• No results found

Anvisningar om skyddad elektronisk kommunikation

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Anvisningar om skyddad elektronisk kommunikation"

Copied!
14
0
0

Loading.... (view fulltext now)

Download now ( 14 Page )

Full text

(1)

Anvisningar om skyddad

elektronisk kommunikation

(2)

Innehållsförteckning

Anvisningar om skyddad elektronisk kommunikation ... 3

Tillförlitlighet, integritet och tillgänglighet ... 4

Goda praxis ... 6

Att välja ett lösenord ... 6

Vilka uppgifter för vilken tjänst? ... 6

Tillräcklig informationssäkerhetsnivå i program ... 6

Skyddad konfidentiell information ... 6

Säkerhetskopior och förvaring av dem ... 6

Mest använda tjänster, hot vid användningen av dem och skydd mot hoten .. 7

Telefonitjänster ... 7

Internettjänster ... 7

Internetförbindelser ... 10

Trådlösa internetförbindelser hemma ... 10

Offentliga internetförbindelser ... 10

Mobilförbindelser ... 10

Användning av datormobiler ... 11

Beakta telefonens användningsändamål ... 11

Att börja använda en datormobil ... 12

Användning av kommunikationstjänster utomlands ... 13

(3)

Anvisningar om skyddad elektronisk kommunikation

Alla som använder internet har skäl att överväga i vilken mån egen

kommunikation behöver skyddas. När man bedömer detta kan man t.ex.

begrunda vem som kunde ha nytta av innehållet i kommunikationen.

Det är möjligt att vid behov kryptera meddelanden som innehåller konfidentiell in- formation. Om konfidentiella meddelanden inte kan skyddas, lönar det sig att säker- ställa att datakommunikationsförbindelsen är skyddad. Om man inte är säker på skyddsåtgärder, lönar det sig att låta bli med konfidentiella diskussioner.

Det är bra att komma ihåg att lagstiftningen i Finland skyddar konfidentiell kommuni- kation som förmedlas i finländska informationsnät, men den kan inte garantera konfi- dentiell kommunikation i utländska kommunikationstjänster eller utanför Finlands gränser. Det faktum att tjänsten fungerar på finska garanterar inte att tjänsten har producerats i Finland eller att finländsk lagstiftning används vid behandlingen av upp- gifterna.

I den här anvisningen finns närmare information om hot angående användningen av internet och också telefon vid konfidentiell kommunikation samt anvisningar för kryp- tering av kommunikation.

Alla borde överväga:

1. vad man kommunicerar

2. vem man kommunicerar med 3. vilka medel man använder för att

kommunicera

(4)

Tillförlitlighet, integritet och tillgänglighet

För att trygga elektronisk kommunikation lönar det sig att fundera på frågor med tanke på informationens tillförlitlighet, integritet och tillgänglighet. Med tillförlitlighet avses att meddelanden är åtkomliga endast för dem som har rätt att läsa dem. Med integritet avses säkerställandet av att meddelandets innehåll inte obehörigen har änd- rats och att de system som används för kommunikationen fungerar så som de ska.

Med tillgänglighet avses att information eller en tjänst är tillgänglig då den behövs.

Tillförlitlighet är den viktigaste frågan t.ex. vid förmedling av information som inne- håller personuppgifter eller hantering av företagshemligheter i kommunikationssy- stem.

Den viktigaste egenskapen vid nätbankärenden är integritet: användaren kan lita på att nätbankwebbplatsen är äkta och att det är tryggt att sköta sina ärenden på webb- platsen. Se mer: Video om trygg e-handel(på finska).

Vid offentlig kommunikation kan tillgänglighet vara den viktigaste frågan, dvs. att meddelandet är lättillgängligt för alla. Kryptering av kommunikation kan förbättra in- formationens tillförlitlighet men den kan försvaga tillgång till kommunikationen. När man funderar på skyddad kommunikation borde man faktiskt bedöma vilka av dessa tre frågor är de viktigaste och välja skyddsmetoderna enligt dem. Nedan finns exem- pel på skyddsmetoder. Med hjälp av metoderna presenteras det skydd som kan nås när det gäller tillförlitlighet, integritet och tillgänglighet.

