dog er passwords ofte ikke nok til at sikre din data.
Når det gælder personfølsomme oplysninger, begynder der at komme øget fokus på to-trins bekræftelser, hvor man ud over password også skal bruge, sms, nøglekort, e.lign. for at kunne få adgang til sine data. Dette sker også for at beskytte din mail i indbakken.
Flere udbydere begynder at tilbyde øget sikkerhed af din indbakke. Protonmail og Criptext, tilbyder at kryptere alle dine mails i indbakken, så det kun er dig der kan læse den. Desuden tilbyder de også at din mail bliver krypteret inden den sendes, til deres server, så de heller ikke kan læse den.
Overvej følgende:
- Kravene til sikkerhed ændrer sig!
- Kryptering af din mail i indbakken er ikke et krav.
- Har du tiltro til din mailudbyder, eller kan dine kunder have et ønske om øget sikkerhed?
- Nogle medarbejdere har automatisk synkronisering slået til, så beskeder gemt på computeren automatisk bliver sikkerhedskopieret i en cloud-service. I så fald kan indhold være tilgængeligt ukrypteret andre steder.
Hvilken mailudbyder skal du bruge?
Det er ikke standard at virksomheder sender fortrolige oplysninger med krypteret mail.
Dette kan skyldes, at det endnu ikke er standard for udbydere, at tilbyde kryptering af mails. Markedet for kryptering af mails er desuden svært at gennemskue. Dog er der efterhånden kommet flere løsninger på problemet.
Mailudbydere
Alle mailudbydere tilbyder efterhånden forskellige former for kryptering. Men der er også en masse mailudbydere der har specialiseret sig i sikker mail og kryptering.
Ifølge Datatilsynet, skal du:
- som minimum bruge TLS version 1.2, hvis du overfører fortrolige eller følsomme oplysninger.
- anvende end-to-end kryptering, hvis der er en særlig høj risiko for de implicerede, f.eks. helbredsoplysninger og lignende.
Bruger du almindelige mailudbydere, så skal du være opmærksom på, at dine mails ligger på deres servere, og her er dine mails ikke krypterede. Dine mails bliver ofte først krypterede når de bliver sendt fra deres server. Din mailudbyder har altså adgang til din mail.
Google – Gmail
Google krypterer automatisk dine mails med TLS 1.2, når de bliver sendt. Du kan tjekke, hvis det ikke anvendes på ikonet “Ingen TLS ”, som vises i browseren..
Dette betyder, at afsenderen ikke understøtter TLS 1.2, og derfor har sendt mailen uden krypteret. Dette kan også betyde, at afsenderen ikke kan læse dine mails.
Hvis du skal lave end-to-end kryptering, skal du have en Google Workspace konto, som koster penge, samt indstille din konto til S/MIME.
Google har desuden en funktion der hedder confidentiality mode.
Med dette kan man sende en besked til en person, som kræver kode modtaget på sms, med indhold der ikke kan kopieres, og som sletter sig selv efter et angivet tidspunkt. Dette har dog ikke noget med kryptering at gøre!
Microsoft – Outlook
Du kan sagtens TLS-kryptere mails med outlook. Du skal være opmærksom på hvor gammelt dit styresystem er, og hvilken udgave af outlook du bruger.
Du skal abonnere på 365 Office, hvis du vil kryptere dine mails yderligere. Her kan du kryptere på flere måder (OME, IRM og S/MIME) bl.a. end-to-end kryptering. Modtagere af mails skal ikke nødvendigvis have et abonnement. Din mailindbakke kan krypteres med Bitlocker Drive Encryption, så indbakken er sikret.
Der er flere mailudbydere, der specialiserer sig i netop kryptering af mails.
Protonmail
Denne løsning er til dig, hvis du ønsker at være helt sikker. Protonmail er startet ved hjælp af crowdfunding, og tilskud fra forskellige fonde og organisationer. Det koster i udgangspunkt 4€/måned, hvilket finansierer firmaet, men man kan oprette en gratis mailkonto, med begrænset lagerplads og antal mail der kan sendes. Selskabet har hjemme i Schweiz.
Protonmail bruger en client side, end-to-end kryptering. Denne tilgang er ikke almindelig i praksis, men sikrer at din mailudbyder ikke kan læse indholdet af din mail. Modtageren behøver ikke at bruge Protonmail for at modtage beskeden. Protonmail holder desuden dine mails i indbakken krypteret. Hvis nogen tvinger sig adgang til dine mails, så vil de ikke kunne læse dem.
Criptext
Criptext er et plug-in program til din google mail, der koster 4€ om måneden. Ifølge firmaet bliver mails krypteret før de sendes til serveren (client side), og de er krypterede når de ligger på serveren. Derudover kan du altid tilbagekalde afsendte mails, følge din mail, og tidsindstille sletningen af mailen. Criptext har dog hjemme i USA.
NemID
Kan bruges som plug-in til outlook, når både du og modtageren af din mail har NemID. Med NemID kan du sende og modtage følsomme og fortrolige oplysninger end-to-end krypteret.
Rmail – Danastar
Dette program kan bruges som plug-in eller separat og giver dig mulighed for at lave “end-to-end” kryptering. Desuden er der en del andre services i forbindelse med afsendelse af mails. De skriver ikke om kryptering af mails, når de ligger i indbakken. Rmail holder til i USA, Danastar er dansk.
Overvejelser
Her er nogle overvejelser der er relevante når du skal vælge mailudbyder til kryptering af din mail.
Vores vaner
Hvad bruger du i forvejen? Det er selvfølgelig nemt at fortsætte med allerede kendte systemer.
Brugeroplevelsen
Er det brugervenligt? Fx har Google ofte et meget brugervenligt design, der kan kombineres med mange andre services.
Frekvens
Hvor ofte skal du sende krypteret mail?
Hvis du sjældent skal bruge en krypteret mail, så kan du nøjes med en specialiseret konto til dette. Hvis du ofte skal sende krypterede mails, så kan et plug-in program være en god mulighed.
Tillid
Har du tiltro til din udbyder, og deres håndtering af din mail.
Pris
Giver prisen mening til dit behov? Prisen stiger generelt ift. hvor mange mails der skal sendes krypteret.