Kryptering & sikker mail
Da e-mail som udgangspunkt er en usikker kommunikationsform, skal du først og fremmest sørge for, at du styr på de fundamentale sikkerhedsanbefalinger – Med et webhotel hos Netsite, er du allerede langt, da du KUN kan forbinde krypteret til vores mailservere med TLS 1.2.
Om du har brug for yderligere tiltag, såsom kryptering, i forhold til din e-mail, kommer an på selve dataen du sender og den risikovurdering du laver. F.eks. har vi psykologer som kunder hos Netsite, hvor det hurtigt kan siges, at almindelig e-mail her ikke bør benyttes til transmission af fortrolige og følsomme personoplysninger.
Hvad er "sikker mail"?
Begrebet "sikker mail" i Danmark stammer primært fra den offentlige sektors fokus på databeskyttelse og sikkerhed ved elektronisk kommunikation.
Udtrykket opstod særligt i forbindelse med initiativer som Digitaliseringsstyrelsens og Sundhedsstyrelsens kampagner og krav om beskyttelse af personfølsomme data i digital korrespondance. Begrebet har især været fremtrædende siden implementeringen af EU’s databeskyttelsesforordning (GDPR) i 2018, som skærpede kravene til beskyttelse af persondata.
I Danmark er begrebet typisk brugt om løsninger, der benytter:
MitID til autentifikation af afsender/modtager.
Kryptering til sikring af fortrolighed.
Digital signatur til verifikation af afsenderens identitet.
Særlige platforme som e-Boks, virk.dk og sundhed.dk, hvor offentlige myndigheder, regioner og kommuner kommunikerer sikkert med borgere og virksomheder.
Begrebet har sin oprindelse i bestræbelserne på at sikre lovmedholdelig elektronisk kommunikation mellem offentlige myndigheder, sundhedsvæsenet, virksomheder og borgere.
Kort sagt er "sikker mail" således blevet synonymt med krypteret, autentificeret og dokumenteret elektronisk post i Danmark, drevet af offentlige standarder og regulativer.
Kryptering på transportlaget – TLS som minimum
Datatilsynet anbefaler TLS 1.2 som minimum for transmission af fortrolige og følsomme personoplysninger. Når du bruger Netsites e-mailplatform og vores webmail, benytter du automatisk TLS 1.2-kryptering på transportlaget, som dog er opportunistisk.
Bemærk opportunistisk TLS
Netsites mailservere anvender opportunistisk TLS, hvilket betyder:
Vi forsøger altid at etablere TLS-forbindelser når det er muligt
E-mails leveres stadig, selv hvis TLS ikke er tilgængelig hos modtageren
Forståelse af e-mail transmissionskæden
En typisk e-mail-transmission består af flere dele:
Fra din computer til Netsites mailserver - Krypteret med TLS
Fra Netsites mailserver til modtagerens mailserver - Opportunistisk TLS
Fra modtagerens mailserver til modtagerens computer - Afhænger af modtagerens opsætning
Opbevaring på modtagerens mailserver - Typisk ukrypteret
Opbevaring på modtagerens computer - Typisk ukrypteret
Hvornår er transportlag-kryptering ikke tilstrækkelig?
Datatilsynet fremhæver situationer, hvor TLS-kryptering på transportlaget ikke er tilstrækkelig:
Transmission af særligt følsomme personoplysninger
Når risikovurderingen viser høj risiko for de registrerede
Når der er bekymring for "insidertrusler" eller fysisk indbrud
Når dele af transmissionskæden ikke kan kontrolleres eller gennemskues
I disse tilfælde skal du overveje end-to-end kryptering.
End-to-end kryptering – Den sikreste løsning
End-to-end kryptering beskytter data gennem hele transmissionskæden og sikrer, at kun afsender og modtager kan læse indholdet. Datatilsynet nævner flere metoder:
PGP (Pretty Good Privacy)
Open source-løsning som Netsite anbefaler
Kræver nøglestyring fra både afsender og modtager
Sikrer kryptering gennem hele transmissionskæden
S/MIME
Certificat-baseret kryptering
Integreret i mange e-mail-klienter
Kræver PKI-infrastruktur
Kryptering af vedhæftninger
Datatilsynet anbefaler følgende sikkerhedstiltag ved kryptering af vedhæftninger:
Anvendelse af tilstrækkelig stærk kryptering
Minimumskrav til adgangskode-kompleksitet
Validering af modtagerens identitet
Koden sendes via anden kanal end filen (f.eks. telefon)
Kontakt til modtageren på kendt telefonnummer
At tage kommunikationen på lukkede kanaler
Når behovet opstår for udveksling af data, er en af de nemmmeste måder at overholde lovgivningen, at skifte kommunikation fra e-mail og over til lukkede kanaler såsom:
Signal
E-boks
Organisatoriske foranstaltninger
Kryptering kræver ofte organisatoriske tiltag:
Procedurer for valg af transmissionsmetode
Undervisning af medarbejdere
Awareness-tiltag for at undgå fejl
Backup-rutiner for at kunne identificere berørte personer ved sikkerhedsbrud
Vigtige procedurer
Vi anbefaler også, at man skilter på sin hjemmeside med, at interessenter og kunder, ikke sender fortrolige og følsomme personoplysninger til ens e-mailadresse, men at e-mail bruges til en indledende dialog, indtil man så overgår til det rette "forum", hvis man har behov for at kommunikere data af den type.
Kontroller modtagerens kontaktoplysninger for at undgå forsendelse til forkert person
Etabler rutiner for håndtering af eventuelle sikkerhedsbrud
Tal med Netsite om din e-mail-sikkerhed
Netsite prioriterer sikkerhed højt, og vores e-mailplatform er tidssvarende. Du har dog selv ansvar for:
At vælge stærke adgangskoder
At foretage nødvendige risikovurderinger
At implementere end-to-end kryptering ved behov
Tag gerne fat på os, hvis du vil være sikker på, at din e-mail kører med så sikker opsætning som muligt, eller hvis du har brug for vejledning til implementering af end-to-end kryptering.
Konklusion
Datatilsynets opdaterede vejledning gør det klart, at sikker transmission af personoplysninger kræver en grundig forståelse af hele transmissionskæden og de risici, der eksisterer i hver del. Mens TLS 1.2 er minimum for transportlag-kryptering, kan end-to-end kryptering være nødvendig for særligt følsomme data.
Som Netsite-kunde har du adgang til sikker e-mail-infrastruktur, men det er vigtigt at forstå dine forpligtelser som dataansvarlig og træffe de nødvendige sikkerhedsforanstaltninger baseret på dine specifikke behov og risikovurderinger.