E-post sikkerhet i Norge



Like dokumenter
DOKUMENTASJON E-post oppsett

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Personvernpolicy for forbrukerkunder

Vemma Europes personvernerklæring

Personvernpolicy for markedsføringsregister

Nasjonal sikkerhetsmyndighet

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC

Transportsikring av e-post rfc STARTTLS

1. Kjønn. Kartlegging av informasjonssikkerhetskultur - Gran Kommune :25. Først vil vi vite litt om hvem du er. 100% 90% 80% 74,9% 70%

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

1. Hent NotaPlan Online Backup på 2. Trykk på Download i menyen og på Download i linjen med Notaplan Backup

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Installere programvare gjennom Datapennalet - Tilbud

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Aktiver SymWriter lisensen din over Internett

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Vår referanse (bes oppgitt ved svar)

HVEM ER JEG OG HVOR «BOR» JEG?

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Det samme som World Wide Web Et lokalnett (LAN) Et verdensomspennende nettverk Startsiden til et nettsted. Hva betyr forkortelsen HTML?

Distribusjon via e-post - oppstart

Personvernerklæring for IEH

TRÅDLØS TILKOBLING PÅ KHIO

Databehandleravtale for NLF-medlemmer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Legg opp din nye Website raskt og enkelt!

Det nye Stortinget vil ha statlig IT-styring av kommunene

Personvern i arkivene Drammen, 7. september 2011

Brukerveiledning for SMS fra Outlook

Brukerveiledning for For kontaktpersoner i selskaper

GDPR (personopplysningsloven)

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

Comendo Norge AS. I samarbeid med Office Center Hønefoss AS. Anette Storeide Comendo Norge AS Tlf

F-Secure Mobile Security for S60

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Standardiseringsrådsmøte

Brukerveiledning: Innsending av digitale tilbud

Personvern og sikkerhet

1. Ansvar Den Norske Opera & Ballett AS, ved Administrerende Direktør, er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

Installasjon av Nett-TV-meter Trinn for trinn

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

IKT-reglement for Norges musikkhøgskole

Lumia med Windows Phone

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

BAAN IVc. BAAN Data Navigator - Brukerhåndbok

Sikrere E-post en selvfølgelighet

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Brukerveiledning Webline Portal for E-post Bedrift/E-post Basis

Friheten ved å ha Office på alle enhetene dine

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Hvordan sende lønnsslipper per e-post til de ansatte direkte fra HogiaLønn

Online booking i Extensor

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.

Forespørsel om deltakelse i forskningsprosjektet. «Internett-behandling for insomni»

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

BRUKERDOKUMENTASJON. SMS-kommunikasjon VERSJON 1 ( )

Veileder for bruk av tynne klienter

Benytter du dine rettigheter?

Kommentarer til mørketallsundersøkelsen og visjoner for Datatilsynet

Hvordan sende lønnsslipper pr. e-post til de ansatte direkte fra HogiaLønn

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Småteknisk Cantor Controller installasjon

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

LAB-L SETTE OPP MICROSOFT SERVER 2003

Lantmännens personvernpolicy og informasjon om informasjonskapsler (cookies)

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Brukerveiledning for identifisering med BankID

Komme i gang med.» Grunnlaget for suksess

Office365 -innføring i utvalgte programmer

Brukerveiledning Custodis Backup Basic Epost:

Personvernerklæring. 1. Innledning

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Installere JBuilder Foundation i Windows XP

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Regler for behandling personopplysninger Svea Finans AS

Geometra. Brukermanual. Telefon:

«Vi vil sikre dine opplysninger og gi deg full åpenhet om og kontroll over opplysningene»

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

Installere JBuilder Foundation i Mandrake Linux 10.0

Installeringsveiledning for tablet-enheter. McAfee All Access

«Dataverdens Trygg Trafikk»

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

De partiene som får mange stemmer, får mange representanter på Stortinget.

