Alt dette kom bag på mange virksomheder, da det blev meldt ud i sommeren 2018, og der har været en del forvirring om, hvornår der foreligger et tilstrækkeligt krypteringsniveau, samt hvordan krypteringen kunne udføres. På baggrund af denne forvirring offentliggjorde Datatilsynet i september en opdatering til deres udmelding om teknisk konkretisering ift. kryptering af mail, hvori der blev taget stilling til dette.

Udvidet udmelding om kryptering af mails

Den udvidede udmelding fastsætter to standard-tilgange til at sikre en passende krypteringsgrad i mails:

1. Kryptering på transportlaget
2. End-to-end kryptering (kryptering af indholdet fra afsender)

Udvidelsen indeholder yderligere henvisninger til en række konkrete systemer og protokoller, der kan anvendes til at implementere det nødvendige krypteringsniveau.

Fungerer løsningerne?

Vi har gennemgået de forskellige løsningsforslag fra Datatilsynet ift. kryptering af mails. Mens vi kan sige, at programmerne, der nævnes ift. end-to-end kryptering (punkt 2 nævnt herover) opfylder det ønskede formål, er dette ikke tilfældet for protokollerne IMAP og POP3 for kryptering på transportlaget (punkt 1 nævnt herover).

Problemstillingen vedr. kryptering på transportlaget fordrer, at vi adskiller følgende scenarier:

1. Kommunikation mellem en organisations e-mailserver og brugernes klienter, herunder eksempelvis smartphones eller Outlook
2. Kommunikation mellem e-mailservere fra to eller flere organisationer

Mens Datatilsynets eksempler, som følger af ”Teknisk konkretisering ift. kryptering af e-mail” fra d. 20. september 2018, er gældende for det første scenarie, og dette i øvrigt er almen praksis i de fleste organisationer, forholder Datatilsynet sig ikke til den reelle problematik, jf. Datatilsynets nyhed ”Skærpet praksis ift. krypteret e-mail” fra d. 23. juli 2018, som er beskrevet ved det andet scenarie.

Problematikken ift. det andet scenarie er, at protokollerne IMAP og POP3 ikke krypterer den pakke, som ens mails sendes i, når e-mailen sendes til en person i en anden organisation. Anvendelsen af IMAP og POP3, selvom disse anvendes krypteret, sikrer dermed ikke, at man rent faktisk har krypteret selve pakken, når den sendes via det åbne netværk (over internettet).

Transport Layer Security (TLS) kan anvendes for at leve op til det ønskede formål (krypteringen af selve mailen under transmission), men dette kan være en kompliceret proces. Kort fortalt kan komplikationen forklares på følgende måde: Hvis det skal sikres, at transmissionen af mail foregår sikkert, også i transmissionslaget, skal både afsender og modtager have konfigureret deres mailservere til at anvende tvungen kryptering via TLS. De fleste mailservere anvender ”opportunistisk TLS”, hvilket betyder, at mailserveren som udgangspunkt vil forsøge at anvende TLS. Men problemet er, at hvis der ikke kan oprettes sikker forbindelse, vil serveren falde tilbage på en almindelig/ukrypteret transmissionsform, uden at hverken modtager eller afsender bliver orienteret herom.

Muligheden for anvendelse af tvungen TLS i udveksling af mails mellem modtager og afsender i transportlaget kan afhænge af, hvilket specifikt produkt og/eller hvilken produktversion af mailsystemet der anvendes i en given organisation, ligesom der kan være tekniske installationer, hvor muligheden for anvendelse af TLS på transportlaget ikke er realistisk, hvorfor end-to-end kryptering kan blive det eneste alternativ. I værste fald kan det medføre et væsentligt teknisk-administrativt overhead at skulle efterleve den nye praksis fra Datatilsynet.

Hvad mener REVI-IT

Mens vi er positivt stemte overfor Datatilsynets uddybning ift. kryptering af mails, da den forklarer, hvordan det passende krypteringsniveau kan opnås, finder vi, at uddybningen er utilstrækkelig, da den tager den ikke højde for problemstillingen, der kan foreligge, når man skal anvende TLS. Desuden er det problematisk, at der henvises til IMAP og POP3, da disse ikke sikrer en egentlig kryptering af pakken, når der sendes mails fra en mailadresse til en anden.

Der skal selvfølgelig altid tages stilling til, hvilke typer af personoplysninger der udveksles, da der ved udveksling af følsomme eller fortrolige oplysninger vil være behov for yderligere sikkerhedsforanstaltninger, typisk i form af end-to-end kryptering.

Problemstillingen om, hvordan hverdagen kommer til at se ud efter 1. januar 2019 er dermed ikke enkel, og det må alt andet lige blive sådan, at afsender af en mail, som vurderes følsom nok til at skulle beskyttes (krypteres), har en ekstra opgave med at skulle overveje den bedste afsendelsesfacon.

Vi kommer nok til at få en hverdag, hvor vi ikke bevidstløst blot kan afsende mails uden at overveje følsomheden af indholdet, og hvordan modtager reelt modtager indholdet.

Husk dog

Til sidst vil vi gerne nævne to punkter, der er vigtige at understrege.

1. Udmeldingen fastsætter ikke endegyldigt, hvilke krypteringsfunktioner man skal anvende i den pågældende situation. Der er derfor stadig en del vurderinger, der skal foretages, og mens den ene løsning er tilstrækkelig i en situation, så er den sandsynligvis ikke tilstrækkelig i en anden.

2. Datatilsynets udmelding henviser til overførsel gennem det åbne netværk. Det er ikke et krav, at vejledningen følges på de overførsler, der sker indenfor ens lukkede netværk, selvom det kan være en fordel også at følge vejledningen her. Ved at anvende end-to-end kryptering også på kommunikation fra lukkede netværk, kan man kraftigt reducere risikoen for, at mails indeholdende fortrolige eller følsomme informationer ikke falder i de forkerte hænder – hvis man fx kommer til at indtaste forkert modtageradresse.

Brug for rådgivning?

Har din virksomhed brug for et råd inden for kryptering af mails og andre problemstillinger ift. databeskyttelse, er I velkomne til at kontakte os på 33 11 81 00 eller [email-obfuscate email=”kontakt@nulludvikling.dpo-danmark.dk”].