WHITEPAPER
Hur väljer man rätt lösning
för säker e-post?
Detta behöver du veta ...
Hur säkra är e-postmeddelanden?... 1
Del ett: användarvänlighet ... 4
Del två: medvetande ... 5
Del tre: regleringar och säkerhet... ... 6
Del fyra: integrering med tredje parter... 7
Checklista: användbar översikt över funktioner att jämföra... 8
Innehållsförteckning
E-post är som ett vykort: utan ett kuvert som skyddar det passerar det ett antal händer och ögon innan det når sin destination;
Om data inte är krypterad finns alltid risken att den kan ses av obehöriga som fångar upp den;
Till skillnad mot vad många tror kommer det största hotet inifrån: de anställda. 51% av dataöverträdelserna orsakas av den mänskliga faktorn, delades informationen helt enkelt med fel person;
Alla känner inte till vilka personliga uppgifter som kan utgöra en risk och hanterar dem inte alltid med den varsamhet som krävs.
DETTA BEHÖVER DU VETA
Några saker innan du fortsätter
E-post är populärt för företagskommunikation, men det är inte en säker lösning. Tiden då ett starkt lösenord kunde hålla otillåtna ögon borta från inkorgen är sedan länge förbi. Faktum är att det numera finns ett antal hot under hela mejlprocessen, vilket innebär att ett säkert utbyte av data och information inte är självklart.
Detta beror på att:
Extra säkerhet för känsliga uppgifter är därför en nödvändighet. E- postsäkerhet tacklar de olika datasäkerhetsfrågor som finns.
Användarvänlighet, Medvetande,
Lagar och regleringar,
Integrering med tredje parter.
II detta dokument fokuserar vi på de pelare som är centrala inom e-postsäkerhet:
Dessutom listar vi frågor som du kan ställa till leverantören, för att filtrera ut de säkerhetslösningar som bäst möter din organisations behov.
WHITEPAPER | Hur väljer man rätt lösning för säker e-post?
HUR SÄKRA ÄR E-
POSTMEDDELANDEN?
Miljarder mejl skickas varje dag. Från olika enheter och från olika e-
posttjänster. Vi vidarebefordrar ofta mejl mellan andra aktiviteter. ”Svara snabbt på det där mejlet från kunden” eller på slutet av dagen, ”Skicka den senaste kunddatan till kollegan innan helgen”.
Men utan att vi inser det lurar faror alltid runt hörnet. Vi vet ofta inte hur pass värdefulla vissa uppgifter kan vara. Eller, vi vet, men har inte
möjligheten att skicka uppgifterna på ett säkert sätt. Och det måste det ändras på.
För när allt kommer omkring, hur pass säkert är det egentligen att skicka känsliga uppgifter via mejl? Tänk på riskerna:
• Att dela informationen med fel person genom att skicka mejlet till fel person;
• Uppsnappad data av cyberkriminella, för att du skickar ett mejl från ett oskyddat nätverk;;
• Åtkomst till din inkorg, på grund av stulna inloggningsuppgifter. Om det finns viktiga meddelanden i inkorgen, till exempel sådant som inte är skyddat av tvåfaktorsautentisering, då är risken stor att obehöriga kan komma åt de
känsliga uppgifterna.
Organisationer som inte bemöter det här i tid är under ett konstant hot att uppleva dataläckor varje dag, med tanke på hur pass många mejl som skickas dagligen och alla anställda som enkelt kan dela känsliga uppgifter.
293,6
miljarder mejl skickade i världen
E-POST: SIFFROR 2019
4
miljarder användare av e-post i världen
121
mejl som en anställd fick i genomsnitt per dag
källa: Campaign monitor
DEL ETT: ANVÄNDARVÄNLIGHET
Du som tänker på mejlsäkerhet kanske inte omedelbart ser kopplingen till
användarvänlighet. Om något är tillräckligt säkert måste det fungera, eller hur? Inte direkt:
i slutändan är det dina anställda som kommer att arbeta med mejllösningen.