Arkivsystemer med skyløsninger

Skytjenester bruk dem gjerne, men bruk dem riktig

GDPR - PERSONVERNPOLICY

Transkript:

Bare 15 % av norske domener på Internett støtter bruk av en standard for kryptering av e-post. Blant norske kommuner er det mindre enn 4 % som støtter slik kryptering. Manglende sikring av e- post i Norge kan få alvorlige konsekvenser for personvern og taushetsbelagte opplysninger generelt. Sammendrag Ville du sendt fra deg post via et transportfirma, hvor sjåføren som henter pakken hos deg viste frem falsk legitimasjon? Ville du handlet på nettet når du fikk en sikkerhetsadvarsel om at sikkerhetssertifikatet for nettbutikken så ut til å være gått ut på dato? Hva synes du om at viktige offentlige funksjoner i Norge mellomlagrer din e-post til dem i utlandet? Er det prinsipielt galt av politiske partier å benytte utlandske e-post tjenester, slik at e-post til disse partiene går ukryptert via andre land? Hva er forbindelsen mellom Sosialistisk Venstreparti og "kontoret for vanskeliggjøring av saker som egentlig er enkle?" Er Statsministerens kontor (SMK) klar over at deres e-post server identifiserer seg som en testserver tilhørende et selskap i USA? 1

Bakgrunn Gjennom de siste år har vi observert en interessant debatt rundt den svenske FRA-loven 1, samt bruken av ubeskyttet e-post for sending av taushetsbelagte opplysninger. Sistnevnte debatt har blant annet vært aktualisert gjennom Domstolsadministrasjonen, som har innrømmet 2 at de både mottar og sender e-post ukryptert via Internett. Dette har blant annet resultert i spørsmål fra Trine Skei Grande (V) til justisminister Knut Storberget i februar 2010 3. Det har vært reist en rekke spørsmål tilknyttet sikringen av elektronisk kommunikasjon for utveksling av person- og børs sensitive opplysninger, så vel som taushetsbelagte opplysninger generelt. Media har gjentatte ganger i de siste år avdekket lekkasjer av slik informasjon, basert på dårlig sikkerhet, manglende rutiner og liten bevissthet på området. I mange virksomheter tillates det ikke å benytte kryptering (passordbeskyttelse) av dokumenter, da dette hindrer r muligheten for å foreta antivirus og antispam kontroll av e- post m/vedlegg. Dermed blir redselen for datavirus årsaken til at man i mange tilfeller bryter regulatoriske krav til sikring av taushetsbelagt informasjon, bevisst eller ubevisst. På Internett finnes det en dokumentert standard (kjent som RFC 3207 4, heretter referert til som TLS kryptering) for å utføre automatisk og transparent kryptering av e-post mellom ulike e-post servere. Denne standarden ble først publisert i 1999, og siste oppdatert i 2002. Standarden baseres på bruk av digitale sertifikater 5, og kan i denne sammenheng benyttes til autentisering og kryptering av elektronisk post mellom e-post servere. Løsningen er transparent (=usynlig) for sluttbrukere. Ved å kontrollere e-post servere på Internett har vi for første gang på Internett dokumentert etterlevelsen av denne standarden. Resultatene er både overraskende og skuffende, og avdekker et stort gap mellom implementering/bruk ing/bruk av digitale sertifikater for sikring av e-post i forhold til Web-baserte baserte tjenester som netthandel, nettbank og ulike offentlige tjenester. IKT-Norge vil på Nasjonal Sikkerhetsdag 6 presentere sin årlige undersøkelse om informasjonssikkerhet. Resultatene fra vår undersøkelse målt mot de svar tilknyttet kryptering av e-post som er gitt i IKT-Norges undersøkelse antyder at det i tillegg kan eksistere store mørketall mellom teori og virkelighet. EDB har med denne undersøkelsen ønsket å bidra til en bedre forståelse av dagens situasjon, og gi forslag til tiltak for å heve dagens sikkerhetsnivå på en enkel måte. 1 http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2008/rapporter-om-den-svenske-fra-loven.html?id=538691 loven.html?id=538691 2 http://www.dagensit.no/article1801950.ece 3 http://www.stortinget.no/no/saker-og-publikasjoner/sporsmal/skriftlige publikasjoner/sporsmal/skriftlige-sporsmal-og-svar/skriftlig-sporsmal/?qid=45851 sporsmal/?qid=45851 4 http://tools.ietf.org/html/rfc3207 5 http://no.wikipedia.org/wiki/digitalt_sertifikat 6 http://sikkerhetsdagen.no/ 2

