Är det verkligen tekniken man ska lita på?
Att lita på den teknik du väljer för din kommunikation är viktigt för att våga vara öppen, tydlig och kunna hantera känslig information. Oavsett om det sker i jobbet, i eller med myndigheter eller privat. I detta dokument förklarar vi mer utförligt vad utöver just tekniken man behöver förstå för att tryggt kunna hantera information över Internet oavsett var man befinner sig i eller vilken typ av enhet man använder. Bakgrund Det finns knappast någon anledning till att göra en längre argumentation om varför behovet av att skydda sin kommunikation har blivit större. Kunskapen om internets användbarhet, funktioner och fördelar har spridit sig brett och fortsätter att spridas till fler och fler användare. I och med detta har en kunskapsklyfta inom säkerheten på internet ökat. Det är därför även identitetsstölder, hackade datorer, tjuvlästa e-‐poster och avlyssnade telefonsamtal blivit fler. För privatpersoner är detta naturligtvis allvarligt. Individer kan råka ut för både stora obehag och ekonomisk skada. Dock så är situationen inom affärsvärlden än mer akut och behoven är desto större. De värden som potentiellt kan gå förlorade är många gånger större för företagen. Genom den senaste tidens avslöjanden så vet vi att det mesta avlyssnas och vanlig oskyddad e-‐post läses av utomstående. Samtidigt så har allas behov av att kunna kommunicera ökat explosionsartat. För många är det av stor vikt att kunna kommunicera snabbt, inhämta information och vara nåbar dygnet runt oberoende av var i världen man befinner sig. Affärer är idag transnationella och sträcker sig till en global nivå. Dessutom är tempot mycket högre. För tio år sedan kunde man få vänta på en bekräftelse via post – något som är otänkbart idag.
Generation Y En större del av de som arbetar i företag är från den så kallade "Generation Y" – de som har växt upp med internet, smartphones och Facebook som en självklarhet. För dem är det inte fantastiskt att den komplicerade tekniken fungerar – det är naturligt. Samtidigt representerar Generation Y de användare som är sämst på att skydda sig och ta hänsyn till säkerhet på webben. De ser inga problem med att skicka ett jobbdokument till en kollega från sin privata e-‐post från sin smartphone.
Tekniken och EU direktiv
Tekniken, produkter och kunskapen kring säker kommunikation har funnits länge men den snabba utbredningen av Internet över världen har prioriterat tillgängligt och inte säkerheten. När alla hade en PC med Microsoft Windows, ihopkopplade över LAN och pratade i gamla hederliga telefoner så var säkerheten fokuserad på fysiskt skalskydd och larm men i och med mobilt internet och den snabba utbredning av smarta telefoner så har allt blivit mycket svårare. Gränser mellan privat och arbete har suddats ut för att inte tala om kontrollen av data och information. Eftersom de mobila näten utvecklades snabbt i Europa behövde EU gemensamma regler för hur trafik informationen skall lagras och hanteras. 2006 antogs nya direktiv som skulle reglera hur operatörerna lagrar uppgifter om kunder och deras kommunikation. Det huvudsakliga syftet med trafikdatalagring var att öka den formella kontrollen genom att stärka statens kontrollinstrument för trafikanalys och övervakning men EU-‐ domstolens dom den 8 april 2014 ogiltigförklarar EUs direktiv 2006/24/EG. Detta gäller nu i många EU länder men inte alla.
