Genveje
Kontrolpanel Webmail Driftstatus
Gå til kurv
E-mail

Kryptering & sikker mail

Da e-mail som udgangspunkt er en usikker kommunikationsform, skal du først og fremmest sørge for, at du har styr på de fundamentale sikkerhedsanbefalinger. Med et webhotel hos Netsite, er du allerede langt, da du KUN kan forbinde krypteret til vores mailservere med TLS 1.2 eller nyere.

Om du har brug for yderligere tiltag, såsom kryptering, i forhold til din e-mail, kommer an på selve dataen du sender og den risikovurdering du laver. F.eks. har vi psykologer som kunder hos Netsite, hvor det hurtigt kan siges, at almindelig e-mail her ikke bør benyttes til transmission af fortrolige og følsomme personoplysninger.

Hvad er "sikker mail"?

Begrebet "sikker mail" i Danmark stammer primært fra den offentlige sektors fokus på databeskyttelse og sikkerhed ved elektronisk kommunikation.

Udtrykket opstod særligt i forbindelse med initiativer som Digitaliseringsstyrelsens og Sundhedsstyrelsens kampagner og krav om beskyttelse af personfølsomme data i digital korrespondance. Begrebet har især været fremtrædende siden implementeringen af EU’s databeskyttelsesforordning (GDPR) i 2018, som skærpede kravene til beskyttelse af persondata.

I Danmark er begrebet typisk brugt om løsninger, der benytter:

  • MitID til autentifikation af afsender/modtager.

  • Kryptering til sikring af fortrolighed.

  • Digital signatur til verifikation af afsenderens identitet.

  • Særlige platforme som e-Boks, virk.dk og sundhed.dk, hvor offentlige myndigheder, regioner og kommuner kommunikerer sikkert med borgere og virksomheder.

Begrebet har sin oprindelse i bestræbelserne på at sikre lovmedholdelig elektronisk kommunikation mellem offentlige myndigheder, sundhedsvæsenet, virksomheder og borgere.

Kort sagt er "sikker mail" således blevet synonymt med krypteret, autentificeret og dokumenteret elektronisk post i Danmark, drevet af offentlige standarder og regulativer.

Kryptering på transportlaget - TLS som minimum

Datatilsynet anbefaler TLS 1.2 som minimum for transmission af fortrolige og følsomme personoplysninger. TLS 1.3 er den nyeste version af protokollen og giver bedre sikkerhed og ydeevne. Netsites mailservere understøtter både TLS 1.2 og TLS 1.3.

Obligatorisk TLS fra din computer til Netsite

Når du forbinder til Netsites mailservere med din e-mail-klient eller vores webmail, er TLS-kryptering påkrævet. Du kan ikke sende eller modtage e-mail via Netsite uden en krypteret forbindelse. Det betyder, at dit login og indholdet af dine e-mails er beskyttet på dette trin.

Opportunistisk TLS fra Netsite til modtagerens mailserver

Når Netsites mailserver sender din e-mail videre til modtagerens mailserver, anvendes opportunistisk TLS, hvilket betyder:

  • Vi forsøger altid at etablere en TLS-forbindelse til modtagerens mailserver

  • Hvis modtagerens server ikke understøtter TLS, leveres e-mailen alligevel, men uden kryptering på dette trin

Det er denne del af transmissionen, der udgør den primære risiko ved transportlag-kryptering alene.

Håndhævelse af TLS mellem mailservere - DANE og MTA-STS

Der findes mekanismer, som kan håndhæve TLS mellem mailservere og dermed lukke hullet i opportunistisk TLS:

  • MTA-STS (Mail Transfer Agent Strict Transport Security) gør det muligt for et domæne at offentliggøre en politik, der kræver TLS-kryptering ved indgående e-mail. Det forhindrer, at forbindelsen falder tilbage til ukrypteret levering.

  • DANE (DNS-based Authentication of Named Entities) bruger DNSSEC til at publicere TLS-certifikater i DNS, så afsenderens mailserver kan verificere modtagerens certifikat og afvise forbindelser, der ikke er krypteret. DANE er på Netsites roadmap.

Disse teknologier styrker transportlag-krypteringen betydeligt, men kræver at begge parters domæner understøtter dem.

Forståelse af e-mail transmissionskæden

En typisk e-mail-transmission består af flere dele:

  1. Fra din computer til Netsites mailserver - Krypteret med TLS

  2. Fra Netsites mailserver til modtagerens mailserver - Opportunistisk TLS

  3. Fra modtagerens mailserver til modtagerens computer - Afhænger af modtagerens opsætning

  4. Opbevaring på modtagerens mailserver - Ofte krypteret "at rest" hos store udbydere, men udbyderen har adgang til nøglerne. Det er ikke end-to-end krypteret

  5. Opbevaring på modtagerens computer - Afhænger af modtagerens opsætning (f.eks. diskkryptering)

Hvornår er transportlag-kryptering ikke tilstrækkelig?