Fremgangsmåte for undersøkelsen Vi har basert vår undersøkelse på ca 2 måneders e-post kommunikasjon med domener på Internett. Fra dette datagrunnlaget har vi laget en liste over alle domenenavn som vi har utvekslet e-post med. I tillegg har vi også laget lister basert på følgende: Advokatselskaper i Norge 7 Norske kommuner 8 Oslo Børs OSEAX listen 9 Registrerte medlemmer av Revisorforeningen 10 Alle domenenavn har blitt kontrollert fra en nøytral maskin på Internett som benytter offentlig tilgjengelig informasjon og e-post kommunikasjon for å gjøre våre kontroller. Dette har gitt oss alt nødvendig grunnlag for vår undersøkelse, uten bruk av spørreundersøkelser eller andre tiltak. Vår datainnsamling har gjort følgende: Sjekket DNS for MX records pr domene 11 Kontaktet hver MX maskin for å se om den støtter TLS kryptering Hentet opplysninger om digitalt sertifikat på MX, hvor dette var installert Data fra ovennevnte spørringer har blitt lagret i en database. Deretter har vi kjørt spørringer mot datagrunnlaget for å lage statistikk. Vi har observert mangelfull etterlevelse og ulike problemer på tvers av alle bransjer, størrelser og offentlig/privat sektor. De ovennevnte grupper er kun valgt som eksempler fordi de representerer både offentlig og privat sektor, utenlandske selskaper med virksomhet i Norge, samt kontrollfunksjoner i form av revisorer. 7 Basert på Finn Advokat tjenesten til Advokatforeningen.no 8 Alle domener og enkelte underdomener av *.kommune.no 9 http://www.oslobors.no/markedsaktivitet/stocklist?newt menuctx=1.1, 16 april 2010 10 http//www.revisorforeningen.no/ (oversikt over revisorer med registrert e-post adresse) 11 Forteller oss hvilke servere som tar i mot e-post på vegne av et domene 3

Observasjoner Totalt har vi kontrollert 345805 domener på Internett, hvorav 82763 er norske domener. Vår undersøkelse viser at Norge har støtte for TLS kryptering av e-post på 15,7 % av alle kontrollerte domener. Dette er rett over snittet for Internett generelt, med 13,3 %. Imidlertid må vi se oss slått av land som Polen (23 %), Sveits (23 %), og Finland (21 %) For de etterfølgende kakediagrammer har vi angitt følgende: INGEN (RØD) = Ingen e-post servere e for domenet støtter TLS kryptering DELVIS (GUL) = Noen e-post servere e for domenet støtter TLS kryptering 12 FULL (GRØNN) = Alle e-post servere e for domenet støtter TLS kryptering Status for Norge (.no) 15,8 % 16,9 % 67,4 % Ingen Delvis Full 12 Vi har ikke angitt tall eller statistikk som viser om det er primær eller eventuelle sekundære servere som støtter TLS. Dette er et område som krever ytterligere undersøkelser, og har ingen innvirkning verken på vår statistikk eller våre anbefalinger som gitt i denne undersøkelsen. 4

