Fra januar næste år skærper Datatilsynet deres krav til email-kryptering og det betyder, at offentlige myndigheder og private virksomheder fremover skal sikre et højere krypteringsniveau af deres emails.
Der har dog både her på Version2s kommentarspor og på andre dele af nettet været forvirring omkring udmeldingen fra Datatilsynet, samt hvor og hvad, der konkret skal krypteres. Vi bad dem derfor specificere kravene.
»Den pressemeddelelse vi har sendt ud omhandler kryptering på transmissionslaget,« fortæller Allan Frank, der er it-sikkerhedsekspert og jurist hos Datatilsynet.
TLS er ikke altid nok
Det er nemlig blevet så udbredt og så let at sætte op, at Datatilsynet mener, at alle virksomheder i Danmark som minimum skal have TLS kryptering, og at det som minimum skal være den næstnyeste version, TLS 1.2. Yderligere skal man tjekke mailserverens indstillinger og sørge for, at version 1.2 bliver brugt under hele transmissionen, da krypteringen ellers kan risikere at blive nedgraderet af en server, som ikke har denne version.
Det kan i værste fald resultere i såkaldte downgrade-angreb, hvor en angriber tvinger forbindelsen til at bruge en ældre protokol, som angriberen ved, hvordan man kan knække, hvorved krypteringen brydes.
Ingen garanti
At en mailserver har TLS betyder dog ikke, at man bare kan sende derudad. Det er som sagt kun udgangspunktet for email-sikkerhed, og sender man f.eks. fortrolige oplysninger og særlige kategorier af data, så skal man vurdere yderlige sikkerhedstiltag som f.eks. end-to-end kryptering.
»Det man skal huske på er, at GDPR forordningens artikel 32 siger, at den dataansvarlige skal sørge for, at der er passende sikkerhed, og der er jo en masse kriterier man skal afveje,« siger Frank.
Det er en såkaldt risikobaseret tilgang til sikkerhed, men bare fordi forordningen ikke nævner en specifik form for kryptering, betyder det ikke at TLS nødvendigvis er nok alene.
En vægtet vurdering
»Når man foretager sin artikel 32 vurdering, om hvorvidt man har passende sikkerhed, så skal man stå med den registreredes rettigheder i den ene hånd og sine sikkerhedsmekanismer i den anden. Jo større risiko for den registrerede, jo mere sikkerhed skal man have,« fortæller Frank.
Til TLS kryptering anbefaler Datatilsynet, at man bruger en anerkendt standard såsom AES der er standarden for de offentlige myndigheder i USA. Til end-to-end kryptering anbefaler styrelsen PGP eller S/mime.
Lever man ikke op til kravet om TLS eller yderligere krypterings- eller sikkerhedsforanstaltninger risikerer man advarsler og bøde som udmålt i GDPR forordningen.
Redigeret d. 03/08-2018: Rettede en fejl i sidste afsnit, hvor det nu fremgår at Datatilsynet anbefaler AES til TLS kryptering og PGP og S/mime til end-to-end kryptering.