Kryptér dine mails – sidste advarsel

Krypter dine e-mails.

Bjarke Alling, CEO i Liga Software Aps

Opmærksomheden på IT-sikkerhed er væsentligt forøget de seneste år. Omfattende datalæk, manipulering af demokratiske processer og store virksomheder der er lagt ned efter hackerangreb, har bragt IT-sikkerhed øverst på dagsordenen og ind i budgettet. Adskillige sikkerhedshuller er lukket, men vi har glemt internettets gamle fætter, e-mailen. Den står nu for hovedparten af sikkerhedsbrister, og løsningen er entydig: Vi skal til at kryptere vore e-mails.

I Liga vurderer vi, at hovedparten af al e-mail-kommunikation vil være krypteret om blot få år. Kryptering vil blive et ligeså naturligt element i vores elektroniske kommunikation, som anti-virus og firewalls er i dag. Virksomheder og myndigheder ventes at gå forrest, og kryptering bliver en fast bestanddel af deres IT-sikkerhedspolitik. Det ser vi allerede de første tegn på, og vi forventer, at udviklingen kommer til at gå stærkt.

Det drejer sig nemlig om sikkerhed. Ikke blot sikkerhed for, at andre ikke får adgang til din mailserver, men også sikkerhed for, at man selv, som privatperson eller virksomhed, ikke sender oplysninger i e-mails ud, som kan misbruges.

Langt hovedparten af den IT-kriminalitet, vi har set de seneste år, baserer sig på, at mailbrugere uforvarende modtager og videresender ukrypterede e-mails med malware. Det gælder særligt phishing, herunder CEO-fraud, CryptoLockers og andre varianter, hvor e-mail bruges som indgang til at kompromittere systemer.

 

Gammel problematik med nye udfordringer

Problematikken omkring den usikre e-mailteknologi er som sådan ikke ny. Allerede for 15 år siden vedtog man i Danmark, at offentlige myndigheder skal tilbyde muligheden for kommunikation med borgere via krypterede e-mails[1]. Løsningerne er dog ikke særligt gode i praksis. I de fleste tilfælde er krypteringen baseret på, at e-mails først krypteres, når de forlader virksomheden. Den ukrypterede version ligger stadig på afsenderens mailserver, og det er et stigende problem.

Den ukrypterede e-mailkorrespondance er en honningskrukke for hackere, der nu fokuserer benhårdt på mailservere[2].

Udover risiko for hacking skubber tre andre tungtvejende hensyn på udviklingen henimod øget brug af e-mailkryptering: GDPR/compliance diskussionen, nødvendigheden af generel tillid til digitaliseringen samt risikoen for, at man pludselig ikke kan kommunikere digitalt med omverdenen, fordi alle de andre benytter kryptering.

Lad os tage et kig på de fire trends hver især.

 

Hackernes nye legeplads

Eftersom der er kommet mere fokus på IT-sikkerhed, er mange systemer blevet sikret med adskillige lag af firewalls, kryptering og antivirus. Her er e-mails slet ikke fulgt med. Det er i bund og grund den samme teknologi, som vi benyttede for over 40 år siden. Det udnytter de kriminelle som aldrig før, og e-mails er i dag den absolut største risikofaktor[3].

Hackerne ved udmærket godt, at det er noget nær en umulig opgave at hacke en mainframe i en bank. Til gengæld er den lokale mailserver i bankens mindste filial et oplagt sted at starte. De fleste store hackerangreb, vi har set de seneste år, har på den ene eller anden måde taget udgangspunkt i usikker brug af e-mails og et vist mål af social engineering, hvor en bruger via en mail bliver snydt til at foretage sig noget, der giver uretsmæssig adgang til data.

Løsningen er robust kryptering af data i transit og på lokation. Med end-to-end kryptering har man helt styr på hvem afsender og modtager er. Det bliver med digital signatur umuligt for en kriminel at udgive sig for at være en medarbejder eller samarbejdspartner i en e-mail, og dermed har man med et enkelt slag elimineret risikoen for langt de fleste hackerangreb.

 

GDPR kræver “Privacy by Design”

Vores tolkning af GDPR’s målsætning om ”Privacy by Design” er, at mails fra det offentlige skal sikres med end-to-end kryptering, hvis de blot indeholder den mindste antydning af personfølsomme data. Hvis din virksomhed beskæftiger sig med særligt sensitive data såsom medicinske, familierelaterede eller finansielle oplysninger for borgere i udlandet, så er der tilsvarende nationale og internationale regelsæt, som du skal leve op til.

Et phishing-angreb på en mailserver kan blotlægge hele din virksomheds kommunikation og dermed personfølsomme data. Et sådant brud på IT-sikkerheden vil placere din virksomhed under Persondataforordningens hammer.