Datatilsynet fremhæver situationer, hvor TLS-kryptering på transportlaget ikke er tilstrækkelig:

  • Transmission af særligt følsomme personoplysninger

  • Når risikovurderingen viser høj risiko for de registrerede

  • Når der er bekymring for "insidertrusler" eller fysisk indbrud

  • Når dele af transmissionskæden ikke kan kontrolleres eller gennemskues

I disse tilfælde skal du overveje end-to-end kryptering.

End-to-end kryptering - den sikreste løsning

End-to-end kryptering beskytter data gennem hele transmissionskæden og sikrer, at kun afsender og modtager kan læse indholdet. Datatilsynet nævner flere metoder:

OpenPGP / GPG

  • OpenPGP er en åben standard for end-to-end kryptering af e-mail. GPG (GNU Privacy Guard) er den mest udbredte open source-implementering af standarden

  • Kræver nøglestyring fra både afsender og modtager

  • Sikrer kryptering gennem hele transmissionskæden

S/MIME

  • Certificat-baseret kryptering

  • Integreret i mange e-mail-klienter (Outlook, Apple Mail m.fl.)

  • Kræver PKI-infrastruktur og anskaffelse af certifikater

PGP og S/MIME i praksis

Begge metoder kræver, at både afsender og modtager har den nødvendige opsætning, dvs. nøgler (PGP) eller certifikater (S/MIME). Det er en væsentlig barriere, særligt for mindre virksomheder og privatpersoner. For de fleste er de praktiske alternativer beskrevet nedenfor (krypterede vedhæftninger eller krypterede kommunikationskanaler) mere realistiske løsninger.

Kryptering af vedhæftninger

Datatilsynet anbefaler følgende sikkerhedstiltag ved kryptering af vedhæftninger:

  • Anvendelse af tilstrækkelig stærk kryptering

  • Minimumskrav til adgangskode-kompleksitet

  • Validering af modtagerens identitet

  • Koden sendes via anden kanal end filen (f.eks. telefon)

  • Kontakt til modtageren på kendt telefonnummer

Krypterede kommunikationskanaler som alternativ til e-mail

For de fleste virksomheder er den nemmeste måde at overholde lovgivningen at flytte følsom kommunikation væk fra e-mail og over til kanaler med end-to-end kryptering:

  • Signal - end-to-end krypteret beskedtjeneste (open source)

  • e-Boks - sikker digital post med MitID-autentifikation

  • Klient-/patientportaler - mange brancheløsninger (f.eks. til sundhed, psykologi eller jura) har indbygget sikker kommunikation

  • Krypteret fildeling - tjenester som Tresorit eller Proton Drive, hvor filer deles via krypterede links i stedet for som vedhæftninger

Organisatoriske foranstaltninger

Kryptering kræver ofte organisatoriske tiltag:

  • Procedurer for valg af transmissionsmetode

  • Undervisning af medarbejdere

  • Awareness-tiltag for at undgå fejl

  • Backup-rutiner for at kunne identificere berørte personer ved sikkerhedsbrud

Vigtige procedurer

  • Vi anbefaler også, at man skilter på sin hjemmeside med, at interessenter og kunder, ikke sender fortrolige og følsomme personoplysninger til ens e-mailadresse, men at e-mail bruges til en indledende dialog, indtil man så overgår til det rette "forum", hvis man har behov for at kommunikere data af den type.

  • Kontroller modtagerens kontaktoplysninger for at undgå forsendelse til forkert person

  • Etabler rutiner for håndtering af eventuelle sikkerhedsbrud

Tal med Netsite om din e-mail-sikkerhed

Netsite prioriterer sikkerhed højt, og vores e-mailplatform er tidssvarende. Du har dog selv ansvar for:

  • At vælge stærke adgangskoder

  • At foretage nødvendige risikovurderinger

  • At implementere end-to-end kryptering ved behov

Tag gerne fat på os, hvis du vil være sikker på, at din e-mail kører med så sikker opsætning som muligt, eller hvis du har brug for vejledning til implementering af end-to-end kryptering.

Din e-mail-sikkerhed starter med transportkryptering

Datatilsynets opdaterede vejledning gør det klart, at sikker transmission af personoplysninger kræver en grundig forståelse af hele transmissionskæden og de risici, der eksisterer i hver del. TLS 1.2 er Datatilsynets minimum for transportlag-kryptering (TLS 1.3 er den nyeste og foretrukne version), men end-to-end kryptering eller krypterede kommunikationskanaler kan være nødvendige for særligt følsomme data.

Som Netsite-kunde har du adgang til sikker e-mail-infrastruktur, men det er vigtigt at forstå dine forpligtelser som dataansvarlig og træffe de nødvendige sikkerhedsforanstaltninger baseret på dine specifikke behov og risikovurderinger.