Artikel top billede

Hvor (u)sikker er din e-mail?

Tema: Selvom en e-mail er pivåben trafik, der uden problemer kan kopieres, er krypterede mail stadig et særsyn i erhvervslivet. Få en forklaring på, hvorfor it-folket holder sig tilbage med sikkerheden.

Kryptering af e-mail er en overset disciplin i erhvervslivet, selvom der er mange gode argumenter for at gemme indholdet af e-mail bag en krypteringsalgoritme.

Indhold i mail bør i langt højere grad krypteres både i forhold til medarbejder, konkurrenter og udefrakommende trusler, lyder det fra to sikkerhedseksperter.

"En ukrypteret mail kan sammenlignes med et postkort," fortæller Carsten Jørgensen, sikkerhedskonsulent i Devoteam.

"Indholdet er synligt for alle, der kigger på postkortet, og det er der mange, som har mulighed for, både indenfor og udenfor en virksomheds mure. Det er kun ganske få af de virksomheder, jeg besøger, som anvender mail-kryptering. I langt de fleste firmaer er man slet ikke opmærksom på sikkerhedsproblematikken."

"Lidt populært sagt, kan man skrive det samme i en mail, som man vil snakke om i en taxi," siger Carsten Jørgensen.

E-mail sendes som åben trafik, hvilket betyder, at man uden problemer kan tage en kopi af indholdet, fortæller han.

En mail er ikke privat

Ivan Bjerre Damgård, der er professor i kryptering og it-sikkerhed ved Aarhus Universitet, vurderer ligeledes, at mange ikke bekymrer sig om de åbne beskeder.

"Langt de fleste anser en e-mail for en privat ting, og i de fleste tilfælde er det da også sådan, at dem man ikke vil have til at læse mailen, heller ikke har teknisk forstand til at få fingrene i indholdet," siger han.

"Men hvis der kan gå jura eller penge i det, så bør man anvende kryptering. Krypterer man sine beskeder, er man sikker på, at oplysningerne ikke falder i forkerte hænder. I erhvervslivet kan man således forestille sig mange situationer, hvor kryptering har en berettigelse," vurderer Ivan Bjerre Damgård.

Samtidig møder sikkerhedseksperterne en sondring mellem interne og eksterne mails i erhvervslivet.

"Det kan faktisk være en god idé at sende krypterede mail internt, da disse kan indeholde flere følsomme oplysninger om virksomheden og dens medarbejdere end mail ud af huset," siger Carsten Jørgensen.

"Samtidig ville man eliminere den mistanke, der ofte falder på it-afdelingrns medarbejdere, hvis oplysninger siver," siger han.

Kryptering er bøvlet

Begrundelsen for at erhvervslivet ikke krypterer er, at det er for besværligt, lyder det samstemmende fra de to sikkerhedseksperter.

"Kryptering af mail kræver en installationsfase, og man skal sætte sin mail-klient op til at kunne håndtere de rigtige certifikater og nøgler. Det betyder, at mange springer fra. Folk opfatter det simpelthen som for besværligt," forklarer Ivan Bjerre Damgård.

"Kryptering har kun vundet indpas blandt en lille gruppe med teknisk kunnen, og så er nogen begyndt at anvende den digitale signatur til at kryptere, men det er stadig et fåtal," fortæller han.

Vi mangler en standard

Krypteringen er dog et af de elementer, der er på vej ind i mail-klienterne, men den evindelige standard-diskussion trænger sig også på i krypteringsdebatten.

"Vi skal have fundet en fælles standard, der gør krypteringen enkel. Man kan sammenligne det med kryptering på nettet, som i dag understøttes af alle browsere. Lidt firkantet kan man sige, at vi har brug for en slags SSL-kryptering til mail-programmet," lyder det fra krypteringsprofessoren.

Carsten Jørgensen kan nikke genkende til standard-problematikken.

"Den kryptering, vi har i dag, er ikke baseret på en fælles standard, den kræver installation og udveksling af nøgler. Den er ikke transparent for brugerne, og så er det svært at få succes."

"Hvis det blev enklere at kryptere mail, ville folk helt sikkert bruge teknologien," vurderer han

Gratis kryptering

Der findes flere applikationer, der kan anvendes til kryptering af mail-trafik, både i form af gratis værktøjer, eksempel Pretty Good Privacy (PGP), og betalingsløsninger. Nogle web-tjenester tilbyder desuden mulighed for at sende mails, der er krypterede.

Det kræver noget fodarbejde, at få krypteringen på plads i it-infrastrukturen, men når det er gjort, er det ikke mere besværligt at sende en krypteret mail.

"Der er en installationsdel, der skal kombineres med uddannelse og træning af brugerne, men herefter er der ikke forskel på at sende krypteret eller ej," siger Carsten Jørgensen.

Krypteringen foregår ved, at man anvender en privat og en offentlig krypteringsnøgle.

Den e-mail, man sender, krypteres med modtagerens offentlige nøgle, som modtageren har gjort tilgængelig for alle. Modtageren bruger så sin private nøgle, som kun kan anvendes af modtageren, til at dekryptere e-mailen.

Ud over krypteringen af selve indholdet, signerer man sin e-mail, så modtageren ved, at den rent kommer fra den rigtige afsender.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning: Skab enestående kundeoplevelser med viden og data i centrum

Data står i centrum, når du skal styrke kundeoplevelsen – eller det burde det i hvert fald gøre. På denne konference vil du møde eksperter indenfor CX og komme i dybden med, hvordan du sætter data, transparens og viden til at arbejde for dig i din Customer Experience-strategi.

07. maj 2024 | Læs mere


Kunstig Intelligens (AI) Masterclass - fra futuristisk idé til uundværlig ressource

Velkommen til en Masterclass om kunstig Intelligens (AI) og den transformative kraft, som kan tage din organisation og karriere til næste niveau. AI er gået fra at være en futuristisk idé til at blive en uundværlig ressource for virksomheder over hele verden og har allerede sat sit præg på den måde, som vi arbejder på, træffer beslutninger og kommunikerer med vores kunder.

07. maj 2024 | Læs mere


Parathed – Hvad gør din virksomhed, når I bliver ramt?

Cyberkriminalitet vokser som bekendt eksplosivt i takt med digitaliseringen i disse år og det kan være voldsomt dyrt at blive hacket. Potentielt kan det lægge jeres forretning helt ned, så I ikke kan rejse jer igen. Har jeres virksomhed styr på cybersikkerheden i en tid, der kalder på oprustning? Bliv inspireret til, hvad du som virksomhed kan gøre for at sikre virksomheden og medarbejdere, så I kan gå sikkert ind i fremtiden.

21. maj 2024 | Læs mere