Kryptering & sikker mail

Da e-mail som udgangspunkt er en usikker kommunikationsform, skal du først og fremmest sørge for, at du styr på de fundamentale sikkerhedsanbefalinger – Med et webhotel hos Netsite, er du allerede langt, da du KUN kan forbinde krypteret til vores mailservere med TLS 1.2.

Om du har brug for yderligere tiltag, såsom kryptering, i forhold til din e-mail, kommer an på selve dataen du sender og den risikovurdering du laver. F.eks. har vi psykologer som kunder hos Netsite, hvor det hurtigt kan siges, at almindelig e-mail her ikke bør benyttes til transmission af fortrolige og følsomme personoplysninger.

Hvad er "sikker mail"?

Begrebet "sikker mail" i Danmark stammer primært fra den offentlige sektors fokus på databeskyttelse og sikkerhed ved elektronisk kommunikation.

Udtrykket opstod særligt i forbindelse med initiativer som Digitaliseringsstyrelsens og Sundhedsstyrelsens kampagner og krav om beskyttelse af personfølsomme data i digital korrespondance. Begrebet har især været fremtrædende siden implementeringen af EU’s databeskyttelsesforordning (GDPR) i 2018, som skærpede kravene til beskyttelse af persondata.

I Danmark er begrebet typisk brugt om løsninger, der benytter:

  • MitID til autentifikation af afsender/modtager.

  • Kryptering til sikring af fortrolighed.

  • Digital signatur til verifikation af afsenderens identitet.

  • Særlige platforme som e-Boks, virk.dk og sundhed.dk, hvor offentlige myndigheder, regioner og kommuner kommunikerer sikkert med borgere og virksomheder.

Begrebet har sin oprindelse i bestræbelserne på at sikre lovmedholdelig elektronisk kommunikation mellem offentlige myndigheder, sundhedsvæsenet, virksomheder og borgere.

Kort sagt er "sikker mail" således blevet synonymt med krypteret, autentificeret og dokumenteret elektronisk post i Danmark, drevet af offentlige standarder og regulativer.

Kryptering på transportlaget – TLS som minimum

Datatilsynet anbefaler TLS 1.2 som minimum for transmission af fortrolige og følsomme personoplysninger. Når du bruger Netsites e-mailplatform og vores webmail, benytter du automatisk TLS 1.2-kryptering på transportlaget, som dog er opportunistisk.

Bemærk opportunistisk TLS

Netsites mailservere anvender opportunistisk TLS, hvilket betyder:

  • Vi forsøger altid at etablere TLS-forbindelser når det er muligt

  • E-mails leveres stadig, selv hvis TLS ikke er tilgængelig hos modtageren

Forståelse af e-mail transmissionskæden

En typisk e-mail-transmission består af flere dele:

  1. Fra din computer til Netsites mailserver - Krypteret med TLS

  2. Fra Netsites mailserver til modtagerens mailserver - Opportunistisk TLS

  3. Fra modtagerens mailserver til modtagerens computer - Afhænger af modtagerens opsætning

  4. Opbevaring på modtagerens mailserver - Typisk ukrypteret

  5. Opbevaring på modtagerens computer - Typisk ukrypteret

Hvornår er transportlag-kryptering ikke tilstrækkelig?

Datatilsynet fremhæver situationer, hvor TLS-kryptering på transportlaget ikke er tilstrækkelig:

  • Transmission af særligt følsomme personoplysninger

  • Når risikovurderingen viser høj risiko for de registrerede

  • Når der er bekymring for "insidertrusler" eller fysisk indbrud

  • Når dele af transmissionskæden ikke kan kontrolleres eller gennemskues

I disse tilfælde skal du overveje end-to-end kryptering.

End-to-end kryptering – Den sikreste løsning

End-to-end kryptering beskytter data gennem hele transmissionskæden og sikrer, at kun afsender og modtager kan læse indholdet. Datatilsynet nævner flere metoder:

PGP (Pretty Good Privacy)

  • Open source-løsning som Netsite anbefaler

  • Kræver nøglestyring fra både afsender og modtager

  • Sikrer kryptering gennem hele transmissionskæden

S/MIME

  • Certificat-baseret kryptering

  • Integreret i mange e-mail-klienter

  • Kræver PKI-infrastruktur

Kryptering af vedhæftninger

Datatilsynet anbefaler følgende sikkerhedstiltag ved kryptering af vedhæftninger:

  • Anvendelse af tilstrækkelig stærk kryptering

  • Minimumskrav til adgangskode-kompleksitet

  • Validering af modtagerens identitet

  • Koden sendes via anden kanal end filen (f.eks. telefon)

  • Kontakt til modtageren på kendt telefonnummer

At tage kommunikationen på lukkede kanaler

Når behovet opstår for udveksling af data, er en af de nemmmeste måder at overholde lovgivningen, at skifte kommunikation fra e-mail og over til lukkede kanaler såsom:

  • Signal

  • E-boks

Organisatoriske foranstaltninger

Kryptering kræver ofte organisatoriske tiltag:

  • Procedurer for valg af transmissionsmetode

  • Undervisning af medarbejdere

  • Awareness-tiltag for at undgå fejl

  • Backup-rutiner for at kunne identificere berørte personer ved sikkerhedsbrud

Vigtige procedurer

  • Vi anbefaler også, at man skilter på sin hjemmeside med, at interessenter og kunder, ikke sender fortrolige og følsomme personoplysninger til ens e-mailadresse, men at e-mail bruges til en indledende dialog, indtil man så overgår til det rette "forum", hvis man har behov for at kommunikere data af den type.

  • Kontroller modtagerens kontaktoplysninger for at undgå forsendelse til forkert person

  • Etabler rutiner for håndtering af eventuelle sikkerhedsbrud

Tal med Netsite om din e-mail-sikkerhed

Netsite prioriterer sikkerhed højt, og vores e-mailplatform er tidssvarende. Du har dog selv ansvar for:

  • At vælge stærke adgangskoder

  • At foretage nødvendige risikovurderinger

  • At implementere end-to-end kryptering ved behov

Tag gerne fat på os, hvis du vil være sikker på, at din e-mail kører med så sikker opsætning som muligt, eller hvis du har brug for vejledning til implementering af end-to-end kryptering.

Konklusion

Datatilsynets opdaterede vejledning gør det klart, at sikker transmission af personoplysninger kræver en grundig forståelse af hele transmissionskæden og de risici, der eksisterer i hver del. Mens TLS 1.2 er minimum for transportlag-kryptering, kan end-to-end kryptering være nødvendig for særligt følsomme data.

Som Netsite-kunde har du adgang til sikker e-mail-infrastruktur, men det er vigtigt at forstå dine forpligtelser som dataansvarlig og træffe de nødvendige sikkerhedsforanstaltninger baseret på dine specifikke behov og risikovurderinger.

Netsite Support
Hej, hvad kan jeg hjælpe dig med?