E-post sikkerhet i Norge

Transkript

1 Bare 15 % av norske domener på Internett støtter bruk av en standard for kryptering av e-post. Blant norske kommuner er det mindre enn 4 % som støtter slik kryptering. Manglende sikring av e- post i Norge kan få alvorlige konsekvenser for personvern og taushetsbelagte opplysninger generelt. Sammendrag Ville du sendt fra deg post via et transportfirma, hvor sjåføren som henter pakken hos deg viste frem falsk legitimasjon? Ville du handlet på nettet når du fikk en sikkerhetsadvarsel om at sikkerhetssertifikatet for nettbutikken så ut til å være gått ut på dato? Hva synes du om at viktige offentlige funksjoner i Norge mellomlagrer din e-post til dem i utlandet? Er det prinsipielt galt av politiske partier å benytte utlandske e-post tjenester, slik at e-post til disse partiene går ukryptert via andre land? Hva er forbindelsen mellom Sosialistisk Venstreparti og "kontoret for vanskeliggjøring av saker som egentlig er enkle?" Er Statsministerens kontor (SMK) klar over at deres e-post server identifiserer seg som en testserver tilhørende et selskap i USA? 1

2 Bakgrunn Gjennom de siste år har vi observert en interessant debatt rundt den svenske FRA-loven 1, samt bruken av ubeskyttet e-post for sending av taushetsbelagte opplysninger. Sistnevnte debatt har blant annet vært aktualisert gjennom Domstolsadministrasjonen, som har innrømmet 2 at de både mottar og sender e-post ukryptert via Internett. Dette har blant annet resultert i spørsmål fra Trine Skei Grande (V) til justisminister Knut Storberget i februar Det har vært reist en rekke spørsmål tilknyttet sikringen av elektronisk kommunikasjon for utveksling av person- og børs sensitive opplysninger, så vel som taushetsbelagte opplysninger generelt. Media har gjentatte ganger i de siste år avdekket lekkasjer av slik informasjon, basert på dårlig sikkerhet, manglende rutiner og liten bevissthet på området. I mange virksomheter tillates det ikke å benytte kryptering (passordbeskyttelse) av dokumenter, da dette hindrer r muligheten for å foreta antivirus og antispam kontroll av e- post m/vedlegg. Dermed blir redselen for datavirus årsaken til at man i mange tilfeller bryter regulatoriske krav til sikring av taushetsbelagt informasjon, bevisst eller ubevisst. På Internett finnes det en dokumentert standard (kjent som RFC , heretter referert til som TLS kryptering) for å utføre automatisk og transparent kryptering av e-post mellom ulike e-post servere. Denne standarden ble først publisert i 1999, og siste oppdatert i Standarden baseres på bruk av digitale sertifikater 5, og kan i denne sammenheng benyttes til autentisering og kryptering av elektronisk post mellom e-post servere. Løsningen er transparent (=usynlig) for sluttbrukere. Ved å kontrollere e-post servere på Internett har vi for første gang på Internett dokumentert etterlevelsen av denne standarden. Resultatene er både overraskende og skuffende, og avdekker et stort gap mellom implementering/bruk ing/bruk av digitale sertifikater for sikring av e-post i forhold til Web-baserte baserte tjenester som netthandel, nettbank og ulike offentlige tjenester. IKT-Norge vil på Nasjonal Sikkerhetsdag 6 presentere sin årlige undersøkelse om informasjonssikkerhet. Resultatene fra vår undersøkelse målt mot de svar tilknyttet kryptering av e-post som er gitt i IKT-Norges undersøkelse antyder at det i tillegg kan eksistere store mørketall mellom teori og virkelighet. EDB har med denne undersøkelsen ønsket å bidra til en bedre forståelse av dagens situasjon, og gi forslag til tiltak for å heve dagens sikkerhetsnivå på en enkel måte. 1 loven.html?id= publikasjoner/sporsmal/skriftlige-sporsmal-og-svar/skriftlig-sporsmal/?qid=45851 sporsmal/?qid=