I praktiken visar det sig ofta att arbetsprocesser som upplevs som irriterande inte fungerar väl. Med andra ord är risken att lösningen inte används som den ska om den inte är användarvänlig.
Ett exempel: kollegan som ignorerar arbetsprocesser
Tänk dig att du har en e-postlösning med den bästa inbyggda säkerheten. I teorin är systemet vattentätt, förutsatt att alla protokoll och processer följs. I praktiken är detta dock inte självklart eftersom det inte finns någon garanti för att alla följer
arbetsprocesserna. En anställd som är mindre teknisk av sig kan ignorera dessa
protokoll för att de upplevs som tidsödande. Resultatet blir att samma anställda arbetar på ett oskyddat sätt, trots att lösningen för att arbeta skyddat finns där.
Användarvänlighet är därför en av pelarna när det kommer till säker kommunikation. Det sista du vill är att köpa en tjänst och ändå ha en ökad risk för att dataläckor sker.
Vad kommer mina anställda att märka för skillnad i och med den säkra mejllösningen inom nuvarande arbetsprocesser?
Hur pass mycket längre tid tar det att säkra ett mejl och skicka det på ett skyddat sätt?
Kan man arbeta på olika enheter eller är det bara möjligt att mejla från datorn?
Kan man arbeta från en och samma miljö eller innebär lösningen en separat app som måste installeras och uppdateras?
Hur är den övergripande användarvänligheten i lösningen: är det ”plug and play”?
Måste man logga in varje gång eller är det möjligt med en enstaka inloggning?
Hur lång tid tar det att implementera lösningen?
Hur enkelt är det at hantera mejllösningen inom organisationen?
Hur skickas stora filera som till exempel patientjournaler både enkelt och säkert?
HUR ANVÄNDARVÄNLIG ÄR LÖSNINGEN?
Frågor till leverantören:
WHITEPAPER | Hur väljer man rätt lösning för säker e-post?
Som användare, informeras man om hur känsliga uppgifter ska behandlas redan när meddelandet skapas?
Är det möjligt att få en notifikation när känsliga uppgifter bearbetas inom min sektor?
Användaren kan således uppmärksammas på processerna kring känsliga uppgifter.
Kan filer kontrolleras innan de skickas för att undvika att fel fil skickas av misstag?
Är det även möjligt att kontrollera mottagarna så att det alltid är rätt person det kommuniceras med?
Kan en felskickad fil, bifogat dokument eller mottagaren blockeras i efterhand?
Kan en viss säkerhetsnivå anges av organisationen?
Inom vissa sektorer kan det vara önskvärt att alltid skicka en viss typ av innehåll på ett skyddat sätt. En påtvingad policy kan således vara till hjälp: den säkra mejllösningen aktiveras automatiskt utan att användaren behöver göra något.
HUR TACKLAS MEDVETANDE?
Frågor till leverantören:
Tänk på ordet “patientjournal” inom hälsovård, eller ”SSN” inom myndigheter, eller det 16- siffriga numret på kreditkort inom finanssektorn.
DEL TVÅ: MEDVETANDE
51% av alla dataläckor berodde på den mänskliga faktorn: att data skickades till fel person. Inte med flit, utan för att olika faktorer kan leda till att vi av misstag delar uppgifter med fel personer. Detta kan få allvarliga konsekvenser.
Och rätt ska vara rätt, vi kan alla konfronteras med det då och då: externa faktorer som gör oss lite mindre koncentrerade än vanligt. En person kan ha läst fel på mottagarens mejladress på grund av trötthet, medan en annan kan ha valt och skickat fel fil på grund av ouppmärksamhet.
För att förebygga mänskliga fel är det viktigt att göra användaren uppmärksam när mejlet skapas. Integrerat medvetande kan vara lösningen här. För de som lätt gör misstag kan varningssignaler och notifikationer vara en stor hjälp.
Ett exempel: kollegan som har mycket att göra och väljer fel mottagare
Johan vill skicka ett antal saker till en kollega före helgen, för en smidig övergång. Han väljer flera filer som innehåller hälsovårdsuppgifter om en patient. Han skriver sedan meddelandet och kollegans mejladress.