Åtgärd Tillförlitlighet Integritet Tillgänglig-

Skyddad e-post Förbättrar Ingen påverkan Försvagar het Elektroniska signaturer Ingen påverkan Förbättrar Ingen påver- Användning av bra lösen- kan

ord/ PIN-koder Förbättrar Ingen påverkan Försvagar Senaste uppdateringar för

program Förbättrar Förbättrar Förbättrar

Öppenhet av WLAN-nät Försvagar Försvagar Förbättrar Kryptering av information

eller hela hårdski- van/minnespinnen

Förbättrar Ingen påverkan Försvagar

Användning av de vanlig-

aste molntjänsterna Försvagar Ingen påverkan Förbättrar WPA 2-kryptering av WLAN-

nät Förbättrar Ingen påverkan Ingen påver-

kan

(5)

Bedöm behov av skydd

1. Tänk på vilka uppgifter du sänder, lagrar eller delar i de tjänster som du an- vänder.

2. Överväg på basis av uppgifternas känslighet om det är nödvändigt att skydda uppgifterna. Ibland kan det vara viktigare att information finns lätt att tillgå och att den kan delas lätt. Då kan användning av starka skyddsmetoder försvåra smidig fördelning av information.

3. Välj eller kontrollera enligt den använda tjänsten en lämplig skyddsmetod, om det är väsentligt att skydda informationen. Det finns flera skyddsmetoder på olika nivåer för olika ändamål.

En utomstående person kan vara intresserad av t.ex.:

• lokaliseringsuppgifter

• personuppgifter

• kontakt- och kommunikationsuppgifter

• bankuppgifter

• bilder

• filer

• arbetsmaterial

• de använda programmen och utrustningarna

• användarnamn och lösenord

• webbläddring.

(6)

Goda praxis

Att välja ett lösenord

Det lönar sig att använda olika lösenord i olika tjänster. Särskild uppmärksamhet borde fästas vid val och förvaring av användarnamn och lösenord till viktiga tjänster.

Det är rekommendabelt att utnyttja tjänstens eventuella tilläggscertifiering. Då behö- ver användaren utöver ett lösenord också en verifikationskod för att logga in sig i tjänsten. Verifikationskoden kan skickas t.ex. till användarens mobiltelefon. Du an- vända lösenordstjänster och -program för att lagra lösenord till sådana tjänster som är mindre viktiga för dig.

Anvisningar om hur man väljer ett bra lösenord (på finska)

Vilka uppgifter för vilken tjänst?

Överväg noggrant vilka uppgifter om dig själv du anger i tjänsten. Vid bedömning av skyddsbehovet lönar det sig att anta att det är möjligt att tränga in i alla system och det kan finnas sårbarheter i systemen som kan utnyttjas. Det kan vara nästan omöj- ligt att få bort sådana uppgifter som en gång har läckt ut på nätet.

Tillräcklig informationssäkerhetsnivå i program

Ta hand om att programmen i datorn och mobiltelefonen uppdaterats regelbundet.

Användarnamn och lösenord hamnar ofta i orätta händer via ett skadligt program.

Installera i din dator och mobiltelefon endast sådana program som du behöver. Före- dra kända distributionskanaler och tillverkarens webbplatser. Vissa webbplatser före- slår inställning av program. Godkänn inte inställningen om du inte behöver program- met.

Skyddad konfidentiell information

Det lönar sig att kryptera datorns hårddisk och använda säkerhetskoder i mobiltelefo- nen om utrustningen förkommer. För att kryptera hårddisken kan man använda t.ex.

TrueCrypt-programmet. För att kryptera filer och e-postmeddelanden kan man an- vända GPG/PGP-program. Ett annat alternativ är att använda ett separat krypterande lagringsmedium, t.ex. ett usb-minne.

Krypteringslösningar som den nationella informationssäkerhetsmyndigheten NCSA-FI har godkänt (på finska)

I nyare mobiltelefoner är det ofta möjligt att ta i bruk

kryptering av uppgifter. Krypteringen kan också vara automatiskt aktiverad om

mobiltelefonens säkerhetskoder har tagits i bruk. Det lönar sig att ta i bruk också tömning av uppgifterna i mobiltelefonen på distans.