Datatilsynet har valgt at skærpe sin praksis overfor private virksomheders håndtering af personfølsomme data transmitteret via e-mail. Tilsynet meddeler, at man som konsekvens af GDPR fra pr. 1. januar 2019 vil kræve kryptering af virksomheder, og skriver på sin hjemmeside:

”Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.[4]

Formuleringen ”normalt vil være en passende sikkerhedsforanstaltning” er ikke blot en venlig henstilling, men et vink om at databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed vil blive håndhævet.

Løsningen er robust kryptering af data i transit og ikke mindst på lokation.

 

Digitalisering bygger på tillid

Sociale medier, online butikker og myndigheders sagsbehandling er baseret på, at vi som brugere har tillid til, at kommunikation med deres systemer er sikker. Det gælder i høj grad også e-mail-kommunikation, men tilliden er under pres. En række store virksomheder og myndigheder har lidt alvorlige tab af deres brugeres tillid de seneste år. Den ultimative risiko er, at tilliden bliver så lav, at brugerne ikke tør bruge nye services. Dermed går samfundet glip af de effektivitetsgevinster, der ligger i digitalisering. Og det sker faktisk allerede. En undersøgelse fra revisionshuset KPMG 2018[5] viser, at tilliden daler til, at vores digitale kommunikation er sikker, og det lægger en dæmper på eksempelvis e-handel og borgernes digitale interaktion med det offentlige.

Så du skal altså ikke bare kryptere for din egen skyld, men for at øge tilliden generelt og sikre en fremadrettet opbakning til din organisations IT-strategi.

 

Kryptering bliver et konkurrenceparameter

Ud fra de betragtninger, vi her har skitseret, forudser vi i Liga, at kryptering snart er standarden. Vi tror, det kommer til at gå stærkt, og i det forløb vil der være nogle, som er hurtige, og nogle som halter bagefter.

Alle offentlige myndigheder i Danmark skal faktisk have en sikker e-mailadresse til krypteret korrespondance, og sådan har det været siden år 2000. De private virksomheder er også på vej, og i nogle brancher kan vi ane, at det er på vej til at blive en konkurrenceparameter. Virksomheder, der ikke bruger krypteret elektronisk kommunikation, risikerer nemlig at miste kunder på, at de ikke kan tilbyde sikker kommunikation.

Et advokatfirma vil eksempelvis stå i en dårlig konkurrencemæssig situation, hvis det ikke kan håndtere krypteret e-mailkommunikation fra en kunde, der forventer et samarbejde baseret på høj fortrolighed. Reaktionen vil være: ”Ok, de har ikke en offentlig nøgle? Det må være, fordi de enten ikke kan finde ud af det, eller ikke forstår vigtigheden af, at vores kommunikation er fortrolig.” – Og begge dele kan være enden på et samarbejde.

Løsningen er at komme i gang med mailkryptering og gøre omverdenen opmærksom på, at man er parat til at kommunikere sikkert med end-to-end kryptering.

 

Hvad får jeg ud af kryptere mine e-mails?

Med kryptering får du sikkerhed for, at dine e-mails kun ender hos modtagere, du stoler på. Omvendt får du sikkerhed for, at e-mails, du modtager, udelukkende kommer fra afsendere, du kender – kommunikationen er sikker. Men kommunikationen er kun toppen af isbjerget. Når mailen er læst og ligger på serveren, så vil den fortsat være krypteret og beskyttet, selvom dine mails ligger på en andens server i årtier.

Med andre ord, uanset om du er en myndighed, en virksomhed eller en borger, bør du komme i gang med at sikre din elektroniske korrespondance, for din egen skyld, for dine modtageres skyld og for at øge den generelle tillid til elektronisk kommunikation i samfundet.

 


Direktør Bjarke Alling Liga Software ApS

 

Vil du vide mere om kryptering af e-mails?

Så tøv ikke med at kontakte Bjarke Alling på ba@liga.com eller på +45 40 13 91 05

Bjarke Alling er grundlægger af Liga ApS og Liga Software ApS og formand for IT-Branchens it-sikkerhedsudvalg.

Følg debatten på Bjarkes LinkedIn-profil.

 

 

 


[1] https://www.version2.dk/artikel/datatilsynet-skaerper-praksis-private-virksomheder-boer-kryptere-emails-1085752
[2] https://www.zdnet.com/article/email-fraud-warning-now-hackers-want-your-data-as-well-as-your-money/
[3] https://www.infosecurity-magazine.com/news/email-fraud-is-a-top-business-risk/
[4] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/
[5] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2018/02/guardians-of-trust.pdf


Du vil måske også gerne læse:


SecurePIM Container teknologi.

App’en som muliggør at arbejde sikkert fra mobilen

SecurePIM giver dine medarbejdere adgang til forretningskritiske emails, kalendere, dokumenter og meget mere fra deres smartphones eller tablets. Alle virksomhedens data er krypterede og placeret i en sikker container.

Læs mere om SecurePIM her >