Kryptera dina mejl – sista varningen

Krypter dine e-mails.

Bjarke Alling, CEO i Liga Software Aps

Uppmärksamheten kring IT-säkerhet har ökat väsentligt de senaste åren. Omfattande dataläckage, manipulering av demokratiska processer och stora företag som fått lägga ner efter hackerangrepp har fört IT-säkerheten högst upp på dagordningen och in i budgeten. Åtskilliga säkerhetshål har täppts till men vi har glömt internets gamla kusin mejlen. Den står nu för huvudparten av säkerhetsbristerna och lösningen är entydig: Vi måste kryptera våra mejl.

Hos Liga uppskattar vi att huvudparten av all mejlkommunikation kommer att vara krypterad inom några år. Kryptering kommer bli ett lika naturligt element i vår elektroniska kommunikation som antivirus och brandväggar är idag. Företag och myndigheter förväntas gå i täten och kryptering kommer bli en fast beståndsdel i deras IT-säkerhetspolitik. Det ser vi redan de första tecknen på och vi förväntar oss att utvecklingen kommer att öka.

Det handlar om säkerhet. Inte bara säkerhet för att andra inte ska få tillgång till din mejlserver utan också säkerhet för dig som privatperson eller verksamhet så att man inte skickar uppgifter i mejl som kan missbrukas.

Långt mer än huvudparten av den IT-kriminalitet vi har sett de senaste åren baserar sig på att mejlanvändaren ovetandes tar emot och vidaresänder okrypterade mejl med malware. Det gäller särskilt phisihing CEO-fraud, CryptoLockers och andra varianter där mejl används som ingång för att kompromettera systemet.

 

Gammal problematik med nya utmaningar

Problematiken kring den osäkra mejltekniken är som sådan inte ny. Redan för 15 år sedan bestämde man i Danmark att offentliga myndigheter ska erbjuda möjligheten till kommunikation med medborgarna genom krypterade mejl [1].

Lösningarna är dock inte vidare bra i praktiken. I de flesta fall baseras krypteringen på att mejl först krypteras när de lämnar verksamheten. Den okrypterade versionen ligger fortfarande på avsändarens mejlserver och det är ett stigande problem.

Den okrypterade mejlkorrespondensen är en honungsburk för hackare, som nu fokuserar stenhårt på mejlservrar [2].

Utöver risken för intrång står tre andra tunga områden för utvecklingen mot ökad användning av mejlkryptering: GDPR/compliance-diskussionen, nödvändigheten av allmän tillit till digitaliseringen samt risken för att man plötsligt inte kan kommunicera digitalt med omvärlden, för att alla andra använder kryptering.

Låt oss ta en titt på de fyra trenderna var för sig.

 

Hackarnas nya lekplats

Eftersom större fokus hamnat på IT-säkerhet är många system säkrade med åtskilliga lager brandväggar, kryptering och antivirus. Här har mejl helt enkelt inte följt med. Det är i grund och botten samma teknik som vi använde för över 40 år sedan. Det utnyttjar de kriminella som aldrig förr, och mejl är idag den absolut största riskfaktorn [3].

Hackarna vet mycket väl att det är en nära nog omöjlig uppgift att hacka en banks stordator. Å andra sidan är den lokala mejlservern på bankens minsta filial en självskriven plats att starta på. De flesta stora hackerangrepp vi sett under senare år, har på ena eller andra sättet tagit utgångspunkt i osäker användning av mejl och ett visst mått av social ingenjörskonst, hur en användare via ett mejl blir lurad att göra något som ger olovlig tillgång till data.

Lösningen är robust kryptering av data i transit och på plats. Med end-to-end-kryptering har man fullständig kontroll på vilka avsändare och mottagare är. Det blir med digital signatur omöjligt för en kriminell att utge sig för att vara en medarbetare eller samarbetspartner i ett mejl, och därmed har man på ett enkelt sätt eliminerat risken för de flesta hackerangrepp.

 

GDPR kräver “Privacy by Design”

Vår tolkning av GDPR:s målsättning kring ”Privacy by Design” är att mejl från det offentliga ska säkras med end-to-end-kryptering, om de bara innehåller minsta antydan till personkänsliga data. Om din verksamhet hanterar särskilt känsliga data, såsom medicinska, familjerelaterade eller ekonomiska uppgifter om medborgare i utlandet, finns nationell och internationell lagstiftning som du ska förhålla dig till.

Ett phishing-angrepp på en mejlserver kan avslöja hela din verksamhets kommunikation och därmed personkänsliga data. Ett sådant brott mot IT-säkerheten kommer placera din verksamhet under dataskyddsförordningens lupp.

