Många aspekter att tänka på
Säkerhetsexperten Jonathan James pekar på att det finns många risker som kan uppstå vid bristfälligt säkerhetstänk kring e-post.
– Det finns flera principer att ta hänsyn till när information ska transporteras från punkt A till punkt B. Till exempel måste man ställa frågan om både sändare och mottagare stöder ssl och tls-kryptering, och om de är konfigurerade att alltid använda skyddsmetoden smtps, samt vilka andra typer av informationsskydd som används.
Enligt Jonathan James finns det även saker att ta hänsyn till även om servrarna står i Sverige.
– Trafiken routas normalt sett enligt kortaste vägen-principen, vilket gör att man inte har någon kontroll över var trafiken tar vägen innan den når slutdestination och inte heller om det sker över kabel eller genom luften. Det innebär att kommunikation inom Sverige kan gå över landgränser i vissa fall.
Han förklarar att om servern står i den egna byggnaden förvaras åtminstone inkommande e-post på utrustning som företaget själv har kontroll över.
Går det att helt skydda sin e-post mot ovälkommen övervakning?
– I den bästa av världar stöder både sändare och mottagare smtps, och överföringen av data sker via krypterad förbindelse. I den bästa av världar litar man också på ett rotcertifikat som organisationen äger och skyddar nycklarna för, man använder tls och ssl-protokollversioner utan allvarliga sårbarheter i och man skyddar e-postdata med hjälp av till exempel pgp. Givet allt detta så kan man vara säker på att ha täckt en stor del av de säkerhetsproblemen som kan uppstå. Men det här räcker ändå inte – vandrar man längre ner i den här säkerhetspyramiden måste även sändande klienter, mottagande klienter och mta-systemet skyddas på ett adekvat sätt.
Amerikanska lagar
Det är inte bara den dolda övervakningen som uppmärksammats av Edward Snowden som innebär en risk för att din e-post läses av amerikanska myndigheter. Säkerhetsexperten Mikael Simovits pekar på vad som faktiskt framgår av Patriot Act-lagen:
• Patriot Act omfattar alla amerikanskt ägda företag, inklusive företag som är delägda med icke-amerikaner och avsett om de är etablerade utomlands eller inte.
• Vid begäran måste amerikanska företag lämna ut information till amerikanska myndigheter.
• Amerikanska företag får inte vid en sådan begäran meddela kunden om att begäran gjorts eller vilken information som lämnats ut.
Hälsoläget i .SE (pdf):
tinytw.se/halsolaget
”Kräv servrar i Sverige!” (Computer Sweden)
tinytw.se/krav
Det här vet vi om USA:s övervakning (PC för alla)
tinytw.se/prism
USA får övervaka data i molnet (Computer Sweden)
tinytw.se/molndata
Vill du veta allt om övervakning? Missa inte Next Generation Threats 24 september 2013!