Säkerhetskopior och förvaring av dem

Det lönar sig att regelbundet ta säkerhetskopior av data om utrustningarna förkom- mer och går sönder. Förvaringsplatsen ska övervägas noggrant. Det lönar sig att kryptera säkerhetskopior i synnerhet om de förvaras eller överförs på internet.

(7)

Mest använda tjänster, hot vid användningen av dem och skydd mot hoten

Telefonitjänster

Mobiltelefon (tal, sms, MMS)

Samtalstrafiken i mobilnätet går i Finland, då uppringaren och mottagaren har fin- ländska abonnemang och båda är i Finland under samtalet. Då iakttas finländska lagar i kommunikationen. Vid samtal till utlandet, då den andra parten vistas i utlandet eller använder ett utländskt abonnemang, kan också tillämpas lagar i mål- och transitlän- der för samtalet.

Text- och multimediemeddelanden routeras inom Finland, då avsändaren och motta- garen är i Finland.

Krypterad förbindelse: Samtalen i mobilnätet är krypterade mellan telefonen och basstationen.

Krypterat nummer: Eget telefonnummer kan vara hemligt då numret inte förmedlas till mottagaren. I samband med text- och multimediemeddelanden visas även hemliga nummer i meddelandenas avsändaruppgifter.

Internettjänster

Tjänster som tillhandahålls på internet kan användas genom såväl ett fast bredbands- nät som ett trådlöst näts dataförbindelser. Nätets konstruktiva genomförande sker i Finland men de server som används för att producera nättjänster och webbplatser kan vara belägna utanför Finlands gränser.

Webbläddring

Till exempel: Nyhetstjänster, sökmotorer

Då man sköter sina ärenden på nätet lämnar man ett spår om sig själv och de inma- tade uppgifterna på de besökta webbplatserna. Exempel på de uppgifter som lagras är sökord, besökta webbplatser och bläddringshistoria. Dessutom ber flera webbplatser servern att lagra i minnet kakor om de uppgifter som användaren har matat in så att bläddrande på webbplatsen skulle vara smidigt för användaren.

Nättrafik är internationell: I Finland är det inte tillåtet att lagra uppgifter användar- specifikt utan användarens samtycke men däremot är det tillåtet är göra allmän sta- tistik över webbplatsbesök och de inmatade uppgifterna. Det ska beaktas att en bety-

(8)

ningarna. Du kan också förbjuda användning av kakor men det kan försvåra eller till och med hindra bläddring av vissa webbplatser.

Kart- och navigeringstjänster

Till exempel: Google Maps, Nokia Here Maps

Kart- och navigeringstjänster är skräddarskydda tjänster för positionsuppgifter. Dessa tjänster används då användaren vill veta positionen för ett mål, sin egen position eller en rutt med hjälp av önskade mål. Uppgifter om positionssökningar lagras i tjänstele- verantörens system. Även flera andra webbplatser och -tjänster ber om användarens positionsuppgifter i samband med sidoladdningar för att presentera områdesspecifik information, såsom väderprognoser samt information om områdets evenemang och tjänster, på webbplatserna.

Att begränsa positionsuppgifter: Användaren kan definiera genom tjänstens eller ut- rustningens inställningar att positionsuppgifter inte lämnas ut automatiskt. Vid an- vändning av navigeringstjänster kan sändning av positionsuppgifter hindras genom att ladda ned kartorna i utrustningen. Då måste användaren själv uppdatera uppgifterna regelbundet.

Sociala medier

Till exempel: Facebook, Twitter, Instagram, diskussionsforum

Det är rekommendabelt att bekanta sig med dataskyddspraxis för de sociala medier- nas tjänster före användningen av tjänsterna och den kommunikation som behöver skyddas. Man ska komma ihåg att totalt ta bort uppgifter som en gång har publice- rats. Man ska använda bra lösenord i tjänsterna för att skydda identiteten. Då uppgif- ter matas in lönar det sig att beakta att de inmatade uppgifterna kan vara åtkomliga även för personer utanför målgruppen. Tjänsterna i de sociala medierna lämpar sig inte i regel för förmedling av konfidentiella uppgifter.