3 Fremgangsmåte for undersøkelsen Vi har basert vår undersøkelse på ca 2 måneders e-post kommunikasjon med domener på Internett. Fra dette datagrunnlaget har vi laget en liste over alle domenenavn som vi har utvekslet e-post med. I tillegg har vi også laget lister basert på følgende: Advokatselskaper i Norge 7 Norske kommuner 8 Oslo Børs OSEAX listen 9 Registrerte medlemmer av Revisorforeningen 10 Alle domenenavn har blitt kontrollert fra en nøytral maskin på Internett som benytter offentlig tilgjengelig informasjon og e-post kommunikasjon for å gjøre våre kontroller. Dette har gitt oss alt nødvendig grunnlag for vår undersøkelse, uten bruk av spørreundersøkelser eller andre tiltak. Vår datainnsamling har gjort følgende: Sjekket DNS for MX records pr domene 11 Kontaktet hver MX maskin for å se om den støtter TLS kryptering Hentet opplysninger om digitalt sertifikat på MX, hvor dette var installert Data fra ovennevnte spørringer har blitt lagret i en database. Deretter har vi kjørt spørringer mot datagrunnlaget for å lage statistikk. Vi har observert mangelfull etterlevelse og ulike problemer på tvers av alle bransjer, størrelser og offentlig/privat sektor. De ovennevnte grupper er kun valgt som eksempler fordi de representerer både offentlig og privat sektor, utenlandske selskaper med virksomhet i Norge, samt kontrollfunksjoner i form av revisorer. 7 Basert på Finn Advokat tjenesten til Advokatforeningen.no 8 Alle domener og enkelte underdomener av *.kommune.no 9 menuctx=1.1, 16 april http// (oversikt over revisorer med registrert e-post adresse) 11 Forteller oss hvilke servere som tar i mot e-post på vegne av et domene 3

4 Observasjoner Totalt har vi kontrollert domener på Internett, hvorav er norske domener. Vår undersøkelse viser at Norge har støtte for TLS kryptering av e-post på 15,7 % av alle kontrollerte domener. Dette er rett over snittet for Internett generelt, med 13,3 %. Imidlertid må vi se oss slått av land som Polen (23 %), Sveits (23 %), og Finland (21 %) For de etterfølgende kakediagrammer har vi angitt følgende: INGEN (RØD) = Ingen e-post servere e for domenet støtter TLS kryptering DELVIS (GUL) = Noen e-post servere e for domenet støtter TLS kryptering 12 FULL (GRØNN) = Alle e-post servere e for domenet støtter TLS kryptering Status for Norge (.no) 15,8 % 16,9 % 67,4 % Ingen Delvis Full 12 Vi har ikke angitt tall eller statistikk som viser om det er primær eller eventuelle sekundære servere som støtter TLS. Dette er et område som krever ytterligere undersøkelser, og har ingen innvirkning verken på vår statistikk eller våre anbefalinger som gitt i denne undersøkelsen. 4