Det danska Datatilsynet har valt att skärpa sin praxis kring privata företags hantering av personkänsliga uppgifter överförda via mejl. Myndigheten meddelar att man som konsekvens av GDPR per den 1 januari 2019 kommer kräva kryptering vid kommunikation via e-post, och skriver på sin hemsida:

”Framledes kommer det således vara Datatilsynets uppfattning, att det normalt kommer att vara en lämplig åtgärd – för både offentliga och privata aktörer – att använda kryptering vid överföring av konfidentiella och känsliga personuppgifter med mejl via internet.[4]

Formuleringen ”normalt kommer att vara en lämplig åtgärd” är inte bara en vänlig rekommendation, utan en vink om att dataskyddslagens riskbaserade tillvägagångssätt för hanteringssäkerhet kommer att verkställas.

Lösningen är robust kryptering av data i transit och inte minst på plats.

 

Digitalisering bygger på tillit

Sociala medier, onlinebutiker och myndigheters ärendehantering, baseras på att vi som användare har förtroende för att kommunikationen med deras system är säkra. Det gäller i hög grad även mejlkommunikation men tilliten är naggad i kanten. En rad stora företag och myndigheter har lidit allvarliga förluster av sina användares tillit de senaste åren. Den ultimata risken är att tilliten blir så låg att användarna inte vågar använda nya tjänster. Därmed går samhället miste om de effektivitetsvinster som ligger i digitaliseringen. Och det sker faktiskt redan nu. En undersökning som gjorts av revisionsbolaget KPMG 2018[5] visar att tilliten minskar tills vår digitala kommunikation är säker, och det får en dämpande effekt på exempelvis e-handel och medborgarnas digitala interaktion med det offentliga.

Så du ska alltså inte bara kryptera för din egen skull utan också för att öka tilliten generellt och för att framtidssäkra din organisations IT-strategi.

 

Kryptering blir en konkurrensparameter

Utifrån de överväganden vi skissat på, förutser vi på Liga att kryptering snart är standard. Vi tror att det kommer att gå snabbt framåt och att det i processen kommer vara några som är snabba och några som halkar efter.

Alla offentliga myndigheter i Danmark ska faktiskt ha en säker mejladress för krypterad korrespondens, och så har det varit sedan år 2000. De privata företagen är också på väg och i några branscher kan vi ana att det är på väg att bli en konkurrensparameter. Företag som inte använder krypterad, elektronisk kommunikation, riskerar nämligen att mista kunder på grund av att de inte kan erbjuda säker kommunikation.

En advokatfirma kan exempelvis hamna i en dålig konkurrensmässig situation om den inte kan hantera krypterad mejlkommunikation från en kund som förväntar ett samarbeta baserat på hög förtrolighet. Reaktionen kommer att bli: ”Okej, har de ingen offentlig nyckel? Det kan antingen bero på att de inte kan räkna ut det, eller att de inte förstår vikten av att vår kommunikation är förtrolig.” – Och båda delar kan vara slutet på ett samarbete.

Lösningen är att komma igång med mejlkryptering och göra omvärlden uppmärksam på att man är redo att kommunicera säkert med end-to-end-kryptering.

 

Vad får jag ut av att kryptera mina mejl?

Med kryptering får du säkerhet så att dina mejl endast hamnar hos mottagare du har förtroende för. Omvänt får du säkerhet så att mejl du tar emot uteslutande kommer från avsändare du känner – kommunikationen är säker. Men kommunikationen är endast toppen på isberget. När mejlet är läst och ligger på servern så kommer det fortsatt vara krypterat och skyddat, även om dina mejl ligger på någon annans server i årtionden.

Med andre ord, oavsett om du är en myndighet, ett företag eller en medborgare, bör du komma igång med att säkra din elektroniska korrespondens, för din egen skull, för dina mottagares skull och för att öka den generella tilliten till elektronisk kommunikation i samhället.

 


Direktør Bjarke Alling Liga Software ApS

 

Vill du veta mer om kryptering av mejl?

Så tveka inte att kontakta Bjarke Alling på ba@liga.com eller på +45 40 13 91 05

Bjarke Alling är grundare av Liga ApS och Liga Software ApS samt ordförande i den danska IT-Branchens it-sikkerhedsudvalg.

Följ debatten på Bjarkes LinkedIn-profil.

 

 

 


[1] https://www.version2.dk/artikel/datatilsynet-skaerper-praksis-private-virksomheder-boer-kryptere-emails-1085752
[2] https://www.zdnet.com/article/email-fraud-warning-now-hackers-want-your-data-as-well-as-your-money/
[3] https://www.infosecurity-magazine.com/news/email-fraud-is-a-top-business-risk/
[4] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/
[5] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2018/02/guardians-of-trust.pdf


Läs även:


SecurePIM Container teknologi.Appen för säkert arbete via mobilen

SecurePIM ger de anställda åtkomst till företagets e-post, kalendrar, dokument och mer via mobiler och surfplattor. All företagsdata är starkt krypterad och har placerats i den säkra containern.

Läs mer om SecurePIM