Politikk, partier og e-post kryptering Sosialistisk Venstreparti benytter åpen kildekode løsning hos ekstern leverandør for å håndtere innkommende e-post. Den støtter TLS, men med et utgått sertifikat (høsten 2007). Dette er i tillegg utstedt av leverandøren til seg selv, men angitt som Office of complication of otherwise simple affairs. Dette antyder en standard installasjon med et sertifikat kun for demonstrasjonsbruk. Navnet på serveren (Marvin), via kvalifisert gjetning, peker tilbake til Marvin, den paranoide androiden i Hitchhiker s Guide to the Galaxy. Arbeiderpartiet bruker Telenor som sin eksterne leverandør for å håndtere innkommende e-post. Her er sertifikat, gyldighet og kryptering i orden, slik at de kan kryptere all e-post med andre som støtter samme standard. Senterpartiet har sin e-post server plassert i eget nettverk. Den tilbyr ikke TLS kryptering av e-post med dagens oppsett. Kristelig Folkeparti bruker en ekstern leverandør for å håndtere innkommende e-post. Den tilbyr ikke TLS kryptering av e-post med dagens oppsett. Venstre bruker en ekstern leverandør i Danmark for å håndtere innkommende e-post. Den støtter TLS, men bruken av leverandør i Danmark betyr at all e-post til partiet vil gå til Danmark før det kommer frem til partiet i Norge. Høyre bruker også en leverandør i Danmark, riktignok en annen leverandør enn Venstre. Høyres leverandør støtter ikke bruk av TLS i dagens oppsett. t. All e-post til partiet vil gå til Danmark før det kommer frem til partiet i Norge. Fremskrittspartiet har som Senterpartiet sin e-post server plassert i eget nettverk. De benytter Microsoft Exchange, og tilbyr bruk av TLS. Dette gjør at all e-post til og fra partiet vil bli kryptert så lenge motparten også støtter samme standard. For 24 domener underlagt departementene i Norge 13 finner vi at samtlige, med et hederlig unntak, benytter en felles e-post tjeneste for mottak. Denne felles løsningen tilbyr TLS, men benytter et digitalt sertifikat som er kun ment for demonstrasjonsformål fra produktleverandøren i USA. Dette sertifikatet er da også utstedt fra leverandøren til leverandøren. Egensignert sertifikat kalles det ofte, mens "falsk legitimasjon" er en grei forklaring på godt norsk. Hvem er det så som utgjør det hederlige unntaket? Statens Landbruksforvaltning 14. Ikke Forsvarsdepartementet, Justisdepartementet eller Utenriksdepartementet, ei heller Statsministerens kontor. Hvem hadde gjettet det på forhånd? 13 *.dep.no på Internett 14 slf.dep.no 5

Norske kommuner Vi har undersøkt 428 kommuner med tilhørende domener (*.kommune.no). Det er ingen synlig sammenheng mellom kommunestørrelse og støtte for TLS kryptering på e-post. Imidlertid er det bare 4 % som fullt ut tilbyr dette, og det er svært lavt i forhold til landsgjennomsnittet. Faktisk plasserer dette norske kommuner så vidt foran landsgjennomsnittene for Romania og Armenia. Norske kommuner 3,7 % 28,0 % Ingen 68,2 % Delvis Full Tre viktige observasjoner: verken Oslo, Bergen eller Trondheim kommune tilbyr TLS i sine løsninger på Internett pr i dag. Dette betyr at all samhandling med disse via e-post vil gå ubeskyttet, dersom man ikke benytter eller avtaler proprietære løsninger i de enkelte saker. Vi ser også at mange norske kommuner er svært inkonsistent i sin støtte for TLS kryptering, ved at hele 28 % av dem har delvis støtte for TLS kryptering. 6

Norske advokatselskaper Advokater i Norge har en viktig taushetsplikt å ivareta, og de har også et viktig advokat klient prinsipp som gjør at kommunikasjon disse imellom rettslig er skjermet mot innsyn. Samhandling mot private, kommersielle og offentlige virksomheter, samt domstolene bør stille strenge krav til informasjonssikkerheten i deres arbeid. Norske advokatselskap 18,4 % 17,1 % 64,4 % Ingen Delvis Full Av 385 domener kontrollert av oss finner vi at gjennomsnittet for TLS kryptering ligger noe høyere enn landsgjennomsnittet. Vi ser også at advokatene er noe mer konsistent i delvis støtte for TLS kryptering, med 17,1% 1% mot landsgjennomsnittet på 16,9%. Vi finner det her interessant å påpeke at domstol.no ikke tilbyr TLS i dagens løsning. Dette gjør at man må avtale mer proprietære sikringsløsninger mellom domstolsadministrasjonen og alle andre som disse skal samhandle med. Spesifikt for denne observasjonen onen har vi også gitt en direkte anbefaling i vår generelle anbefaling på slutten av dette dokumentet. 7