5 Politikk, partier og e-post kryptering Sosialistisk Venstreparti benytter åpen kildekode løsning hos ekstern leverandør for å håndtere innkommende e-post. Den støtter TLS, men med et utgått sertifikat (høsten 2007). Dette er i tillegg utstedt av leverandøren til seg selv, men angitt som Office of complication of otherwise simple affairs. Dette antyder en standard installasjon med et sertifikat kun for demonstrasjonsbruk. Navnet på serveren (Marvin), via kvalifisert gjetning, peker tilbake til Marvin, den paranoide androiden i Hitchhiker s Guide to the Galaxy. Arbeiderpartiet bruker Telenor som sin eksterne leverandør for å håndtere innkommende e-post. Her er sertifikat, gyldighet og kryptering i orden, slik at de kan kryptere all e-post med andre som støtter samme standard. Senterpartiet har sin e-post server plassert i eget nettverk. Den tilbyr ikke TLS kryptering av e-post med dagens oppsett. Kristelig Folkeparti bruker en ekstern leverandør for å håndtere innkommende e-post. Den tilbyr ikke TLS kryptering av e-post med dagens oppsett. Venstre bruker en ekstern leverandør i Danmark for å håndtere innkommende e-post. Den støtter TLS, men bruken av leverandør i Danmark betyr at all e-post til partiet vil gå til Danmark før det kommer frem til partiet i Norge. Høyre bruker også en leverandør i Danmark, riktignok en annen leverandør enn Venstre. Høyres leverandør støtter ikke bruk av TLS i dagens oppsett. t. All e-post til partiet vil gå til Danmark før det kommer frem til partiet i Norge. Fremskrittspartiet har som Senterpartiet sin e-post server plassert i eget nettverk. De benytter Microsoft Exchange, og tilbyr bruk av TLS. Dette gjør at all e-post til og fra partiet vil bli kryptert så lenge motparten også støtter samme standard. For 24 domener underlagt departementene i Norge 13 finner vi at samtlige, med et hederlig unntak, benytter en felles e-post tjeneste for mottak. Denne felles løsningen tilbyr TLS, men benytter et digitalt sertifikat som er kun ment for demonstrasjonsformål fra produktleverandøren i USA. Dette sertifikatet er da også utstedt fra leverandøren til leverandøren. Egensignert sertifikat kalles det ofte, mens "falsk legitimasjon" er en grei forklaring på godt norsk. Hvem er det så som utgjør det hederlige unntaket? Statens Landbruksforvaltning 14. Ikke Forsvarsdepartementet, Justisdepartementet eller Utenriksdepartementet, ei heller Statsministerens kontor. Hvem hadde gjettet det på forhånd? 13 *.dep.no på Internett 14 slf.dep.no 5

6 Norske kommuner Vi har undersøkt 428 kommuner med tilhørende domener (*.kommune.no). Det er ingen synlig sammenheng mellom kommunestørrelse og støtte for TLS kryptering på e-post. Imidlertid er det bare 4 % som fullt ut tilbyr dette, og det er svært lavt i forhold til landsgjennomsnittet. Faktisk plasserer dette norske kommuner så vidt foran landsgjennomsnittene for Romania og Armenia. Norske kommuner 3,7 % 28,0 % Ingen 68,2 % Delvis Full Tre viktige observasjoner: verken Oslo, Bergen eller Trondheim kommune tilbyr TLS i sine løsninger på Internett pr i dag. Dette betyr at all samhandling med disse via e-post vil gå ubeskyttet, dersom man ikke benytter eller avtaler proprietære løsninger i de enkelte saker. Vi ser også at mange norske kommuner er svært inkonsistent i sin støtte for TLS kryptering, ved at hele 28 % av dem har delvis støtte for TLS kryptering. 6

7 Norske advokatselskaper Advokater i Norge har en viktig taushetsplikt å ivareta, og de har også et viktig advokat klient prinsipp som gjør at kommunikasjon disse imellom rettslig er skjermet mot innsyn. Samhandling mot private, kommersielle og offentlige virksomheter, samt domstolene bør stille strenge krav til informasjonssikkerheten i deres arbeid. Norske advokatselskap 18,4 % 17,1 % 64,4 % Ingen Delvis Full Av 385 domener kontrollert av oss finner vi at gjennomsnittet for TLS kryptering ligger noe høyere enn landsgjennomsnittet. Vi ser også at advokatene er noe mer konsistent i delvis støtte for TLS kryptering, med 17,1% 1% mot landsgjennomsnittet på 16,9%. Vi finner det her interessant å påpeke at domstol.no ikke tilbyr TLS i dagens løsning. Dette gjør at man må avtale mer proprietære sikringsløsninger mellom domstolsadministrasjonen og alle andre som disse skal samhandle med. Spesifikt for denne observasjonen onen har vi også gitt en direkte anbefaling i vår generelle anbefaling på slutten av dette dokumentet. 7