Snabbkommunikationsmedel Till exempel: Skype, Messenger

Snabbkommunikationsmedel möjliggör att två elle flera personer kan kommunicera med varandra i realtid. Om du inte är säker på att snabbkommunikationsprogrammet använder kryptering eller vem som kan läsa det meddelande du skickar, ska du inte skicka konfidentiell information.

E-posttjänster

Till exempel: Gmail, Hotmail, Luukku, Yahoo, Suomi24, e-posttjänster som levereras i samband med ett bredbandsabonnemang

Vid e-postkommunikation ska beaktas att förbindelsen är skyddad. Dessutom lönar det sig att vid behov kryptera meddelanden eller bilagor som innehåller konfidentiell information. Informationen om meddelandets mottagare kan inte krypteras eftersom den används på nätet för att överföra meddelandet till mottagaren. Det är rekom- mendabelt att bekanta sig med dataskyddspraxis för tjänsten före användningen av den. Det lönar sig också att kontrollera praxis för kommunikation som behöver skyd- das.

(9)

Skyddad förbindelse: Använd en skyddad förbindelse i ditt e-postprogram i enlighet med e-posttjänsteleverantörens anvisningar. En skyddad förbindelse definieras i e- postprogrammets förbindelseinställningar. En skyddad förbindelse förhindrar att med- delanden mellan datorn och e-postservern kan avlyssnas.

Vid användning av serverns e-post (t.ex. webmail-tjänster, Gmail, Google) kontrollera att e-postprogrammet är SSL-skyddat. SSL-skyddet krypterar innehållet i trafiken mellan din dator och webbplatsens server och hjälper till att verifiera webbplatsens äkthet. På webbplatsen används SSL-skyddet om låssymbolen som anger detta är stängd och adressen börjar med https://.

Skyddat innehåll: Innehållet i ett e-postmeddelande kan krypteras genom att använda en separat krypteringsmetod. Du måste komma överens om krypteringssättet med mottagaren. I de flesta fall måste mottagaren använda samma krypteringsprogram för att dekryptera meddelandet eller känna till det lösenord som använts vid krypte- ringen. Vid kryptering av meddelandets innehåll kan man t.ex. använda program som är avsedda för att skydda e-post, såsom PGP (Pretty Good Privacy).

Molntjänster

Till exempel: Dropbox, Skydrive

Molntjänster används generellt för att förvara information, t.ex. säkerhetskopior, och att smidigt dela stora datamängder, såsom fotoalbum.

Vid användning av molntjänster lönar det sig att fästa uppmärksamhet på val av lö- senord, skyddad förbindelse och att skydda innehåll som anses vara konfidentiellt el- ler känsligt.

Skyddat innehåll: De konfidentiella filer (bilder, videor, dokument) som lagras i moln- tjänster kan krypteras före överföringen av filerna för att öka säkerhet.

Nätbutiker och -banker Till exempel: Amazon, Ebay

Vid förmedlingen och inloggningsuppgifterna av nättjänsters betalningsrörelse förmed- las ofta betalningsmedel- och personuppgifter som borde endast skickas via en skyd- dad internetförbindelse.

Skyddad förbindelse: Kontrollera alltid innan du matar in konfidentiella uppgifter att det på sidan används SSL-skyddet. SSL-skyddet krypterar innehållet i trafiken mellan

(10)

Internetförbindelser

Trådförbindelser är i regel alltid tryggare än trådlösa förbindelser. Således är det re- kommenderat att använda trådförbindelser, särskilt i hemmabruk. Många utrustningar kan dock anslutas till internet endast över trådlösa förbindelser.

Trådlösa internetförbindelser hemma

Internetförbindelsen hemma har oftast genomförts med en ADSL- eller kabelförbin- delse som liknar en bredbandsförbindelse. Vanligt för dessa förbindelsetyper är att förbindelsen delas trådlöst med en WLAN-basstation t.ex. så att hela hushållet kan använda förbindelsen.