Det var åtminstone det han hade tänkt sig. I all hast valde han den första ”Sara” som autoifyllnaden föreslog. Utan att dubbelkolla om det verkligen var rätt Sara skickar han mejlet och tror att han nu kan njuta av helgen. Men inget kunde vara mer fel: det var inte hans kollega Sara, utan blombudet Sara som han skickade mejlet till.
Utan att inse det delade Johan extremt känsliga uppgifter med en obehörig person.
DEL TRE: REGLERINGAR OCH SÄKERHET
Vad gäller dataskydd finns ett antal lagar och regleringar. Leverantören av en tjänst eller lösning för säkra mejl måste därför leva upp till dem. Inte bara genom att
erbjuda en tjänst som är i linje med dessa regleringar, utan även genom att vara certifierade som organisation för att bevisa pålitligheten.
Både inom och utanför Europa finns regleringar som ställer krav på säkert utbyte av personliga uppgifter. I vissa fall rör det sig om undantag till garantin om datasäkerhet.
Här är en överblick:
GDPR
Inom Europa gäller GDPR, den europeiska regleringen om behandling av personliga uppgifter inom EU. Handlingen utgör en standard där rättigheter till skydd å ena sidan stärks och utökas, och organisationers ansvar å andra sidan ökar.
CLOUD Act
Till skillnad från standard ovan säger CLOUD Act att myndigheter har rätt att komma åt lagrade data utan tillstånd. Detta innebär att data som, till exempel, har skickats via en säker router fortfarande måste vara tillgänglig på servrar på begäran.
Lever leverantören upp till GDPR?
Finns det ISO-certifieringar, såsom ISO 27001:2017?
Lever leverantören upp till alla obligatoriska principer i NTA 7516, och lever lösningen därför upp till standarden?
Hur kan leverantören hjälpa mig som organisation att leva upp till NTA 7516, som exempel?
Används kryptering från början till slut utan nödvändig kunskap?
Hur skickas uppgifterna? Genom vilken säker anslutning sker det?
Lever leverantören upp till riktlinjerna i CLOUD Act? Med andra ord: om myndigheterna kräver det, ger leverantören tillgång till uppgifterna?
Vad händer med mina lagrade data om jag byter leverantör?
HUR OCH UNDER VILKA LAGAR ÄR DATA SKYDDAD?
Frågor till leverantören:
WHITEPAPER | Hur väljer man rätt lösning för säker e-post?
Vilka integrationer är möjliga?
Med tillräckligt stöd från marknaden, kan nya integrationer bli möjliga i framtiden?
Finns det en API att integrera med?
Används även en SMTP Relay-tjänst för säker mejlkommunikation i bakgrunden?
Hur mycket tid tar det att bryta ner integrationer?
Vilken säkerhet används för SMTP Relay-tjänsten?
Är det möjligt att mejla säkert från en annan mejlklient än Outlook?
Kan jag även arbeta från andra enheter än datorn?
HUR ÄR INTEGRATIONER MÖJLIGA?
Frågor till leverantören:
System fungerar tillsammans på ett effektivt sätt, och båda systemen kan läsa data. Detta ser till att uppgifter alltid är uppdaterade;
Nya företagsmodeller och sammarbetan skapas snabbare;
Detta sparar tid och pengar. Utvecklare behöver inte börja från början när de skriver kod: detta
DEL FYRA: INTEGRERING MED TREDJE PARTER
Många organisationer arbetar i olika system på daglig basis. För att vardagsaktiviteterna ska vara så transparenta som möjligt är det viktigt att integreringar sker mellan system.
Detta gäller särskilt för e-post. Tillägget av en säker mejllösning måste kunna integreras utan att det stör existerande arbetsprocesser.