© SecureMailbox 2014
Lösningar och direktiv i andra länder som påverkar oss Det finns lösningar för att kryptera data, filer, bilder, tal; det vill säga alla typer av datakommunikation. Idag är dock mer avancerad teknik inte alltid lösningen som tillfredsställer behovet bäst. All den tillgängliga tekniken sätts ur spel när till exempel USA:s regering via ”Patriot Act” ställer krav på att alla leverantörer ska ha en bakdörr för att regeringen kunna övervaka kommunikation till, från och mellan misstänkta individer. Misstänkta är nyckelordet. I länder som saknar lagar liknande Patriot Act så faller avlyssning, rekvirering av information (kommunikationsloggar, innehåll och utskrifter från leverantörer) under husrannsakan eller motsvarande lagstiftning. Det innebär i korthet att det ska finnas en konkret indikation (betyder oftast någon form av mer handfast bevisning eller vittnesmål) på att den aktuella personen kan ha begått ett brott som ger minst ett antal år i fängelse som påföljd. Sedan beslutar en åklagare eller liknande om att husrannsakan ska ske och då kan en polismyndighet hämta eller få informationen utlämnad. I USA däremot räcker det med en misstanke under Patriot Act för att tvinga en leverantör att lämna ut informationen direkt till NSA. Då ska man vara medveten om att NSA är en organisation som inte sysslar med brottsbekämpning utan är en underrättelseorganisation. NSA rättfärdigar detta genom att argumentera för att de utan total översyn inte kan med säkerhet veta att de får tag på all information som är av intresse. I praktiken innebär det att alla amerikanska leverantörer av säkerhetslösningar och leverantörer som gör affärer i USA via eget kontor kan tvingas ha en bakdörr till NSA. Samma gäller parterna i ”five eyes” Storbritannien, Kanada, Australien och Nya Zeeland. Samma typ av lagstiftning och praxis finns också bland annat i Frankrike, Ryssland och Kina. Oavsett så innebär det att man som användare av säkerhetslösningar som kommer från dessa länder måste förhålla sig till det faktum att det finns bakdörrar. I USA har det gått så långt att det finns möjligheter att kräva att det i alla produkter finns bakdörrar som regeringen sedan har tillgång till. Om det inte existerar en bakdörr eller en teknisk lösning för att lämna ut/visa informationen så kan man kräva att en sådan byggs in. Ifall att detta inte efterföljs dubbleras böterna varje månad tills dess att lösningen finns på plats. Detta kan appliceras på alla amerikanska företag eller företag med kontor i USA. Sakta men säkert börjar företagen inse konsekvenserna av denna situation. För företag med stora Intellectual Property-‐tillgångar och med amerikanska konkurrenter så kan det innebära stora problem. När konfidentiell information om industrihemligheter hamnar i en underrättelseorganisation, som har som främsta intresse att arbeta "i landets bästa intresse" (inte bara jaga brottslingar) så är det mycket troligt att information läcker till inhemska bolag. Ett stort svenskt försvarsteknologiföretag missade en affär i Europa på ett sätt som man kan misstänka kommer ur en liknande situation. I grunden har dessa nya lagar kommit till för att skydda samhället mot terrorism. Men det innebär väl att det egentligen inte är ett problem om man inte håller på med terrorism? Detta är i vissa fall ett relevant sätt att resonera. Om man är undersökt av en brottsbekämpande organisation ska eventuella misstankar och bevis behandlas under sträng sekretess och sedan förvaras säkert eller förstöras. Många länder har dessutom tidsgränser för hur länge bevis får behållas. Men NSA är som sagt en underrättelseorganisation med huvudsakligt ansvar för att säkra rikets säkerhet och att stödja nationens intresse. I grunden är lagarna till för att bekämpa terrorism, men i praktiken används de mycket bredare än så. Det sistnämnda innebär att information som kan stödja nationens intresse skall vidareförmedlas och användas på bästa sätt. Här kommer man in på den sällan nämnda situationen att avancerat industrispionage naturligtvis är i nationens intresse. Ingen tvekar på att Kina har en omfattande verksamhet inom detta område och att den är statsfinansierad. Frankrike har uttalat att deras underrättelseverksamheter jobbar med att samla viktig information om företag och deras hemligheter likväl som att jaga misstänkta individer. Detta gäller dock inte alla länder, Sverige är just ett av de länder där underrättelsetjänsten inte har någon sådan uppgift. Med tanke på detta är det ogenomtänkt att kommunicera via lösningar och produkter som man vet har inbyggda och lagstiftade bakdörrar som kan utnyttjas av underrättelseorganisationer. Med andra ord: produkter från USA, Storbritannien, Kanada och Frankrike. Utöver de nationerna är det inte särskilt förnuftigt att använda produkter från Ryssland, Kina och länder med allmänna osäkra rättslägen. Det kan innebära länder i konflikt eller med ett totalitärt statsskick av någon form. Ett exempel att lyfta fram från USA är e-‐postleverantören Lavabit som beordrades lämna ut kryptonycklarna för Edward Snowdens e-‐post. Leverantören beslutade att stänga sin tjänst hellre än att bryta mot de villkor de hade lovat sina kunder. Läs mer om detta här (artikel från Wired).