Trafiken som sker via egen WLAN-basstation ska skyddas så att:

1. trafiken som går via stationen kan inte direkt avlyssnas och

2. anslutning till den är omöjligt utan ett lösenord. För tillfället rekommenderas det att använda WPA2-kryptering (Wi-Fi Protected Access 2).

Anvisningar för informationssäkerheten av trådlösa lokalnät (på finska)

Offentliga internetförbindelser

De vanligaste offentliga internetförbindelser är de s.k. WLAN-näten som har en okryp- terad förbindelse. Öppna nät finns t.ex. på flygstationer, kaféer, köpcentra och andra offentliga lokaler.

Vem som helst kan koppla sig till ett WLAN-nät, och vem som helst kan då avlyssna och lagra datatrafik som överförs via förbindelsen, om de tillämpningar som används inte krypterar trafiken. Det vanligaste exemplet på kryptering som tillämpningen an- vänder är https som nätbankerna använder.

Många offentliga öppna WLAN-nät kräver en separat inloggning genom webbplatsen före förbindelsen uppkopplas. Inloggning i ett öppet nät krypterar dock inte trafiken.

Användarna av ett öppet WLAN-nät ska säkerställa av nätoperatören uppgifterna och användningsvillkoren för det nät som används.

Mobilförbindelser

Dataöverföring som sker i mobiltelefonnäten mellan basstationen och mobilutrust- ningen är krypterad i Finland.

(11)

Användning av datormobiler

En datormobil används för samtal samt för att utnyttja internettjänster. De allmänna inställningarna för kommunikation görs då mobilen tas i bruk. Tjänsterna används främst med hjälp av applikationer som laddas ner till datormobilen. De flesta applikat- ionerna förutsätter att användaren ger sitt samtycke till exempel för användning av nättrafik eller lokaliseringsuppgifter. Flera applikationer använder molntjänster för att lagring av applikationsinformation eller säkerhetskopiering.

Allmänna principer

• En användare kan sätta upp allmänna rättigheter för kommunikation i telefo- nens operativsystem då han eller hon tar telefonen i bruk.

• Användaren kan ändra uppsättningarna senare.

• Vid installation av applikationen godkänner eller förkastar användaren applikat- ionens rättigheter för kommunikation.

• Om användaren inte godkänner de rättigheter som applikationen kräver, kom- mer en del av applikationerna inte att fungera eller alla applikationsegenskaper inte att vara tillgängliga.

Beakta telefonens användningsändamål

Det lönar sig att fundera på vilket ändamål man använder telefonen för och hur käns- lig information man behandlar med telefonen när man tänker på rättigheterna för den information telefonens operativsystem och tillämpningar förmedlar. I vissa arbetsupp- gifter kan det vara skäl att begränsa den nättrafik eller de lokaliseringsuppgifter som telefonen förmedlar. Begränsningarna kan dock minska användningsmöjligheterna för en datormobil som används för basfunktioner. Till exempel följande applikationer be- höver vissa användningsrättigheter för att kunna fungera:

• Applikationer som berättar om tjänster som finns tillgängliga i närheten av tele- fonen behöver användarens lokaliseringsuppgift för att kunna fungera.

• Applikationer som är avsedda för att hålla kontakt kan utnyttja kontaktinform- ationen i telefonkatalogen, och de behöver inte lagras för varje applikation.

Det finns ändå en möjlighet att lokaliseringsuppgifterna eller telefonkatalogen förmed- las och lagras också på servrar för den som underhåller applikationen. Arbetsgivarna ska tänka på saken och vägleda personalen vid användningen av datormobiler i ar- betsbruk. Arbetsgivarna kan bland annat göra anvisningar om de inställningar som behövs när telefonen tas i bruk, i enlighet med organisationens informationssäker- hetspolicy, och vägleda personalen i principerna om att använda telefonen.