8 Oslo børs OSEAX listen Vi har kontrollert selskapene som er notert på Oslo Børs sin OSEAX liste per 16 april Vi gjør her oppmerksom på at flere av disse selskapene er utenlandske selskaper med virksomhet i Norge, og som også er registrert på Oslo Børs. Oslo børs OSEAX 14,5 % 31,4 % 54,1 % Ingen Delvis Full Dersom verdien på Oslo børs skal gi noen pekepinn på evne og vilje til å konfigurere sikre tjenester for samhandling via e-post, så er disse tallene overraskende. De havner rett under landsgjennomsnittet, og viser også den største inkonsistensen gjennom sin høye andel domener hvor TLS kryptering bare er delvis tilgjengelig på deres ulike e-post servere. Dette kan være en indikasjon på mangelfulle lle kravspesifikasjoner til Internett leverandør, samhandling med datterselskaper og ulike andre forhold som fragmenterer ansvar og oppfølging av e-post som en trygg og effektiv løsning. 8

9 Norske revisorer Revisorer har en viktig kontrollfunksjon i vårt samfunn. Gjennom sitt arbeid får de innsyn i opplysninger som kan kompromittere både person- og børssensitive opplysninger, sammen med andre typer taushetsbelagte opplysninger. Revisorer ber da også ofte om å få tilsendt dokumentasjon i elektronisk form, som oftest via elektronisk post. Vi har selv erfart gjentatte ganger at revisorer spesifikt ber om at kryptering IKKE benyttes, da dette ikke er tillatt (pga antivirus/spam kontroll), og dokumentasjon kommer ikke frem til revisor. Med denne bakgrunn vil l man ønske og tro at denne gruppen stiller sterkt i forhold til å støtte standarder for sikring av informasjonsflyt på Internett. På dette området som vi har undersøkt er det ingenting som tyder på det. Norske revisorer 17,6 % 19,0 % 63,4 % Ingen Delvis Full Norske revisorer stiller hårfint bak advokatene, men foran de børsnoterte selskapene i forhold til å tilby full støtte for TLS kryptering. 9

10 Risiko Risiko tilknyttet de observasjoner vi har gjort er mange og varierte. Vår undersøkelse viser at nesten 16 % av norske domener støtter TLS kryptering. Først og fremst vil vi påpeke det rent prinsipielle ved at deler av det offentlige benytter e- post tjenester i utlandet. All e-post til og fra disse vil da gå via andre land, selv om både avsender og mottaker sitter i Norge. Dette tilrettelegger for uautorisert innsyn i e-post som sendes og mottas hver eneste dag utenfor Norges grenser og kontroll. Dette står i kontrast til de uttalelser som det offentlige tidligere har kommet med rundt FRA-loven i Sverige, som et eksempel. For kommersiell virksomhet er ikke dette like prinsipielt interessant, så sant man ikke er underlagt regulatoriske forhold,, hvilket mange faktisk er. Dette er da et anbefalt sjekkpunkt for de aktuelle tilsynsmyndigheter for fremtiden. På generell basis har vi observert til dels svært mangelfull sikring av tilgjengelighet, ved at svært mange tilsynelatende bare har en enkelt datamaskin til å håndtere inn- og utgående e-post. Vi har også observert utdatert og feilaktig informasjon, tegn på at løsningene ikke aktivt vedlikeholdes. Dette kan raskt ende opp i utilgjengelighet for tjenester som vi i stor grad er avhengige av hver eneste dag. Manglende etterlevelse av etablerte standarder på Internett er ingen nyhet, og det er innen mange områder blitt grundig dokumentert tidligere. Imidlertid er det også her en økt sannsynlighet for at man kan få problemer, det skal ikke nødvendigvis så mye til før man får problemer med å utveksle e-post med andre på Internett. Tap av Integritet, Konfidensialitet og Tilgjengelighet tilknyttet elektronisk post kan svært raskt få store konsekvenser for den eller de det måtte angå. Ved å innføre støtte for transparent TLS kryptering vil man på generell basis oppnå bedre sikkerhet ved bruk av elektronisk post. Det bidrar til å tilfredsstille regulatoriske krav for kryptering av ulike typer opplysninger, og kan benyttes til å sikre informasjonsflyt over Internett og mellom spesifikke aktører. 10