© SecureMailbox 2014
US lag vs. Svensk lag Med detta som bakgrund så kommer vi tillbaka till överskriften: Är det verkligen tekniken man ska lita på? För att skapa en övergripande lösning för att kommunicera säkert räcker det inte med att låta säkerhetsexperterna titta på tekniska lösningar. Det räcker inte när det enkelt går att titta bakom kulisserna och hämta informationen trots alla avancerade kryptografilösningar. I grunden så måste lösningen vila på en juridisk grund som inte sätts ur spel av särskild lagstiftning liknande Patriot Act. När man tittar närmare på den juridiska grunden är det dessutom viktigt att lagstiftningen vilar på "deklarativ" lag och inte är baserad på prejudikat. Med deklarativ menas att det ska vara i ett land, exempelvis Sverige, som har som intention att skriva tydliga lagar som beskriver aktuella rättsförhållanden och har en aktiv och effektiv process för att skriva nya lagar efter behov. I USA, vars lag är baserad på prejudikat, är själva lagen en ganska tunn skrift medan detaljerna definieras i ett mycket stort antal prejudikat. Inom teknologiområdet är det mindre lyckat med denna process eftersom många olika prejudikat kan lyftas in av båda parter i ett rättsfall för att avgöra hur nyttjande av tekniken ska bedömas. Nu är det också dokumenterat, genom bla Snowdens avslöjanden, att en myndighet i USA som har en stor budget även kan påverka partnerländer att komma upp med nya kreativa definitioner av termer så gamla lagar kan tolkas så fördelaktigt som möjligt. Allt om detta och NSA finns i boken av Glenn Greenwald om Edwards Snowden, ”Storebror ser dig”, publicerad våren 2014.
Ägare av internet domän ”ownership domain” Första steget i att välja en bra lösning är att säkerställa att tjänsten är baserad i ett land med en stabil och relevant lagstiftning. Nästa steg är granska att tjänsten har funktionalitet och vidhängande "Terms of Service" som inte innebär att säkerheten för användaren komprometteras. Först kommer rätten till det innehåll som användarna hanterar i systemet. Centralt är att rätten för innehållet är tydligt definierad. Det bästa alternativet är att rätten innehas av kunden och då särskilt av den som äger domänen som används för att notificera och registrera e-‐post-‐kommunikationen alternativt av den användare/det företag som använder tjänsten. Det innebär att användaren bör säkerställa vem som äger rätten till informationen på mailservern som används. . Det är viktigt att användarna tänker efter hur de säkra systemen ska användas. Om till exempel Företaget AB har en extern PR-‐konsult som de vill kommunicera med säkert, så är det bättre att ge den användaren en FöretagetAB.com-‐adress än att konsulten använder sitt företags e-‐postadress som identifierare. Det kommer annars att innebära att den kommunikation som konsulten är mottagare eller avsändare till kommer också ägas av konsultens arbetsgivare. I praktiken kan man inte heller bygga en riktigt säker kommunikation på någon av de publika protokoll som finns idag på internet (exempelvis POP och SMTP). De är lämpliga för att bygga öppna och enkelt hopkopplingsbara system, inte säkra och kontrollerade system. De säkra systemen ska därför se ut och fungera som e-‐post. Däremot ska de inte använda de protokoll eller produkter som vi normalt associerar med eller använde för att definiera e-‐post. Det vill säga: säker e-‐post kan inte vara vanlig e-‐post.