Om vi tittar på hälsovård som exempel ser vi att integrering med Electronic Health Record System (EHR) är önskvärt. Inom detta system kan hälsovårdspersonal såsom läkare, experter,
sjuksköterskor och psykiatriker lagra och bearbeta medicinska data om patienter. Alla anställda som har behörighet kan se uppgifterna och skicka dem mellan sig. Integrering med mejlsäkerhet kan se till att säker kommunikation och delning sker på ett pålitligt sätt.
Detsamma gäller i till exempel Document Management System (DMS). Genom att integrera
systemet med en lösning för säker e-post kan de skyddade mejlen smidigt lagras inom DMS. Mejl och dokument/filer som hör ihop kan till exempel lagras med en länk mellan varandra.
Integrering med API eller SMTP Relay Service
För att aktivera integreringar måste ett API eller en SMTP Relay-tjänst användas. På så sätt kan funktioner från andra system användas på ett smart sätt.
Några fördelar:
CHECKLISTA ÖVER FUNKTIONER
Ett hjälpmedel för att välja rätt leverantör
Val av leverantör avgör hur pass framgångsrik implementeringen blir inom din organisation, men beslutet behöver inte vara ett hinder. Utöver de pelare som beskrivits har vi sammanställt en smidig lista som kan hjälpa dig i ditt beslut.
K ä n n e r i g e n k ä n s l i g a u p p g i f t e r n ä r e t t m e d d e l a n d e s k r i v s D u b b e l k o l l a r m o t t a g a r e o c h b i f o g a d e f i l e r
B l o c k e r a m o t t a g a r e , b i l a g o r o c h / e l l e r m e j l e f t e r a t t d e s k i c k a t s P l u g - a n d - p l a y : e n k e l t a t t h a n t e r a o c h a n v ä n d a
S k i c k a d e m e d d e l a n d e n f i n n s k v a r i n o m e n e g e n m i l j ö T y d l i g ö v e r b l i c k i a d m i n i s t r a t ö r s p o r t a l e n
H u r e n k e l t ä r d e t f ö r a n v ä n d a r e n ?
M e d v e t a n d e
A l l t f ö r a t t e l i m i n e r a m ä n s k l i g a f e l L o g g a i n e n g å n g
K r y p t e r i n g f r å n b ö r j a n t i l l s l u t u t a n k u n s k a p b h e o v
S e s t a t u s e n f ö r s k i c k a d e m e j l
R e g l e r i n g o c h s ä k e r h e t
I S O - 2 7 0 0 1 : 2 0 1 7
M u l t i f a k t o r a u t e n t i s e r i n g
F u n k t i o n e r f ö r a t t d i n a u p p g i f t e r s k a v a r a s k y d d a d e
K r y p t e r i n g f r å n b ö r j a n t i l l s l u t u t a n k u n s k a p
1 0 G B s ä k e r t l a g r i n g s u t r y m m e i m o l n e t p e r a n v ä n d a r e T y d l i g l i c e n s m o d e l l . P r i s e r i n k l u d e r a r e t t o b e g r ä n s a t a n t a l m e j l
o c h S M S
S t o r a f i l e r ( t e r a b y t e s ) k a n s k i c k a s
S ä k r a u p p l a d d n i n g s f ö r f r å g n i n g a r
O u t l o o k o n l i n e s u p p o r t
S u p p o r t f ö r O u t l o o k i w e b b l ä s a r e n , G m a i l o c h m o b i l e r
S M T P R e l a y S e r v i c e
I n t e g r e r i n g a r
G ö r i n t e g r e r i n g m e d t r e d j e p a r t e r e n k e l t
A P I S m i d i g o n b o a r d i n g - p r o c e s s
S u p p o r t v i a t e l e f o n , m e j l o c h h j ä l p c e n t e r
K u n d s u p p o r t
I m p l e m e n t e r i n g o c h u n d e r h å l l
T i l l r ä c k l i g t m e d d o k u m e n t a t i o n f i n n s t i l l g ä n g l i g
S ä k r a u p p l a d d n i n g s p o r t a l e r
WHITEPAPER | Hur väljer man rätt lösning för säker e-post?
A n v ä n d a r v ä n l i g h e t