- Det svenske forsvaret kan følge med på all e-posten til og fra partiene Høyre og Venstre hvis de ønsker det. Det har de lovhjemmel til å gjøre, sier Per Thorsheim, sikkerhetskoordinator i EDB Business Partner, og viser til den svenske FRA-loven.
Partiene gjør det nemlig svært lett for eventuelle tyvlyttere, også for langt skumlere folk enn svenske myndigheter. De sender all e-posten sin via Danmark, og trolig Sverige – og alt går ukryptert. Alle andre som har tilgang til en ruter eller linjene på vei til og fra Norge kan også lese til øyet blir vått – uten at det krever veldig store tekniske ferdigheter.
Synderne i flertall
Dessverre er ikke partiene alene om å blottlegge seg på denne måten.
En undersøkelse fra EDB Business Partner viser at kun 14,5 prosent av de børsnoterte selskapene på OSEAX-listen på Oslo Børs har full støtte for TLS-standarden, som gir mulighet for kryptert e-postutveksling. Blant advokatselskapene er tallet 18,4 prosent og i norske kommuner bare 3,7 prosent.
Det vil si at 96,3 prosent av kommunene har usikre epostservere, og blant synderne er Oslo, Bergen og Trondheim kommune.
- Dette betyr at all samhandling med disse via e-post vil gå ubeskyttet, dersom man ikke benytter eller avtaler proprietære løsninger i de enkelte saker, heter det i EDBs rapport.
Ifølge Thorsheim ville det tatt en tekniker rundt en time å fikse dette.
- Dette løser ikke alle sikkerhetsproblemer, men det er det man kan kaller en "quick win". Du kan ta regningen på neste ukes kaffebudsjett, sier han, og viser til at domstolsadministrasjonen kunne snakket kryptert med nesten en femtedel av advokatene - hvis de bare tok seg råd til en konsulenttime.
-Hvorfor gjøres det da ikke – er dette sløvt?
- Det er vanskelig å finne et bedre ord. Det kan også være uvitenhet som ligger bak, sier Thorsheim.
Domstoladministrasjonen svarer:E-post er ikke egnet for sensitiv informasjon
Flertallet mangler støtte for TLS-kryptering, og mange er inkonsekvente:
Kilde: EDB Business Partner
Slett ikke bare teoretisk problem
Problemet er kjent for Norsk senter for informasjonssikring (NorSIS)
- Veldig mye norsk e-post går ukryptert. Det er et problem hvis du sender virksomhetskritisk informasjon, slik som børssensitiv info, oppkjøpsplaner, eller prislister du ikke vil vise konkurrentene, sier Tore Larsen Orderløkken, leder for NorSIS.
Han påpeker at ukryptert e-post også noen ganger havner hos feil mottaker – og dette er slett ikke bare et teoretisk problem.
- Dette skjer, og feilsendt informasjon har havnet hos media eller blitt brukt til utpressing, forteller han.
Kryptering av e-post kan også foregå med andre teknologier, men de krever gjerne at et passord sendes på annen måte. TLS-kryptering gir beskyttelse av trafikken mellom servere, men Orderløkken påpeker at det beste er kryptering hele veien. Dette er imidlertid dyrere, og mer krevende.
Falsk ID
Undersøkelsen til EDB fokuserer på TLS-sertifikater, som er en internettstandard for utveksling av kryptert e-post. I tillegg til kryptering skal disse sertifikatene fortelle andre tjenester på internett hvem de snakker med. Dette er tjenestenes legitimasjon, og den skal være bekreftet av en uavhengig og pålitelig tredjepart – akkurat som politiet utsteder pass i Norge, ikke hvert enkelt selskap.
I sin sjekkrunde fikk imidlertid EDB noen spesielle svar. Statsministerens kontor og de fleste andre departementene hevder for eksempel at de verifiseres fra Cisco i USA. Sertifikatet er dessuten utstedt av Cisco – til Cisco.
- Et sertifikat som du selv lager og utsteder til deg selv, hva kalles det i Norge? Et godt uttrykk alle forstår er ”falsk legg”, sier Thorsheim.
I prinsippet kan e-post bli nektet mottatt hvis man bruker slik falsk identitet, men svært ofte godtas ugyldige sertifikater, både på epost og under nettsurfing. Dermed læres folk opp til å godta usikre identiteter.
- At virksomheter har ugyldige sertifikater som ikke er utstedt til formålet er bekymringsfullt, sier Orderløkken i NorSIS.
SVs epost-server identifiserer seg for øvrig på en riktig absurd måte, og hevder den tilhører ”Kontoret for vanskeliggjøring av saker som egentlig er enkle”. Både SV og departementenes epostservere kjører høyst sannsynlig på testinnstillinger som aldri var ment for full drift.
Bare barnemat å lytte
Når nye nettjenester skal lanseres er sikkerheten ellers i høysetet, og nylig ble selv BankID diskvalifisert for bruk til de sikreste tjenestene..
- Når meldinger skal sendes fra deg til fastlegen din må vi være helt sikre. Det er ikke så mange tillitsbrudd som skal til før dette oppleves som utrygt. En del vil oppleve det som uopprettelig skade hvis helseinformasjon skulle komme på avveie, sa Difi-direktør Hans Christian Holte nylig.
Spørsmålet er hvor mye tilsvarende hemmelig informasjon som går ukryptert på epost i dag. Thorsheim påpeker at domstolsadministrasjonen ikke støtter TLS-kryptering og at straffesaker ofte inneholder svært sensitiv informasjon. Oslo børs støtter heller ikke slik kryptering.
Er det vanskelig å lese andres ukrypterte epost hvis du har fysisk tilgang til trafikken?
- Nei. Det er enkelt når du vet hva du skal gjøre. Det finnes skoleelever ved norske skoler som diskuterer på nett hvordan de får tilgang på medelevers epost, sier han.
Domstoladministrasjonen svarer:E-post er ikke egnet for sensitiv informasjon(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.