En borger har klaget til Datatilsynet over, at en virksomhed havde sendt en e-mail med oplysninger om gæld i en tilsyneladende ikke-krypteret e-mail.
Datatilsynet vendte tilbage den 2. juli i år og godkendte virksomhedens praksis: De havde sendt e-mailen med såkaldt opportunistisk TLS.
Men hov? Opportunistisk TLS? Skulle det nu være godt nok, når man sender fortrolige oplysninger?
Nej, selvfølgelig ikke. Alligevel har vi set denne konklusion fremført flere steder, og vi undrede os. Sagen er, at når der sendes med opportunistisk TLS, så vil ca. 93% af dine e-mails nå krypteret frem (seneste tal fra Google) – men hvad med de sidste 7%?
Og det er her, man er nødt til at nærlæse afgørelsen fra Datatilsynet. I afgørelsen står der nemlig, at til grund for “frifindelsen” gælder:
“at der er foretaget en risikovurdering, hvor den konkrete fremgangsmåde er skønnet som værende passende sikkerhed, at der ved fremsendelserne af de pågældende e-mails blev anvendt opportunistisk TLS 1.2 kryptering baseret på AES256, at Xs e-mailklient understøttede denne krypteringsform og, at de 2 fremsendte e-mail har været krypteret på transportlaget.”
Det er det næstsidste punkt (vores fremhævning), der er afgørende: Altså, at modtagerens e-mailklient rent faktisk understøttede TLS 1.2. Vi har været i kontakt med Datatilsynet, der bekræfter dette.
Og hvordan kan virksomheden så vide, at modtagerens mailserver understøtter TLS? Det melder afgørelsen ikke noget om, men det kan umiddelbart ske enten ved et manuelt tjek af modtagerens domæne på en side som cdn77.com/tls-test eller checktls.com, eller ved at virksomheden har indkøbt software, der automatisk udfører dette tjek.
Hvordan løser RMail denne udfordring?
Når man sender med RMail, foretages der automatisk et tjek af hele e-mailens rejse fra afsender-server til modtager-server. Hvis ikke ALLE servere undervejs understøtter TLS 1.2, vil RMail automatisk pakke e-mailens indhold og eventuelle vedhæftninger i en krypteret PDF.
Sådan sikrer RMail, at man lever op til Datatilsynets krav, uden at afsender skal foretage sig andet, end at trykke på “Send”.
Kunne virksomheden have undgået en klagesag?
En af de fine ting ved RMail, er at afsender modtager en kvittering, der blandt andet dokumenterer 1) det oprindelige indhold i e-mailen, 2) afsendelses- og modtagelsestidspunkt og – vigtigst i denne sammenhæng – 3) dokumentation for krypteringsmetode.
Med denne kvittering kunne virksomheden altså meget nemt have vist kunden, at fremsendelsen var sket krypteret og måske have taget sagen i opløbet.
Hvad er opportunistisk TLS?
- Det betyder, at man indstiller sine mailservere til at sende TLS, hvis det er muligt.
- Hvis modtagerens server (eller en af de servere som mailen passerer undervejs) IKKE understøtter TLS, sendes e-mailen alligevel – ukrypteret.
- Ifølge Google understøtter ca. 90 % af verdens email-servere TLS 1.1.
- Datatilsynet kræver, at der anvendes TLS 1.2 eller højere, når der sendes følsomme oplysninger med e-mail.