Udgivet den af Ole Schmitto

Reglerne omkring sikker mail er skærpet af Datatilsynet.

Datatilsynet har netop skærpet reglerne omkring sikker email. Det betyder, at mange nu er nødt til at checke deres løsning og sikre, at de lever op til de skærpede krav om kryptering.

Hvordan sender jeg en sikker mail?

Der er to grundlæggende metoder:

  1. Email hvor transporten er krypteret. Det vil sige, at kommunikationen mellem mit posthus og modtagers posthus er krypteret, så “konvolutten er krypteret” men ikke indholdet.
  2. Email hvor transport og indhold er krypteret. Her er både “konvolut og brev krypteret”.

De 4 mest kendte metoder i Danmark

  1. S/MIME
  2. Tunnelmail
  3. Forced TLS
  4. WebBaseret portal

Beskrivelse af de 4.

End-to-end kryptering

S/Mime

Kræver at der udveksles certifikater mellem sender og modtager. Idag er disse certifikater ofte udstedt af NemID, som både kan være medarbejder- eller virksomhedscertifikater. De bruges til at udveksle sikker mail kommunikation mellem personer eller virksomheder, hvor man også vil sikre, at ingen udover certifikat ejerne kan læse indholdet.

Tunnelmail

Typisk når virksomheder skal kommunikere med offentlige, så etableres der en tunnelmail, som transport kryptering fra domain til domain. Når man som virksomhed er tilmeldt Tunnelmail, kan ansatte i virksomheden kommunikere sikkert med brugere i det offentlige. Pr. 11.10.2019 var der Ifølge denne liste fra Vipre, en tunnelmail udbyder, 1.797 domains I Danmark tilsluttet til tunnelmail.

Kommunikations kryptering

Force TLS

Betyder at mit posthus kun vil tale med dit posthus, hvis begge kan tale TLS 1.2. kommunikation. I dag kører for eksempel O365, G Suite etc. med opportunistisk TLS. Det betyder, at man kan ende med at sende en email uden TLS, fordi en af posthusene ikke kan “tale” TLS 1.2, hvilket er kravet ved sikker mail fra Datatilsynet.

Sikker Web mail portal

En løsning hvor afsender, sender modtageren en email med et weblink, hvor der kræves at man validerer sig med brugernavn og SMS pinkode eller NemID. Mail’en læses og besvares så på denne email web portal, der kører https. Denne løsning kan også være end-to-end kryptering, hvis selve indholdet er krypteret oppe i web portalen.

Hvornår skal jeg bruge hvilke løsninger?

Det vil altid være en individuel vurdering, der skal foretages af den enkelte virksomhed. Men hvis du læser på Datatilsynet, skriver de:

End-to-End kryptering.

Ved kryptering af konvolut og indhold, skal såvel afsender som modtager aftale en måde hvorpå indholdet krypteres og dekrypteres. S/Mime kræver at man udveksler certifikater inden afsendelse. En teknisk løsning som kræver et ekstra setup.

Denne løsning skal ifølge Datatilsynet benyttes:

Ligeledes vil der være typer af behandling, hvor den mere sikre end-to-end kryptering vil være passende, idet der er en høj risiko for de registrerede. Dette kunne for eksempel være tilfældet, hvis en dataansvarlig skal sende helbredsoplysninger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve.

Transport kryptering

Kryptering af transporten “konvolutten” sker ved at de 2 posthuse, afsender og modtager, bliver enige om en krypteringsform, TLS, (Transport Layer Security) Her er det vigtigt, at Datatilsynet skriver, at der bør kun anvendes TLS 1.2 eller nyere. Datatilsynet skriver om brug af TLS 1.2 eller nyere.

Det er i den forbindelse Datatilsynets opfattelse, at det vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Så min konklusion er, at de fleste skal minimum bruge kryptering af konvolutter, TLS 1.2.

Eksempel på afsendelse af sikker mail med garanteret TLS 1.2:

Du bruger O365 og sender en email hvis indhold kræver “konvolut” kryptering med TLS 1.2, så.:

Krav: Skal som minimum sendes med TLS 1.2 eller nyere.

Garanterer O365 TLS 1.2 kommunikation? Nej

  • Ekstra service jeg har tilkøbt til O365 gør, at ved afsendelse checkes om modtagers posthus kan kommunikere TLS 1.2.
  • Hvis svaret er ja, så kommer email frem ganske som normalt.
  • Hvis den ikke kan kommunikere TLS 1.2, sendes mail via O365 OME. Så sendes der et web link til en O365 portal, som modtager skal klikke på, og identificere sig med eksempelvis Google eller Yahoo, eller engangs password.

Schmitto A/S har forsøgt at sende en sikker post meddelelse til din e-mailadresse, der kan indeholde personfølsomme oplysninger. Da det ikke var muligt at levere en sikker post til din e-mailadresse, får du her et link til vores kommunikationsportal, der overholder GDPR og retningslinjer fra Datatilsynet. Klik på knappen og besvar eventuelt meddelelsen. Du kan besvare sikkert fra portalen. Med venlig hilsen Schmitto A/S

Hvad skal jeg vælge?

Som altid afhænger det af din risikovurdering og generelle behov. Har du også behov for sikker mail med det offentlige, ja så er Tunnelmail et must. S/MIME kan også komme på tale. Da jeg ejede eSec Managed Security, havde vi kunder, der ønskede at modtage hændelses alarmer krypteret, eller som sendte netværks tegninger. Her brugte vi S/MIME til kryptering af indholdet.

For de fleste vil kryptering af “konvolutten” være nok, TLS 1.2. Så her er det vigtigt, at du bruger en service, der garanterer dette, eller tilkøbe til service den “garanti”

Flere af de løsninger, der kan benyttes sammen med O365, tilbyder hele paletten. Nogle af dem inklusiv send til e-boks. Løsningerne er baseret på Outlook plugin, som gør det transparent for brugeren.

Kontakt mig gerne for en dialog på 4025 3921 eller [email protected]

Du kan læse Datatilsynets Nye afgørelser: Kryptering af mails