Lær mere om, hvordan du skaber compliance med GDPR, når du sender e-mails, der indeholder persondata – og hvordan du går skridtet videre og tænker egentlig it-sikkerhed på e-mail-området.

Man kommer hurtigt til at tro, at Datatilsynet stiller et nyt ultimativt krav om kryptering af e-mails, når man læser den pressemeddelelse, Skærpet praksis ift. krypteret e-mail, som myndigheden udsendte den 23.7.18.

Men det er ikke tilfældet.

GDPR og Datatilsynets tilgang til sikring af persondata er risikobaseret. Det betyder, at jo højere risiko, der findes for, at persondata falder i de forkerte hænder og jo større skadevirkning, det kan forårsage, des bedre må du sikre dine data.

Kryptering er en mulig sikkerhedsforanstaltning, men det hele afhænger af din infrastruktur og de enkelte klasser af data, du skal sikre, som én af Datatilsynets teknikere fortalte os.

Foretag en risikovurdering

Datatilsynet sætter dog en deadline for compliance med GDPR på e-mail-området. Den 1.1.2019 skal virksomheder have sikret persondata, der via e-mail distribueres både internt og eksternt.

Men hvordan bliver du så compliant, når sikkerheden afhænger af infrastruktur? Hvordan undgår netop din virksomhed, at Datatilsynet kommer efter jer med bøder?

Ja, her kunne Datatilsynet godt have formuleret sig en anelse mere entydigt. I deres informationsmateriale og udtalelser i pressen, tegner der sig imidlertid omridset af en procedure.

Det første, du må gøre, er at foretage er en risikovurdering. Denne er obligatorisk. Alle, der distribuerer personoplysninger via mail skal lave den.

En risikovurdering består af:

  1. En kortlægning af alle de risici behandlingen (af persondata, red.) medfører og en kategorisering (scoring, sandsynlighed og alvorlighed) heraf
  2. En vurdering af hvad der er passende tekniske og organisatoriske foranstaltninger, til at sørge for at forordningen overholdes og dette kan dokumenteres

Nogle virksomheder må i tillæg foretage en konsekvensanalyse. Begge undersøgelser kaster lys over, hvordan virksomhedens infrastruktur er indrettet, hvilke persondata, virksomheden sender rundt og hvordan de bør sikres.

Kryptering gælder fortrolige og følsomme persondata (versus almindelige persondata)

Persondata er nemlig ikke blot persondata. De kommer i 3 forskellige klasser, som bør sikres på forskellige niveauer.

Når Datatilsynet taler om kryptering, gælder det typisk for de såkaldte ‘fortrolige’ og ‘følsomme’ persondata. Du ser hvilke data, disse typer persondata dækker over i skemaet nedenfor:

Kryptering under transmission kunne betyde Forced TLS (advarsel: Vi bliver lidt tekniske her)

Kryptering er også et vidt begreb. Datatilsynet taler om kryptering under transmission (eller forsendelse), der bl.a. adskiller sig fra ’kryptering i hvile’ eller det, man også kalder End to End Encryption. TRUSTZONE leverer sidstnævnte gennem de såkaldte PersonalSign S/MIME certifikater.

Skal vi blive tekniske, er den mest udbredte form for kryptering under transmission, det man kalder Forced TLS (TLS står for Transport Layered Security),

Nu til dags understøtter de fleste mail-servere TLS. Det gælder f.eks. for Gmail, Outlook og Hotmail.

Såfremt begge parter understøtter teknologien, vil TLS kryptere din mail på vejen fra afsender til modtager. Altså under transmissionen.

Det foregår på samme måde, som når en forbindelse krypteres mellem en browser og en https-sikret hjemmeside-server.

TLS skaber en slags tunnel mellem afsender og modtager. En tredjepart kan ikke, f.eks. via malware, opsnappe, læse og involvere sig i kommunikationen. Indholdet – altså mails, der sendes frem og tilbage i tunnelen – er ikke krypterede i sig selv. Det er derimod selve kommunikationskanalen, hvorigennem indholdet passerer. På den måde afskæres uvedkommende fra at kigge ind gennem tunnelens vægge og få adgang til indholdet.

Et problem er dog, at standard-TLS-indstillingen på så godt som alle mailservere kun er ’Opportunistisk TLS’.

Det betyder, at afsenders server foretrækker TLS under forsendelse (uden dog at stille krav derom).

Hvis modtagers mailserver ikke understøtter TLS, vil mailen alligevel blive sendt til modtagers server, der i så fald typisk er en ukrypteret POP3 eller SMTP-server. Dermed vil kommunikationen relativt let kunne opsnappes, manipuleres eller på anden vis kompromitteres.

Det samme gælder undervejs i forsendelsen. I visse scenarier vil en hacker kunne sørge for, at der mangler TLS-server-stationer undervejs i forsendelsen og hvis ikke der findes alternativer, vil afsenders mailserver bruge en ukrypteret server som mellemstation. Her vil kommunikationen igen kunne opsnappes og kompromitteres.

Man kommer dog ud over problemet ved at bruge indstillingen ’Forced TLS’ (Tvungen TLS). Med denne indstilling kræver mailserveren, at modtagers server og stationer undervejs i forsendelsen alle bruger TLS. Hvis der findes servere undervejs, der ikke understøtter TLS, får afsender besked om, at mailen ikke kan sendes til pågældende adresse.

Denne indstilling, denne form for kryptering vil – for at citere Datatilsynet – “normalt ( … ) være en passende sikkerhedsforanstaltning – for både offentlige og private aktører ( … ) ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.”

Sådan må vi tolke Datatilsynets udmelding.