(12)

Datormobilerna kan också be om godkännande för följande ändamål:

• Överföring av information om uppföljning av reklam

• Överföring av information om användning av tangentbord eller användningser- farenhet för att förbättra tjänsten

• Sändning av uppgifter om WLAN-basstationer

• Sändning av uppgifter om mobilnätets basstationer

• Automatiska uppdateringar

Att börja använda en datormobil

För att kunna använda en datormobil ska man öppna ett användarkonto till program- tillverkarens tjänst. Kontot används för att ladda ner telefonens uppdateringar och applikationer från tillverkarens applikationsbutik. Samma konto kan också vara kopp- lat till andra tjänster, såsom e-post. En tjänsteleverantör kan i sin egen tjänst kombi- nera den information den fått från samma konto med annan information från samma tjänsteleverantörs tjänster. Det lönar sig att aktivera ytterligare auktoriseringsåtgär- der för inloggning på användarkontot. Under avsnittet Goda praxis finns ytterligare information om att välja ett lösenord.

Då en datormobil tas i bruk är det också möjligt att installera tjänster som hänför sig till positionering, till exempel positionsbestämning av en stulen telefon. Det är skäl att bedöma informationssäkerhetsriskerna för dessa tjänster fall för fall.

Det lönar sig att aktivera automatiska programuppdateringar, med beaktande av eventuell spärr av uppdatering då man använder datormobilen i utländska mobilnät (roamingkostnader).

Mer information om användning av applikationer i avsnittet Mest använda tjänster, hot vid användningen av dem och skydd mot hoten.

(13)

Användning av kommunikationstjänster utomlands

Finländska leverantörer av kommunikationstjänster, såsom leverantörer av e- posttjänster ska sörja för sina kommunikationstjänsters tillförlitlighet, integritet och tillgänglighet. I alla länder garanterar lagstiftningen inte ett lika ovillkorligt skydd av- seende elektronisk kommunikation som i Finland. Finländska myndigheter kan inte garantera att de kommunikationstjänster som utländska teleföretag tillhandahåller är informationssäkra eller fungerar tillförlitligt.

T.ex. att ringa med mobiltelefon utomlands garanterar inte kommunikationens tillför- litlighet, även om det finns ett finländskt teleföretags SIM-kort i telefonen. Samma gäller också användning av en e-posttjänst som ett finländsk teleföretag tillhandahål- ler, eftersom då används en internetförbindelse som ett utländskt teleföretag tillhan- dahåller.

(14)

Kontaktuppgifter PB 313

Östersjögatan 3 A 00181 Helsingfors Telefon: 0295 390 100 Telefax: 0295 390 270

www.kommunikationsverket.fi

References

Download now ( PDF - 14 Page - 561.56 KB )

Related documents

Misstanke om hot & våld - anvisningar

Socialtjänsten har ett lagstadgat ansvar att ge stöd och hjälp till brukare som utsätts för våld eller andra övergrepp.. Om personen inte kan ta dessa kontakter själv och

Anvisningar. 1 Anvisningar

• För att undvika överhettning får apparaten inte installeras bakom dekorationsluckor eller luckor med panel.. • Den elektriska anslutningen ska utföras av

Allmänna anvisningar för användningen av PX-Web-Statfin-tjänster

– Du kan välja att visa tabellen på skärmen eller också kan du välja överföringsformat, om du vill att tabellen skall ha fler rader eller kolumner än vad som kan visas

Elektronisk kommunikation vid

• För både fasta och mobila nät är tillgången till drivmedel transporter och personal centrala för drivmedel, transporter och personal centrala för att kunna hantera

Revidering av anvisningar för finansverksamhet i Eskilstuna kommun samt bilaga med finansiella anvisningar

Internbanken kan låna ut till majoritetsägda bolagen samt göra transaktioner i räntederivat med dessa. Ränterisken i kommunen uppstår till följd av extern upplåning,

Internet. 60 Information och kommunikation

Det finns människor som vill använda internet i kriminella syften, till att vara elaka eller bara till att kontrollera

ALLMÄNNA ANVISNINGAR INFORMATION

Tillåtna hjälpmedel skall specificeras noggrant; tabeller och böcker skall listas med författare och titel, begränsningar i typ av räknare skall anges. Om endast viss typ av

Information och kommunikation

Internrevisionen rekommenderar universitetsledningen att införa åtgärder för att tydliggöra vilken roll avdelningen för kommunikation och externa relationer har avseende samordning av