Fra den 25. maj skal databeskyttelse være indbygget i de IT-systemer, der behandler personfølsomme data. Med S/MIME får du e-mail-sikkerhed, som sikrer dig en række forretningsmæssige fordele, herunder compliance med GDPR.

GDPR handler om dine rettigheder i forhold til den data, som virksomheder og organisationer må hente og opbevare på dig i EU. Du har f.eks. ret til at få indsigt i, hvilke data, man opbevarer på dig. Du har også ret til at blive glemt og få slettet data, man har på din person.

Dermed stiller GDPR nye krav til arbejdsgange og procedurer hos medarbejdere, der arbejder med personfølsomme data. I tillæg stilles der nogle rent tekniske krav til vores IT-systemer. Fra den 25. maj skal databeskyttelse være indbygget i systemerne, der behandler vores persondata. Systemerne skal så at sige designes, så de automatisk behandler data i overensstemmelse med GDPR. Det gælder naturligvis også for vores e-mail-systemer.

PERSONDATALOVEN & E-MAIL SIKKERHED

Compliance med GDPR forhindrer, at du kommer ud for bøder helt op til 20.000.000 EUR eller 4% af virksomhedens samlede globale omsætning. På e-mail-området indebærer compliance dog også andre forretningsmæssige fordele.

Mere sikre e-mail-systemer dæmmer op for angreb via e-mail. På verdensplan sender vi i øjeblikket omkring 280 mia. mails om dagen. En stor del af de cyberangreb, vi oplever, starter i mails. De breder sig via klik på ondsindede webadresser, vira i vedhæftninger, phishing-angreb, Nigeria-breve og lignende svindelmails eller BEC-angreb (Business Email Compromises), hvor hackeren sender en arbejdsmail med chefen som afsender for at narre penge ud af en leverandør til virksomheden.

Det er angreb, der på hver sin måde kompromitterer persondata og i kølvandet kan skabe enorme uforudsete udgifter for virksomheden eller organisationen, de rammer.

Forretnings-fordelen får du øje på, når du iagttager, at det hverken er særlig svært eller dyrt at forbedre sikkerheden væsentligt, når det gælder personfølsomme mails. Teknologien eksisterer i form S/MIME PersonalSign-certifikater, som de fleste mailsystemer understøtter – derunder Microsoft Outlook, Thunderbird, Apple Mail, Lotus Notes, Mulberry Mail o.a.

UNDERSKRIV DIGITALT VIA S/MIME?

Via Secure/Multipurpose Internet Mail Extensions (S/MIME) kan en modtager med sikkerhed identificere afsenderen af en mail.

Lad os sige, at du er en internet-virksomhed, der sælger din ydelse på abonnementsbasis. Ofte vil du komme ud for, at en kunde får nyt betalingskort og at kortet, der betaler din service derfor ikke længere virker. Når dét sker, er du nødt til at bede kunden om at opdatere sine betalingsoplysninger. I så fald vækker det tillid hos modtageren, når kunden kan identificere med sikkerhed, at det er din forretning (fx Brobizz A/S), der sender mailen med den vigtige forespørgsel.

Tilsvarende er det en sikkerhed for din forretning, at en hacker ikke kan opsnappe og misbruge denne mail til at lokke betalingsoplysninger ud af godtroende kunder. Når mailen er signeret, får du nemlig straks besked, hvis hackeren forsøger at videresende den i en ændret form.

PersonalSign certifikaterne, der giver mulighed for sikker identifikation af en afsender, kan oprettes med tilknytning til den enkelte person, men de kan også oprettes, så en afdeling i virksomheden eller virksomheden selv figurerer som e-mailens afsender.

Afhængigt af certifikatet sker oprettelsen gennem en identifikationsproces, der kan foregå på forskellige niveauer.

Ved brug af de mest autoritative certifikater vil du efterfølgende kunne sætte en digital underskrift i e-mails og office-dokumenter. Denne digitale underskrift vil have samme vægt, som den du sætter på fysiske breve og dokumenter.

KRYPTER PERSONFØLSOMME MAILS VIA S/MIME

Når S/MIME standarden bruges til kryptering af mails, kan både afsender og modtager være sikker på, at afsenders besked ikke bliver læst af en 3. part eller for den sags skyld bliver ændret et sted under afsendelsen.

Kun modtager har nemlig nøglen til dekryptering af mailen og end ikke afsender vil kunne dekryptere beskeden, når den er afsendt med S/MIME. Dermed bliver personfølsomme data i mails langt mere utilgængelige for uvedkommende.

Når vi ikke automatisk S/MIME-krypterer alle mailkorrespondancer, skyldes det, at både afsender og modtager nødvendigvis må have installeret de rette PersonalSign-certifikater, før kryptering kan finde sted. Det kan du endnu ikke forvente af parterne, når det gælder almindelige mail-korrespondancer, som ikke er sensitive overfor personlige data.

Når det er sagt, bør man også være opmærksom på, at 100% sikkerhed ikke findes. Også i relation til S/MIME-teknologien vil du kunne forestille dig en situation, hvor en hacker stjæler en brugers private nøgle og bliver i stand til at dekryptere personfølsomme mails. Dette usikkerhedsmoment beror dog fremfor alt på manglende agtpågivenhed fra nøglens ejers side. Selve teknologien er sikker i øjeblikket, hvis ellers de personer, den tjener, er uddannet i at bruge den.

Fakta

  • S/MIME (Secure/Multipurpose Internet Mail Extensions) er en standard til digital underskrift, kryptering af e-mails og tovejs-autentifikation
  • Digital mailsignatur verificerer afsenderen af en mail overfor modtageren
  • Gennem mailkryptering gør du det umuligt for andre end modtager at læse afsenders mail
  • To-faktor-autentificering gennem S/MIME gør det muligt at tildele personer adgang til hver sit niveau af information – inddelt f.eks. efter fortrolighed