Den lille virksomheds guide til sikker mail

Vi har sat stor fokus på IT-Sikkerhed og mange virksomheder har i dag bygget en borg op omkring sig i form af, firewalls, krypteringer og antivirus. Desværre overser mange den største trussel som er e-mails og uvidende mail brugere.

Hovedparten af den IT-kriminalitet, vi har set de seneste år, er startet med phishing, CEO-fraud, Crypto-Lockers og andre varianter, hvor e-mail bruges som indgangen til at kompromittere virksomhedens systemer.

”De fleste mindre virksomheds ejere har en typisk holdning om at det er primært de store virksomheder der er hackernes mål. Men de bør være bekymret, da netop mindre virksomheder er særligt sårbare. Helt konkret fordoblede antallet af cyberangreb rettet mod firmaer med 250 eller færre medarbejdere i løbet af de første seks måneder af sidste år – ifølge Center for Strategic and International Studies”.

Datatilsynet har meldt ud at man fra 1 januar 2019 vil uddele bøder til virksomheder der ikke benytter sikker mail.

Sikker mail – Hvad & Hvordan?

Når en e-mail sendes over åbne netværk som fx internettet, har man som afsender eller modtager som udgangspunkt ingen kontrol over, hvem der kigger med undervejs.

Hvad mener Datatilsynet, når de taler om at sende en e-mail sikkert over et åbent netværk?

Hvis du for eksempel sender et postkort så vil alle kunne læse din besked (Dette er svarende til at du sender en e-mail uden sikkerhedsforanstaltninger), men vælger du at putte postkortet ned i en konvolut og sende en bodyguard med ud for at personligt levere det, så vil det kun være modtageren der kan læse indholdet.

For at sende sin e-mail sikkert, er der som hovedregel to mulige metoder:

  1. Man kan kryptere selve transporten af e-mailen. Svarende til at du sender, en bodyguard med dit postkort så du var sikker på ingen kigger på det under transporten.
  2. Man kan også kryptere selve indholdet af e-mailen. Svarende til at man for eksempel skriver al sin tekst omvendt på postkortet.

Kryptering på transportlaget (Leveringen fra a til b)

TLS står for Transport Layer Security og er beregnet til at sikre at ingen læser med under transporten mellem a og b. For eksempel er det TLS som er aktivt, når vi har det lille ”lås” -ikon på vores URL-bar. Dette betyder, at når du f.eks. sender en formular med dine kreditkortoplysninger på den, kan ingen stjæle disse data, hvis de aflytter din web-session.

TLS version 1.2, som er sat op uden forhandling (Skal sikre sig at man ikke sender under version 1.2). Er godkendt af Datatilsynet som tilstrækkelig kryptering af transportlaget.

Som dataansvarlig skal man dog være opmærksom på, at hvis der anvendes TLS, er det kun selve transporten af e-mailen der krypteres. E-mailen vil som udgangspunkt ligge gemt i en ukrypteret og læselig tilstand på både afsenderes og modtagerens mail servere.

End-to-end kryptering

Man kan som et alternativ eller ekstra sikkerhedsforanstaltning, anvende end-to-end kryptering af e-mailens indhold. Med denne løsning har afsenderen og modtageren hver et sæt nøgler, bestående af en offentlig nøgle og en privat nøgle. Afsenderen anvender modtagerens offentlige nøgle til at kryptere indholdet af e-mailen, før den sendes. Modtageren anvender sin egen private nøgle til at dekryptere e-mailens indhold efter modtagelse. På denne måde er indholdet af e-mailen krypteret hele vejen fra a til b.

Denne løsning er dog mere besværlig, da der skal opsættes system for behandling af nøglerne

Tag endelig kontakt, hvis du ønsker at lære mere om hvor nemt du kommer igang og undgår bøder.

https://www.bittechit.dk/kontakt-bittechit/