Oslo børs OSEAX listen Vi har kontrollert selskapene som er notert på Oslo Børs sin OSEAX liste per 16 april 2010. Vi gjør her oppmerksom på at flere av disse selskapene er utenlandske selskaper med virksomhet i Norge, og som også er registrert på Oslo Børs. Oslo børs OSEAX 14,5 % 31,4 % 54,1 % Ingen Delvis Full Dersom verdien på Oslo børs skal gi noen pekepinn på evne og vilje til å konfigurere sikre tjenester for samhandling via e-post, så er disse tallene overraskende. De havner rett under landsgjennomsnittet, og viser også den største inkonsistensen gjennom sin høye andel domener hvor TLS kryptering bare er delvis tilgjengelig på deres ulike e-post servere. Dette kan være en indikasjon på mangelfulle lle kravspesifikasjoner til Internett leverandør, samhandling med datterselskaper og ulike andre forhold som fragmenterer ansvar og oppfølging av e-post som en trygg og effektiv løsning. 8

Norske revisorer Revisorer har en viktig kontrollfunksjon i vårt samfunn. Gjennom sitt arbeid får de innsyn i opplysninger som kan kompromittere både person- og børssensitive opplysninger, sammen med andre typer taushetsbelagte opplysninger. Revisorer ber da også ofte om å få tilsendt dokumentasjon i elektronisk form, som oftest via elektronisk post. Vi har selv erfart gjentatte ganger at revisorer spesifikt ber om at kryptering IKKE benyttes, da dette ikke er tillatt (pga antivirus/spam kontroll), og dokumentasjon kommer ikke frem til revisor. Med denne bakgrunn vil l man ønske og tro at denne gruppen stiller sterkt i forhold til å støtte standarder for sikring av informasjonsflyt på Internett. På dette området som vi har undersøkt er det ingenting som tyder på det. Norske revisorer 17,6 % 19,0 % 63,4 % Ingen Delvis Full Norske revisorer stiller hårfint bak advokatene, men foran de børsnoterte selskapene i forhold til å tilby full støtte for TLS kryptering. 9

Risiko Risiko tilknyttet de observasjoner vi har gjort er mange og varierte. Vår undersøkelse viser at nesten 16 % av norske domener støtter TLS kryptering. Først og fremst vil vi påpeke det rent prinsipielle ved at deler av det offentlige benytter e- post tjenester i utlandet. All e-post til og fra disse vil da gå via andre land, selv om både avsender og mottaker sitter i Norge. Dette tilrettelegger for uautorisert innsyn i e-post som sendes og mottas hver eneste dag utenfor Norges grenser og kontroll. Dette står i kontrast til de uttalelser som det offentlige tidligere har kommet med rundt FRA-loven i Sverige, som et eksempel. For kommersiell virksomhet er ikke dette like prinsipielt interessant, så sant man ikke er underlagt regulatoriske forhold,, hvilket mange faktisk er. Dette er da et anbefalt sjekkpunkt for de aktuelle tilsynsmyndigheter for fremtiden. På generell basis har vi observert til dels svært mangelfull sikring av tilgjengelighet, ved at svært mange tilsynelatende bare har en enkelt datamaskin til å håndtere inn- og utgående e-post. Vi har også observert utdatert og feilaktig informasjon, tegn på at løsningene ikke aktivt vedlikeholdes. Dette kan raskt ende opp i utilgjengelighet for tjenester som vi i stor grad er avhengige av hver eneste dag. Manglende etterlevelse av etablerte standarder på Internett er ingen nyhet, og det er innen mange områder blitt grundig dokumentert tidligere. Imidlertid er det også her en økt sannsynlighet for at man kan få problemer, det skal ikke nødvendigvis så mye til før man får problemer med å utveksle e-post med andre på Internett. Tap av Integritet, Konfidensialitet og Tilgjengelighet tilknyttet elektronisk post kan svært raskt få store konsekvenser for den eller de det måtte angå. Ved å innføre støtte for transparent TLS kryptering vil man på generell basis oppnå bedre sikkerhet ved bruk av elektronisk post. Det bidrar til å tilfredsstille regulatoriske krav for kryptering av ulike typer opplysninger, og kan benyttes til å sikre informasjonsflyt over Internett og mellom spesifikke aktører. 10