Terms of Service ”användaravtal” Terms of Service eller på svenska användaravtal, är ett annat område som också förtjänar ett förtydligande. Generellt sett så har många tjänster på webben användaravtal som är väldigt vinklade till leverantörens fördel. Det finns många dimensioner på den information som skapas genom att man använder olika typer av tjänster på webben. Tillgången till denna information är i många fall grunden till att stora värden skapas i de nya internetbaserade bolagen. Begrunda att många större leverantörer idag förbehåller sig att läsa, äga, hantera, dela det mesta av data som man sparar eller producerar genom att använda deras tjänster. Skälet till detta är att dessa leverantörer använder denna information är att den sedan används för att bygga tjänster kring annonsering och sökning. Dessa leverantörer läser sannolikt inte själva den e-‐post som skickas, men den skannas av programvaror som plockar upp nyckelord. I sin tur används detta för att bygga sök algoritmer och placera annonser på sidor som användaren besöker. Av säkerhetsskäl är naturligtvis detta inte en bra situation. De användaravtal som används är direkt olämpliga för leverans av tjänster som syftar till att hjälpa företag med olika lösningar inom säkerhet. Det är till och med så att användarvillkor bör skrivas på ett speciellt sätt när det gäller säkerhetstjänster. I utformandet av
© SecureMailbox 2014
användaravtal bör man ta särskild hänsyn till den specifika situationen och avspegla att det är företagets säkerhet som man vill hjälpa till att förbättra. Det bör också framstå tydligt att användaren äger all information och att leverantören förbinder sig eller kan bevisa att information hanteras konfidentiellt och inte kan läsas av någon annan än användaren. Sedan är det viktigt att leverantören kan skilja på meta-‐data och innehåll för att kunna följa lagen. Vad datatrafiklagen kräver (se ovan) är att operatören skall lagra all kommunikation i 6 månader, dvs vem skickade till vem och när (meta data), innehållet i mailet (meddelande, bilagor, bilder mm) behöver däremot inte lagras. Men eftersom de flesta vanliga e-‐post tjänsterna inte tekniskt kan separera innehåll med meta-‐data så gör man det ändå. Det vill säga även om du raderar ett känsligt mail så måste din leverantör spara det i minst 6 månader ändå. Därför bör den e-‐post, meddelande eller chatt lösning man väljer vara konstruerad så den inte omfattas av dessa lagar eller så måste lösningen stödja separation av meta-‐data och dess innehåll för att kunna följa de lagar och direktiv som finns och samtidigt skydda din information.
Autentisering = identifiering Säker identifikation av användaren och mottagaren på andra sidan av en kommunikation är också central för att kunna bygga en säker tjänst. Detta är också grunden i personuppgifts-‐ (PUL) och patientdatalagarna (PDL). För att följa reglerna så måste personen vara stark autentiserad. Detta görs med, så kallad två-‐faktors-‐ autentisering, som bygger på att man använder två skilda kanaler eller sätt att identifiera en användare. Två-‐ faktors-‐autentisering minskar risken för intrång avsevärt. Exempelvis i SecureMailbox så används användarens e-‐post adress (faktor 1) med en kod som skickas via SMS till samma användares mobil telefon (faktor 2), eller rättar sagt användarens SIM-‐kort. Genom att kunna göra en ID-‐kontroll på detta sätt av mottagaren så kan man följa personuppgiftslagen och tryggt kommunicera viktig, känslig och sekretessbelagd information. Detta gäller inte bara Sverige utan samma regler gäller övriga EU länder samt många andra länder/regioner i världen.
Slutledning: Att lita på den teknik du väljer för din kommunikation är viktigt för att våga vara öppen, tydlig och kunna hantera känslig information. Utgångspunkten måste vara att lösningen vilar på en juridisk grund som inte sätter tekniken ur spel. Vi har jobbat många år för att hitta en lösning som skall vara enkel att använda i den mobila värld vi lever i och framförallt hanterar information på rätt sätt. Genom att förstå och hantera de lagar som gäller i olika delar av världen kan vi inte bara leverera hög säkerhet utan RÄTT säkerhet till alla. Utöver denna information så har externa experter verifierat att SecureMailbox följer tekniska som legala krav. Dessa säkerhets granskningar kan erhållas om man kontaktar:
[email protected] ENISA, EUs byrå för nät-‐ och informationssäkerhet, som är "knutpunkt" för informationssäkerhet i Europa, har publicerat flera handlingar som ger bra råd http://www.enisa.europa.eu/
© SecureMailbox 2014
