2014 I lupen: Problematisk E post kryptering : Stort behov men likevel lite brukt. Les de 10 mest åpenbare grunner til dette. Finnes løsningen som kan løse problemene? Utarbeidet av: Egil Løseth, SaaS Security as
De fleste kjenner dilemmaet med sending og deling av sensitiv og konfidensiell informasjon med 3.part. Blir mine data overført på en sikker måte og kan jeg stole på at mottakeren behandler mine data slik jeg ønsker? Og kan jeg sikre meg at bare denne mottakeren kan se mine data og at de ikke videreformidles, misbrukes eller behandles uforsiktig? Eller er mottaker sin PC infisert av skadelige elementer som videresender min informasjon videre til kriminelle? Og hvordan kan mottakeren svare tilbake til meg på en sikker måte, med eller uten filvedlegg? Flere rekke produsenter av e post kryptering har vært på markedet i mange år uten at dette har tatt av. Den siste tids fokus på den stadig økende datakriminalitet og USA sitt nylig avslørte overvåkingsprogram PRISM har satt nytt fokus på dette området. Det er mange grunner at e post kryptering ikke har løsnet og ikke tatt i bruk, selv om behovet for dette er veldig stort. Siden det ikke løser dagens problemer ender man opp med at sensitive data fortsatt sendes pr fax, post eller kurer. Og for de som allerede benytter et sikkerhetssystem er ofte brukeren selv ansvarlig for å bestemme om de data han skal overføre krever at sikkerhetssystemet benyttes. Oppfattes sikkerhetssystemet for tungvint eller at brukeren må bruke ekstra lang tid på prosessen, eller prosessen feiler ofte, ender det raskt med at at data likevel overføres ukryptert på vanlig måte. I noen tilfeller er også data for store til å overføre på e post og dermed brukes høyst usikre medium som bla Dropbox. Vi nevner kort noen av de viktigste utfordringer og problemområder under. Dette er en generell beskrivelse og går ikke i detaljer. For virksomheter som vurderer å ta i bruk e postkryptering er dette en god sjekkliste på hva man bør gå igjennom en en vurdering av ulike systemer. Alle punktene har samme viktighet og har ikke noen rangering. 1. Problem: For komplisert for bruker For vanskelig for brukeren eller brukeren har problemer med å skjønne hvordan kryptering skal utføres og gjør derfor ofte feil. Brukeren må gjøre flere ekstra grep og må samtidig også ofte veilede og gi support til mottaker. 2 Problem: Tidkrevende for bruker Det tar for lang tid og brukeren oppfatter dette som tidsheft. Brukeren bruker lang tid å å overføre en kryptert e post til mottaker. I dette tidsaspekter ligger også at mottaker må gjøre rutiner som krever tid og kan feile. 3. Problem: Kompleks installasjon og lang innstallasjonstid Installasjon av e postkryptering har tatt lang tid både å planlegge, installere, konfigurere og gi brukeropplæring. Samtidig har man måtte gjøre store og komplekse endringer i sitt eget nettverk. I noen tilfeller kreves også spesifiserte hardware eller egne dedikerte servere for å
bruke systemet. Samtidig er funksjonell e post kryptering såpass komplisert at det kun i praksis er tilgjengelig for medium og store selskaper. 4. Problem: Ikke godt nok dataintegrerasjon med egen infrastruktur. Innføring av e postkryptering har medført at man ikke får integrert sine egne systemer sammen med selve kryperingssystemet godt nok. Dermed har man f.eks ikke kunne virussjekke kryptert innhold, DLP, gjøre e post arkivering eller backup ol. Ei heller har man i mange tilfeller ikke kunne definere dataområder i sitt eget nettverk emn er blitt tvunget til å lagre krypterte data hos produsenten selv og utenfor nettverket. 5. Problem: Inneffektiv og tidkrevene håndtering av mottakers/3.part ID/krypteringsnøkler og SW Med e post kryptering har man vært nødt til å håndtere alle mottakeres ID/krypteringsnøkler i virksomheten. Dermed har man fått et ekstra arbeid for en allerede presset IT avdelinger som må håndtere eksterne brukere i tillegg til de interne. Mange systemer krever også programvare på mottakers klient for å kunne dekryptere data. Mottaker har ofte ikke admin rettigheter på lokal maskin eller installasjon har feilet av en eller annen grunn kan også komplisere bruken ytterligere. 6. Problem: Ufordelaktige og kostbar lisensiering av eksterne mottakere Produsentenes lisensprogram teller ofte det totale antall liserer som skal brukes uavhengig av det er egne brukere eller eksterne mottakere. I noen tilfeller er det differensiert slik at man kan motta en kryptert e post uten brukerlisens. Skal man svare på en kryptert måte må man derimot ha lisens. 7. Problem: Kun kryptering av overføring dekker ikke virkelig behov Kryptering dekker ofte bare overføring av data mellom avsender A og mottaker B. Men når først mottaker B har fått de krypterte data har ikke avsender A ikke lengre noen kontroll på hvordan disse data behandles. Dermed dekker basic e post kryptering ikke godt nok rund alle behov knyttet til å trekke tilbake sine sensitive data, hindre vidresending, sette gyldighetstid, vannmerke eller andre tilgangsrettigheter. 8. Problem: Umulig å overføre veldig store filer Selv med krypterte e post gjelder størrelsesbegrensinger, f.esk 10 Mb, som finnes på e post serverne. Dermed har ikke store filer kunnet overføres med et e post krypteringssystem 9. Problem: Mangel eller mangelfull sentral policy og instillinger Manglende innstillinger for å kunne sette sentrale krypteringsregler knyttet til type filer som overføres, har medført at hvis brukeren selv glemmer å krypterer slår ingen sentrale policyer inn, og dermed har sendingen gått ukryptert.
