View Categories

Säker e-post (och varför du behöver det)

3 min read

Även om en mängd nya sätt att kommunicera har lanserats de senaste åren är e-post fortfarande det mest förekommande sättet att kommunicera digitalt. I olika undersökningar världen över anger mer än 90% av de tillfrågade att man föredrar e-post som främsta kommunikationskanal.

Samtidigt som e-post fortfarande är det absolut mest använda sättet att kommunicera digitalt är säkerheten och anonymiteten usel. Men det finns hjälp att få.

Samtidigt kan man konstatera att säkerheten och anonymiteten i e-post fortfarande är direkt usel. Även om de stora aktörerna succesivt inför olika typer av ökad säkerhet så är den absoluta majoriteten skickad e-post i princip helt oskyddad.

Orsakerna till detta är dels en komplex och ofta dyr teknik bakom skyddet som många har svårt att ta till sig, dels handlar det krasst om pengar.

Företag och organisationer som har det största behovet och är de mest pådrivande står samtidigt för endast ca 25% av e-post kontona, vilket påverkar utvecklingen på både gott och ont. Den tekniska utvecklingen drivs framåt men till en, för framför allt mindre organisationer och privatpersoner, alltför för hög kostnad.

Något som ytterligare komplicerar det hela är de alltmer ökande myndighetskraven om att inte bara att skydda integritet och annat genom tex GDPR o dyl, utan också att myndigheterna skall få access till e-post “vid behov”.

Ett helt säkert system använder End-To-End kryptering där e-post meddelandet (inklusive bilagor) krypteras i den avsändande e-postklienten och dekrypteras i den mottagande e-postklienten. Meddelandet skall, även om det är krypterat, också transporteras och lagras på ett säkert sätt.

Nackdelen med denna lösning är att alla meddelanden alltid är krypterade i systemen och därför svåra att göra sökbara eller administrera på olika sätt. Det är i regel också omöjligt att dekryptera alla meddelanden om tex krypteringsnycklarna tappas bort.

Det blir därför allt vanligare att använda två parallella e-postsystem; ett med hög säkerhet men utan E2EE för den vanliga e-posten (@mindomain.com), och ett E2EE system på en subdomän (@secure.mindomain.com) för den grupp i organisationen som har behov av extra känslig kommunikation.

Vanlig (osäker) e-post kan bli läst av alla som kan fånga upp meddelandet under transporten genom systemen. Krypterade tunnlar mellan servers är inget krav.
All vanlig e-post hanteras via mindomain.com
Ett E2EE krypterat e-postmeddelande krypteras redan i e-postklienten, sänds genom krypterade tunnlar till mottagaren som dekrypterar meddelandet i sin klient.
Känslig e-post och webformulär hanteras via secure.mindomain.com

I vissa lösningar, som tex ProtonMail som vi samarbetar med, används en lokalt i den egna datorn installerad proxy mellan ProtonMails e-postsystem och den lokala e-postklienten. Proxyn sköter kryptering och dekryptering och den vanliga e-postklienten, tex MS Outlook, kan alltså hantera även känslig e-post på samma sätt som övrig e-post utan knepiga extra åtgärder.

Kompletterande E2EE e-post med ProtonMail Bridge som proxy mot den vanliga e-postklienten.
Kompletterande E2EE e-post med ProtonMail Bridge som proxy mot den vanliga e-postklienten

Detta upplägg är inte bara enkelt att använda och administrera, utan också förvånansvärt kostnadseffektivt.

Det går också alldeles utmärkt att kombinera E2EE e-post med säkra och anonymiserade webbformulär. Något som tex krävs i det nya sk “visselblåsardirektivet” som berör alla företag med över 50 anställda eller kommuner med 10 000 eller fler innevånare. Meddelandet krypteras redan i webbformuläret i webbläsaren och sedan sänds via E2EE e-post systemet.

Alla företag och organisationer borde använda E2EE e-post och webbformulär som komplement för att lyckas uppfylla dagens krav på sekretess och även anonymitet. Det är varken svårt eller dyrt med de lösningar vi erbjuder.

Rulla till toppen