Ifølge en artikel i Version2 anbefaler Datatilsynet ydermere, at det som minimum er den næst-nyeste TLS 1.2 med AES-standarden, som virksomhederne bør bruge til kryptering under forsendelse.

Forced TLS kommer ikke uden problemer

Der er gode grunde til, at tvungen TLS ikke blot er indstillet som en ny standardindstilling på førende mail-servere, der understøtter TLS (Gmail, Outlook, Apple mail osv.).

Ifølge IT-sikkerhedsekspert, Hanno Böck er der flere vigtige problemer i spil:

Ét problem er, at indstillingen forbyder mailservere at tale med andre servere, der ikke understøtter TLS. Faktisk begyndte en tysk mail-vært at tilbyde en sådan mulighed, men advarer udtrykkeligt, at det måske forhindrer mails fra at blive leveret. For eksempel understøttede mailserverne hos det næststørste politiske parti i Tyskland ikke STARTTLS.. Men der findes også mere subtile problemer. Et andet er certifikatproblemet. Jeg nævnte det kort i denne artikel på trustzone.com. Sagen er, at mange mail-servere ikke har gyldige certifikater. Dertil kommer, at mail-servere generelt ikke kontrollerer certifikatgyldigheden konsekvent og dermed overser det. Og selvom certifikater med succes ville blive valideret, ville der stadig være andre problemer.

Hanno Böck henviser desuden til denne artikel med baggrundsinformation.

Forced TLS er ikke altid sikkert nok

Men hvor sikker er du så på compliance med GDPR på dette område?

Skulle det ske, at en hacker på én eller anden måde fik adgang til din mailkonto, vil kryptering under transmission ikke forhindre vedkommende i at læse, ændre eller snyde folk ved at sende mails i dit navn. I så fald vil Forced TLS hverken dæmme op for brud på dine datas fortrolighed, integritet eller autenticitet.

Hackeren kunne få adgang ved at gætte eller aflure dit eller modtagers password. I halvåbne og lettilgængelige kontormiljøer ville hackere ret let kunne stjæle persondata, mens de ansvarlige medarbejderne ikke var til stede.

Kig f.eks. på de små kontorer langs gangene på landets sygehuse. Her burde man måske nok højne sikkerheden til beskyttelse af patienternes journaler, der jo indeholder særdeles følsomme oplysninger.

Det er med sådanne overvejelser i baghovedet, at IT-kyndige og -specialister tilsyneladende mener, at Datatilsynet sætter barren lavt ved sit fokus på kryptering under transmission. Forced TLS skaber et udmærket fundament, er kritikernes pointe, men det bliver sjældent en tilstrækkelig løsning i sig selv.

Kan TRUSTZONE hjælpe?

Hvordan kan vi i TRUSTZONE hjælpe dig med vores produkter og ekspertise?

Der er en række fordele ved vores PersonalSign S/MIME-certifikater, som du vil drage nytte af som kunde. I kombinationen med Forced TLS bliver du mere end compliant næsten uanset din infrastruktur. Samtidig er PersonalSign en løsning, der er let at bruge i det daglige arbejdsflow.

En mere sikker ekstern e-mailkommunikation

Du kan bruge PersonalSign certifikaternes S/MIME-teknologi til at kryptere indholdet af dine mails og ikke blot kommunikationskanalen (tunnelen) mellem afsender og modtager.

Vi kan dog ikke bruge PersonalSign til at kryptere indholdet af mails, der f.eks. går ud til private. Kryptering såvel som dekryptering (vel og mærke af indhold) kræver, at både afsender og modtager har et S/MIME certifikat installeret på sin enhed. Det kan vi ikke forvente af den almindelige privatperson eller for den sags skyld vores B2B-kontakter.

I den eksterne kommunikation vil et PersonalSign certifikat ikke desto mindre kunne bidrage med en digital mail-signatur. Dén vil modtageren sagtens kunne se uden et certifikat på sin enhed.

Med en digital signatur bekræfter du din identitet som afsender af mailen og du bekræfter, at mailens indhold ikke er blevet ændret undervejs i forsendelsen. Var den det, ville modtageren ikke kunne se signaturen.

Med S/MIME bekræfter du dermed autenticitet og integriteten af data overfor eksterne mail-modtagere. Certifikatet bidrager med et ekstra sikkerhedslag i forhold til Forced TLS. Udover man-in-the-middle attacks (MITM) beskytter det mod phishing og spear phishing i den eksterne kommunikation.

Med hensyn til ekstern kommunikation vil et PersonalSign certifikat levere følgende merværdi udover Forced TLS:

  • Digital Signatur – det vil sige sikring af datas integritet og autentificering af afsender
  • Beskyttelse mod phishing, spear phishing, MITM attacks, malware o.lign

Intern kommunikation af fortrolige og følsomme persondata

Ofte vil man i højere grad sende emails med persondata internt, fremfor eksternt ud af organisationen. Her vil PersonalSign kunne bidrage med muligheden for ægte ’End to End Encryption’.

Når du krypterer en mail via PersonalSign, vil andre simpelthen ikke kunne læse den, medmindre de har adgang til modtagers mailkonto og derudover til modtagers private krypteringsnøgle. PersonalSign leverer hermed den mest sikre form for mailkryptering, der findes.

Digital Signatur vil også internt kunne forhindre phishing og spear phising som for eksempel SEO fraud.

Kort sagt vil PersonalSign kunne tilføje følgende merværdi ift. sikring af data i den interne kommunikation:

  • Digital Signatur – det vil sige sikring af datas integritet og autentificering af afsender
  • End-to-end-kryptering, dvs. datas fortrolighed, herunder beskyttelse mod malware, MITM attacks, phishing og spear phishing.