10. Problem: Lite skalerbart Virksomheter i alle størrelser har behov for e postkryptering. Likevel er dette vanskelig med tradisjonelle systemer, og spesielt der man der man vil ha 2 veis kryptering. E post kryptering med lokal installasjon er i praksis bare tilgjengelig for medium og større selskaper. Samtidig er utrulling av et slikt system ofte vanskelig med håndtering av ID og nøkler, og et utrulling går ofte i svært sakte tempo. For mindre virksomheter er e post kryptering utelukket pga av kompleksiteten og krav til infrastruktur og administrasjon. E post kryptering har ikke blitt fokusert på av forhandlere og hosting tilbydere. For teknisk komplisert og krav om spesialkompetanse har ikke vært attraktiv nok med den lille etterspørselen som har vært. Løsning finnes Det finnes produsenter med nye ideer har satt helt eller delvis satt fokus på disse problemområdene, og vi vil her gå gjennom punkt for punkt hvordan det Engelske sikkerhetsselskapet Egress løser disse utfordringer. Egress ble grunnlagt i England i 2007 og har hatt dette som sitt hjemmemarket med meget sterk vekst de siste årene, ekspandere nå videre til andre land i Europa og USA. I Norge er SaaS Security distributør for Egress og det leveres av utvalgte forhandlere over hele landet. Under vil vi belyse kort hvordan Egress løser problemene og utfordringen over. 1. Problem: For komplisert for bruker Egress løser dette meget enkelt med å integrere knapper direkte i e postklient for Outlook og Notes. Brukeren får nedtrekksmenyer med flere nivåer. Virksomheten kan selv definer hvor mange nivåer og hvilke restriksjoner som ligger i hvert valg. Etter å enkelt valgt restriksjoner sender brukeren e post som før. Brukeren trenger ikke å håndtere mottakers krypteringsnøkler/id. 2. Problem: Tidkrevende for bruker Med Egress setter avsender restriksjoner på sekunder. Det tar ikke lengre tid å sende en e post enn før. Egress håndtererer krypteringsnøkler for mottaker og det vil aldre blir noen spørsmål til avsender om tapte passord etc. 3. Problem: Kompleks installasjon og lang innstallasjonstid Egress leveres både som skytjenste, lokal gateway, eller som en tjeneste fra forhandlerens datasenter. Kom i full drift på få minutter med netskyvesjonen eller 1 2 dager for et større brukerantall med lokal installasjon inkl opplæring av administrator. Uansett behov dekkes alle scenarioer for installasjon.
4. Problem: Ikke godt nok data integrerasjon med egen infrastruktur. Egress dekker alle scenarioer. Med den lokale gateway versjonen krypteres og dekrypteres data på gateway nivå og alle data blir fullt ut integrert med egne datasenter for scanning, arkivering, backup, DLP osv Alle data lagres i det lokale nettverket etter først å ha blitt dekryptert av Egress. Den lokale innstallasjonen gir lokal lagring av data men men slipper håndtering av krypteringsnøkler. 5. Problem: Ineffektiv og tidkrevende håndtering av mottakers/3.part ID/krypteringsnøkler og programvare Håndtering av ID og krypteringsnøkler håndteres fullt ut som en tjeneste av Egress. Dermed slipper virksomheten den mest tidkrevende oppgaven. Glemmer sender eller mottaker sine passord håndteres dette av Egress. 6. Problem: Ufordelaktige og kostbar lisensiering av eksterne mottakere Egress lisensierer bare de personene som skal bruke systemet i en virksomhet. Mottakere bruker dette fritt og de kan dessuten svare tilbake til avsender, med eller uten filtillegg, på en sikker måte. Ikke kan en mottaker bare svare på en e post, han kan også sende en ny e mail til virksomheten på en sikker måte og uten noen lisense eller infrastrukturkostnader. Det kan brukes både webbasert, desktop eller mobil app inkludert uten kostnad. 7. Problem: Kun kryptering av overføring dekker ikke virkelig behov Egress er kryptering av e post og filer samt tilgangskontroll/databrukskontroll i samme system. Ikke bare kan data krypteres men man kan også sette leserettigheter, samt tilbakekalle leserettigheten i sanntid når man måtte ønske. Bestemme om dine data skal kunne lagres lokalt, skrives ut, hindre videresending, hindre klipp/lim og eventuelt sette inn vannmerke(f.eks mottakers e post adresse). I tillegg kan man se en åpningslogg der man alltid kan se når og hvor dine data åpnes fra. Man har alltid hele tiden full kontroll over de senstive data man har delt. I tillegg gir Egress sikker overføring av svært store filer og kryptering av filer på USB, DVD, CD og portable disker. 8. Problem: Umulig å overføre veldig store filer Med Egress kan man overføre store filer uavhengig av mottakers sin e postserver størrelsesbegrensninger. Det er ingen øvre grense på filstørrelsen på hverken inngående eller utgående e post. Å sende en store fil på e post er lettere å gjøre enn å benytte andre mekanismer. 9. Problem: Mangel eller mangelfull sentral policy og innstillinger Egress har et sentralt kontroll senter der man kan sette de policyer man ønsker basert på bruker, grupper eller hele virksomheten. Regler kan settes basert på f.eks mottaker, stikkord, filtype, innhold, tekst eller annet. 10.Problem: Lite skalerbart Egress leveres både som en ren tjeneste fra nettskyen, der også datalagringsområdene, kan
bestemmes selv og som en lokal gateway installasjon. Dermed sikres virksomheter i alle størrelser en løsning som passer. Med Egress trenger man ikke tung spesialkompetanse. SaaS Securtiy bygger opp et forhandlernettverk i Norge med forhandlere som alltid kan yte den beste service for sine kunder. I tillegg har Egress selv dypere kompetanse hvis det skulle være behov. Om SaaS Security SaaS Security as er Norsk distributør av sikkerhetssystemer til spesialiserte forhandler over hele Norge og i Sverige. Sikkerhetssystemene leveres som software gateways eller fra nettskyen som Security Software as a service og DRaaS Diaster recovery Service. Selskapet har distribusjonsavtaler med Egress, Proofpoint, Secpoint, Plan B og Safenet. Hovedområdene er e postkryptering, e postsikkerhet, DLP, e postarkivering, Disaster Recovery as a Service, 2 faktor multitoken brukerautentisering som en tjeneste og sikkerhetsanalyse/testing. SaaS Security as videreselger alle produktene 100 % gjennom forhandlere over hele Norge og avholder viktige seminarer som "Reselling the cloud" og "Cloud Security Day" Forretningsområder Safenet: 2 faktor brukerautentisering som en tjeneste med fri token mix, apps, SMS, SW, HW, Smartkort, Grid med mer. Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk brukerautentisering. Proofpoint: E post sikkerhetstjeneste, e post arkivering, foretningskontinuitet med mer. Cloud, SW gateway eller hostet gateway Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk SW Security Gateways. Egress : Kryptering av e post og andre media for sikker deling av sensitive data med 3.part, inkl. bruks og rettighetskontroll. SW gateway, hosted gateway eller cloud. Vinner i UK IT Awards 2013 Plan B : Disastser Recovery as a Service (DRaaS). Appilance snapshopper virksomhetenes servere og kjører i gang serveren i Plan B sitt datasenter på 15 minutter når det oppstår en data katastrofe eller uventet nedetid i virksomheten. SecPoint : Online sikkerhetssjekk av alle virksomhetens IT objekter som vises ut mot Internett. Software lastes også ned fra operatørsenteret i skyen for å sikkerhetsscanne objekter i det interne nettverket. Om Egil Løseth Egil Løseth har mer en 20 års erfaring med Internettsikkerhet i Norge, gjennom IT sikkerhetsdistributørene Trygg Data og SaaS Security. Mer info på http://www.saassecurity.no, www.egress.com og post@saassecurity.no SaaS Security as Utarbeidet av Egil Løseth. Videre bruk av tekst eller delere av tekst i kommersielt formål er ulovelig uten skiftelig avtale. For bruk i presse/media må kilde oppgis.