11 Anbefalinger Først og fremst vil vi understreke viktigheten av å etablere retningslinjer for innsyn i ansattes e-post og filer. De siste års debatter om temaet bør være kjent for de fleste, men like fullt vet vi at det fortsatt er mangler på området. Utover opplysninger som omfattes av lov om behandling av personopplysninger, bør slike retningslinjer også ta hensyn til andre typer taushetsbelagt informasjon og advokat - klient privilegiet, der hvor dette er aktuelt. Sist men ikke minst en avklaring fra administrerende direktør og/eller styret i forhold til at sikkerhet / internrevisjon skal kunne utøve en slik retningslinje også overfor dem ved behov. Oppsett av TLS kryptering for e-post anbefales utført i alle ledd, både internt mellom e- post servere, mot samarbeidspartnere og ikke minst mot Internett. Vi henviser til de respektive leverandørers dokumentasjon for hvordan dette utføres i detalj. Etterlevelse av etablerte Internett standarder anbefales, for å unngå fremtidige problemer og merkostnader. I forbindelse med denne undersøkelsen gjelder det spesifikt oppsett av reserveløsninger for egen e-post server. Dette er en tjeneste som bør være tilgjengelig fra organisasjonens Internett tjenesteleverandør i de aller fleste tilfeller. For Finanstilsynet, Datatilsynet, Riksrevisjonen og andre som fører tilsyn med offentlig og privat virksomhet vil vi sterkt oppfordre til opplæring og bistand overfor så vel offentlig som privat virksomhet. Riksrevisjonen kan jo selv skilte med at de støtter TLS kryptering gjennom bruk av ekstern leverandør for sin e-post. Dersom domstol.no etablerer støtte for TLS vil samhandling via e-post med 18 % av norske advokater over Internett være beskyttet mot uautorisert innsyn i flere ledd hvor det i dag er helt åpent. Gitt en minimal kostnad for innkjøp og drift, samt implementeringstid på et par dager er dette bare ett av mange tiltak som vil gi store forbedringer på kort tid. 11

12 Avsluttende kommentar Denne undersøkelsen har sett på offentlig tilgjengelig informasjon på Internett for å kartlegge hvem som støtter RFC 3207, en Internett standard for transparent kryptering av e-post mellom servere på Internett. Vi har forsøkt etter beste evne å gi et nøytralt bilde av status 11 år etter at standarden først ble publisert. Imidlertid er det mørketall på området, da vi har kontrollert servere som håndterer inngående e-post til domener. I de fleste tilfeller vil dette også være de samme som sender utgående e-post fra domenet. Dermed tilbyr de normalt kryptering i begge retninger, dersom dette er tilgjengelig på serveren. Det kan være forskjeller på dette, og i praksis er det vanskelig å kontrollere. Vi vet også at enkelte domener er konfigurert til kun å benytte TLS mellom spesifikke domener, noe som også skaper en del mørketall. Vi mener at våre tall skal være korrekte og representative på den generelle basis vi har presentert dem i denne undersøkelsen. Med vennlig hilsen, EDB Business Partner Kontakt Per Thorsheim CISA, CISM, CISSP-ISSAP Telefon: per.thorsheim@edb.com Jan Fredrik Leversund CISSP-ISSAP Telefon: jan.fredrik.leversund@edb.com Nettsted: 12