Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse på siden. Du kan lese mer om hvorfor og hvordan her.

OK
Forside    Blogg

Hvordan kan man sende eller dele informasjon på en sikker måte?

Det stilles stadig strengere krav til sikkerhet når man skal sende informasjon og spesielt dersom det som sendes inneholder persondata eller sensitive data. Hvordan kan man sende eller dele informasjon på en sikker måte og hvilke muligheter finnes i Office 365?

Kan man sende persondata over epost?

Epost brukes av de fleste og er kommunikasjonskanal nummer en mellom bedrifter og kunder. Epost er godt likt som kommunikasjonskanal, men en av de største utfordringene er at det er forholdsvis enkelt å forfalske både avsender og innhold. Standarden for epost ble laget i 1977 og da var IT systemene så få og hadde ikke flere brukere enn at de ikke trengte å beskytte mot svindel. Uvedkommende kan enkelt få tilgang til meldinger og innhold som sendes frem og tilbake. For å møte trusselbildet og gjøre bruken av epost tryggere brukes kryptering. Kryptering fungerer i korte trekk ved å gjøre en lesbar tekst om til en sifferkodetekst som kun mottakeren kan dekode ved bruk av en "nøkkel". Uten "nøkkelen" vil teksten fremstå som uleselig. 

En god regel er at personopplysninger ikke skal sendes på e-post uten tilstrekkelig tiltak med tanke på sikkerhet. Når det gjelder sensitive personopplysninger er det et krav i henhold til loven at det sendes kryptert. Dette er ifølge datatilsynet heller ikke noe man kan samtykke seg bort ifra, da regelverket sier at bedrifter er pålagt å sikre personopplysninger tilstrekkelig.  

Hvordan kan man sende eller dele informasjon på en sikker måte?

Slik vi ser det finnes det fire måter man kan utveksle informasjon på, hvor man gjør tiltak for å sikre dataen som sendes. 

1. Kryptert sending

Det er mulig å sikre kommunikasjonskanalen mellom avsender og mottaker. Da vil uvedkommende kunne se at det sendes en melding mellom to domener/servere, men ikke være i stand til å lese meldingen.

2. Kryptert melding

Man kan sikre selve meldingen ved å kryptere den. Da vil uvedkommende kunne se avsender, mottaker og emnefeltet, men vil ikke kunne lese meldingen.

3. Kryptert vedlegg

Det er også mulig å passordsikre et vedlegg. Da kan man for eksempel sende vedlegget på mail og passordet til mottakeren på mobil.  Dersom man velger en slik tilnærming er det lurt å ta en kopi av dokumentet, for dersom man passordbeskytter originalen og mister passordet kan dokumentet være tapt.

4. Dele tilgang til et dokument i skyen. 

Det finnes også et stort utvalg skytjenester hvor man kan dele dokumenter og diskutere i sikre krypterte rom. Det finnes en rekke verktøy som er etablert (deriblant Messenger i Workplace og Skype for Business/Teams) der kommunikasjonen allerede er kryptert. Dette er et godt alternativ til kommunikasjon over epost.

 
Kryptering av epost i Office 365

Det finnes to metoder for å sende krypterte eposter i Office 365 med noe ulik grad av sikkerhet: 

Office Message Encryption (OME)

også kalt Office 365 - meldingskryptering. En tjeneste bygget på Azure Rights Management som lar deg kryptere e-post mellom personer i og utenfor organisasjonen uavhengig av type epostklient mottaker har. Administrator må sette opp regler og rettigheter for hvordan meldingene skal håndteres.  Mottaker kan da benytte en engangskode, sin Microsoft konto eller logge på med en konto forbundet til Office 365 for å kunne lese meldingen. Det er mulig for mottaker å gi et kryptert svar til avsender. Den hindrer imidlertid ikke mottaker i å printe eller videresende eposten, uten av senderen gjør bestemte valg for å unngå dette. Løsningen krever at du har lisens utgave E3 eller E5, og for øyeblikket er det bare den webbaserte Outlook-klienten Exchange Online som støtter alle funksjoner i Office 365-meldingskryptering. I løpet av nærmeste fremtid kommer støtte også til Outlook for Windows og Mac.

Hvem passer løsningen for?

Meldingskryptering passer for de bedrifter som vil være helt sikre på at ingen kan dele informasjonen med flere enn de som avsender har åpnet for. Avsender kan bestemme hva mottager skal kunne gjøre med innholdet. Det vil for eksempel si at man kan blokkere copy/paste og/eller utskrift.


Secure/Multipurpose Internet Mail Extensions (S/MIME).

En tjeneste som krever et sertifikat og krypteringen sikrer at kun den som beskjeden var tiltenkt, kan lese den. En digital signatur hjelper til med å identifisere senderen og det kreves unike digitale sertifikater som inneholder nøkler som verifiserer signatur og kryptering for å kunne lese meldingen. Tjenesten tillater ikke skanning av malware eller spam.

Hvem passer løsningen for?

For bedrifter som ønsker å beskytte innholdet frem til mottager, men deretter åpne for at mottager kan gjøre hva han eller hun vil med innholdet.
 
Begge variantene tillater ikke skanning av malware fordi innholdet er kryptert og antivirus programvaren ikke kan åpne vedleggene. SPAM er nok et mindre problem siden avsender i dette tilfellet ikke kan forfalskes.


Sikkerhet by design

Det finnes mange sikre løsninger for kommunikasjon og utveksling av sensitiv data. Mange av de nye løsningene er designet nettopp med sikker kommunikasjon som forutsetning, det vi kaller sikkerhet by design. Eksempelvis Skype for business /Teams, hvor alle meldinger krypteres og utveksles på en trygg plattform. I motsetning til kommunikasjonskanaler som eksempelvis epost som ble utviklet tidlig på 70-tallet hvor det har blitt lagt til tjenester i etterkant for å ivareta sikkerheten. 
 

Benytt kryptering dersom du sender persondata med epost

Dersom man ønsker å benytte epost for å sende sensitive data må man sette opp regler i en meldingskrypteringsløsning hvor man sikrer enten sendingen eller selve meldingen. Det man skal være klar over ved en slik løsning, er at det kreves en del av administrator for å sette opp gode regler som ivaretar ønsket sikkerhetsnivå. Videre at det krever at bruker forstår hva som ligger bak valgene han tar når han sender eposten.  

Det handler i hovedsak om å identifisere behovet bedriften har for sikkerhet og hvilken type informasjon som bedriften har behov for å dele med andre. Deretter må man identifisere risiko og vurdere hvilken løsning som dekker behovet best. 
 


Ønsker du en partner å diskutere dette med?

Ta kontakt med oss, så hjelper vi deg med å finne en god løsning for ditt behov!