Anbefalinger Først og fremst vil vi understreke viktigheten av å etablere retningslinjer for innsyn i ansattes e-post og filer. De siste års debatter om temaet bør være kjent for de fleste, men like fullt vet vi at det fortsatt er mangler på området. Utover opplysninger som omfattes av lov om behandling av personopplysninger, bør slike retningslinjer også ta hensyn til andre typer taushetsbelagt informasjon og advokat - klient privilegiet, der hvor dette er aktuelt. Sist men ikke minst en avklaring fra administrerende direktør og/eller styret i forhold til at sikkerhet / internrevisjon skal kunne utøve en slik retningslinje også overfor dem ved behov. Oppsett av TLS kryptering for e-post anbefales utført i alle ledd, både internt mellom e- post servere, mot samarbeidspartnere og ikke minst mot Internett. Vi henviser til de respektive leverandørers dokumentasjon for hvordan dette utføres i detalj. Etterlevelse av etablerte Internett standarder anbefales, for å unngå fremtidige problemer og merkostnader. I forbindelse med denne undersøkelsen gjelder det spesifikt oppsett av reserveløsninger for egen e-post server. Dette er en tjeneste som bør være tilgjengelig fra organisasjonens Internett tjenesteleverandør i de aller fleste tilfeller. For Finanstilsynet, Datatilsynet, Riksrevisjonen og andre som fører tilsyn med offentlig og privat virksomhet vil vi sterkt oppfordre til opplæring og bistand overfor så vel offentlig som privat virksomhet. Riksrevisjonen kan jo selv skilte med at de støtter TLS kryptering gjennom bruk av ekstern leverandør for sin e-post. Dersom domstol.no etablerer støtte for TLS vil samhandling via e-post med 18 % av norske advokater over Internett være beskyttet mot uautorisert innsyn i flere ledd hvor det i dag er helt åpent. Gitt en minimal kostnad for innkjøp og drift, samt implementeringstid på et par dager er dette bare ett av mange tiltak som vil gi store forbedringer på kort tid. 11

Avsluttende kommentar Denne undersøkelsen har sett på offentlig tilgjengelig informasjon på Internett for å kartlegge hvem som støtter RFC 3207, en Internett standard for transparent kryptering av e-post mellom servere på Internett. Vi har forsøkt etter beste evne å gi et nøytralt bilde av status 11 år etter at standarden først ble publisert. Imidlertid er det mørketall på området, da vi har kontrollert servere som håndterer inngående e-post til domener. I de fleste tilfeller vil dette også være de samme som sender utgående e-post fra domenet. Dermed tilbyr de normalt kryptering i begge retninger, dersom dette er tilgjengelig på serveren. Det kan være forskjeller på dette, og i praksis er det vanskelig å kontrollere. Vi vet også at enkelte domener er konfigurert til kun å benytte TLS mellom spesifikke domener, noe som også skaper en del mørketall. Vi mener at våre tall skal være korrekte og representative på den generelle basis vi har presentert dem i denne undersøkelsen. Med vennlig hilsen, EDB Business Partner Kontakt Per Thorsheim CISA, CISM, CISSP-ISSAP Telefon: +47 90 99 92 59 per.thorsheim@edb.com Jan Fredrik Leversund CISSP-ISSAP Telefon: +47 90 19 88 66 jan.fredrik.leversund@edb.com Nettsted: www.edb.com 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding