Artikel top billede

Hvor (u)sikker er din e-mail?

Tema: Selvom en e-mail er pivåben trafik, der uden problemer kan kopieres, er krypterede mail stadig et særsyn i erhvervslivet. Få en forklaring på, hvorfor it-folket holder sig tilbage med sikkerheden.

Kryptering af e-mail er en overset disciplin i erhvervslivet, selvom der er mange gode argumenter for at gemme indholdet af e-mail bag en krypteringsalgoritme.

Indhold i mail bør i langt højere grad krypteres både i forhold til medarbejder, konkurrenter og udefrakommende trusler, lyder det fra to sikkerhedseksperter.

"En ukrypteret mail kan sammenlignes med et postkort," fortæller Carsten Jørgensen, sikkerhedskonsulent i Devoteam.

"Indholdet er synligt for alle, der kigger på postkortet, og det er der mange, som har mulighed for, både indenfor og udenfor en virksomheds mure. Det er kun ganske få af de virksomheder, jeg besøger, som anvender mail-kryptering. I langt de fleste firmaer er man slet ikke opmærksom på sikkerhedsproblematikken."

"Lidt populært sagt, kan man skrive det samme i en mail, som man vil snakke om i en taxi," siger Carsten Jørgensen.

E-mail sendes som åben trafik, hvilket betyder, at man uden problemer kan tage en kopi af indholdet, fortæller han.

En mail er ikke privat

Ivan Bjerre Damgård, der er professor i kryptering og it-sikkerhed ved Aarhus Universitet, vurderer ligeledes, at mange ikke bekymrer sig om de åbne beskeder.

"Langt de fleste anser en e-mail for en privat ting, og i de fleste tilfælde er det da også sådan, at dem man ikke vil have til at læse mailen, heller ikke har teknisk forstand til at få fingrene i indholdet," siger han.

"Men hvis der kan gå jura eller penge i det, så bør man anvende kryptering. Krypterer man sine beskeder, er man sikker på, at oplysningerne ikke falder i forkerte hænder. I erhvervslivet kan man således forestille sig mange situationer, hvor kryptering har en berettigelse," vurderer Ivan Bjerre Damgård.

Samtidig møder sikkerhedseksperterne en sondring mellem interne og eksterne mails i erhvervslivet.

"Det kan faktisk være en god idé at sende krypterede mail internt, da disse kan indeholde flere følsomme oplysninger om virksomheden og dens medarbejdere end mail ud af huset," siger Carsten Jørgensen.

"Samtidig ville man eliminere den mistanke, der ofte falder på it-afdelingrns medarbejdere, hvis oplysninger siver," siger han.

Kryptering er bøvlet

Begrundelsen for at erhvervslivet ikke krypterer er, at det er for besværligt, lyder det samstemmende fra de to sikkerhedseksperter.

"Kryptering af mail kræver en installationsfase, og man skal sætte sin mail-klient op til at kunne håndtere de rigtige certifikater og nøgler. Det betyder, at mange springer fra. Folk opfatter det simpelthen som for besværligt," forklarer Ivan Bjerre Damgård.

"Kryptering har kun vundet indpas blandt en lille gruppe med teknisk kunnen, og så er nogen begyndt at anvende den digitale signatur til at kryptere, men det er stadig et fåtal," fortæller han.

Vi mangler en standard

Krypteringen er dog et af de elementer, der er på vej ind i mail-klienterne, men den evindelige standard-diskussion trænger sig også på i krypteringsdebatten.

"Vi skal have fundet en fælles standard, der gør krypteringen enkel. Man kan sammenligne det med kryptering på nettet, som i dag understøttes af alle browsere. Lidt firkantet kan man sige, at vi har brug for en slags SSL-kryptering til mail-programmet," lyder det fra krypteringsprofessoren.

Carsten Jørgensen kan nikke genkende til standard-problematikken.

"Den kryptering, vi har i dag, er ikke baseret på en fælles standard, den kræver installation og udveksling af nøgler. Den er ikke transparent for brugerne, og så er det svært at få succes."

"Hvis det blev enklere at kryptere mail, ville folk helt sikkert bruge teknologien," vurderer han

Gratis kryptering

Der findes flere applikationer, der kan anvendes til kryptering af mail-trafik, både i form af gratis værktøjer, eksempel Pretty Good Privacy (PGP), og betalingsløsninger. Nogle web-tjenester tilbyder desuden mulighed for at sende mails, der er krypterede.

Det kræver noget fodarbejde, at få krypteringen på plads i it-infrastrukturen, men når det er gjort, er det ikke mere besværligt at sende en krypteret mail.

"Der er en installationsdel, der skal kombineres med uddannelse og træning af brugerne, men herefter er der ikke forskel på at sende krypteret eller ej," siger Carsten Jørgensen.

Krypteringen foregår ved, at man anvender en privat og en offentlig krypteringsnøgle.

Den e-mail, man sender, krypteres med modtagerens offentlige nøgle, som modtageren har gjort tilgængelig for alle. Modtageren bruger så sin private nøgle, som kun kan anvendes af modtageren, til at dekryptere e-mailen.

Ud over krypteringen af selve indholdet, signerer man sin e-mail, så modtageren ved, at den rent kommer fra den rigtige afsender.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere