Säker meddelandehantering

E-post som meddelandekanal har två problem: Det är svårt att kryptera meddelanden mellan mottagare som inte har en etablerad kontakt, och när meddelandet är skickat finns ingen möjlighet att identifiera mottagaren eller kräva stark autentisering.

I och med GDPR kommer undantagen för “ostrukturerad behandling av personuppgifter” att tas bort. Det innebär att från och med 25 maj 2018 så kommer samma krav gälla för e-postmeddelanden som för annan behandling. Idag skickas en mängd personuppgifter över e-post både inom offentliga och privata Sverige. E-post som meddelandekanal har två problem:

  1. Det är mycket svårt att kryptera meddelanden mellan mottagare som inte har en etablerad kontakt, och därför görs det i praktiken väldigt sällan.
  2. När meddelandet väl har skickats iväg finns ingen möjlighet att identifiera mottagaren eller att kräva stark autentisering.

Båda dessa punkter gör e-postmeddelanden i grunden opassande för att skicka känslig information. Istället förordar Certezza, i likhet med exempelvis SKL, en “boxlösning” på problemet.

En “box” innebär att det enda som går via e-post är en meddelandenotifiering, och att en användare måste logga in på en tjänst för att få tillgång till informationen. Den enda kryptering som då behövs är TLS när användaren loggar in på “boxen” för att läsa meddelandet (precis som med en vanlig https-webbplats) och eftersom användare måste logga in på “boxen” för att läsa meddelandena så kan man där kräva stark autentisering/LoA3 (eller annat adekvat skydd baserat på informationens känslighet).

Det finns några olika box-lösningar att välja på, men Certezza har fastnat för och investerar i TrustedDialog. TrustedDialog har några aspekter som gör den speciellt lämplig för en offentlig aktör som vill hantera säkra meddelanden:

  1. TrustedDialog är inte en molntjänst, dvs informationen lagras på kundens server, men full kontroll som personuppgiftsansvarig.
  2. TrustedDialog har ett öppet identitetsgränssnitt (SAML v2) vilket gör att autentisering kan anpassas helt enligt informationens känslighet.
  3. TrustedDialog kräver ingen registrering, vare sig av interna eller externa användare. Interna användare skapas baserat på attribut i SAML-intyget (och därmed indirekt från attribut i kundens katalogtjänst) och externa användare skapas och identifieras vid behov. Typiska sätt att identifiera externa användare är med E-legitimation/eIDAS eller SITHS/EFOS.
  4. TrustedDialog har stöd för funktionsbrevlådor, dvs det är möjligt att adressera funktioner i organisationen snarare än enskilda personer.

Då Certezza ser ett trängande behov från kunder och egentligen hela Sverige för att lösa detta så har vi ingått samarbete för att kunna erbjuda och supporta TrustedDialog för våra kunder.

Kontakta Certezza via sales@certezza.net för mer information!

Säker meddelandehantering erbjuds inom dessa kompetensområden: