Ordning for tvungen TLS på e-post

Bakgrunn

E-post mellom selskapene i finansnæringen inneholder i sjeldne tilfeller personssensitiv informasjon. Av hensyn til personvern er finansnæringen pålagt å sikre e-post mot innsyn.  De fleste systemer for e-post-kommunikasjon inneholder allerede en anerkjent og mye brukt teknologi for å hindre innsyn: Transport Layer Security (TLS). Teknologien går ut på at det etableres en kryptert kommunikasjonskanal mellom sender og mottaker. Denne krypterte kanalen baserer seg på at serverens sertifikat valideres av klienten, med andre ord at klienten stoler på sertifikatet ved at det har blitt utgitt av en tiltrodd tredjepart. Problemet med standarden for bruk av TLS i epost kommunikasjon er at den vanligvis opptrer opportunistisk. Det vil si at begge partene benytter TLS dersom dette er tilgjengelig, men faller tilbake på ukryptert kommunikasjon dersom en av partene ikke støtter TLS. Dette, da ikke alle aktører støtter TLS. Dette medfører et problem, siden da det vil være mulig for en angriper med tilgang til en av partenes nettverk å gjennomføre et såkalt STRIPTLS angrep, der angriperen får den ene parten til å angi at TLS er utilgjengelig. Med opportunistisk TLS vil da kommunikasjonen falle tilbake til ukryptert kommunikasjon og angriperen vil kunne lese innholdet.

Opportunistisk TLS

En mulig løsning på dette er at organisasjonen setter TLS kommunikasjon som ikke-opportunistisk eller tvungen. Da vil sender kun overføre e-posten hvis mottaker støtter TLS, og mottaker vil kun mota hvis sender støtter TLS. Problemet med dette er tilbake til det som er nevnt før, ikke alle aktører støtter TLS. I disse tilfellene vil ikke organisasjonen kunne motta fra eller sende e-post til motparter der TLS ikke støttes. Løsningen er at deltakeren skrur på tvungen TLS for enkelte motparter istedenfor som en generell regel. Man vil da kunne sende og motta e-post fra motparter som ikke støtter TLS og samtidig hindrer at uvedkommende kan se ukryptert e-post mellom parter der begge støtter TLS.

Ordningen

Her også oppstår det et problem; alle som ønsker tvungen TLS mellom hverandre må inngå bi-laterale avtaler. Selv med få motparter der tvungen TLS er nødvendig, blir det behov for et svært stort antall bilaterale avtaler. Siden finansnæringen som en helhet har behov for å utveksle personssensitiv informasjon har derfor Bits laget en ordning der aktørene isteden inngår en multilateral avtale med Bits. Ordningen går ut på at alle deltakere som melder seg inn, aksepterer at de må bruke tvungen TLS til alle andre deltakerne i listen, samtidig melder de inn sine domener som alle de andre deltakerne pålegges å bruke tvungen TLS til. Alle som deltar i ordningen, signerer en samsvarserklæring og forplikter seg til kvartalsvis å oppdatere sine e-post-regler til å benytte tvungen TLS til alle domener registrert i Bits sin liste over deltakere (som ligger her: https://www.bits.no/document/domeneliste-tvungen-tls/). Ordningen er åpen for alle som deltar i finansnæringen og andre aktører som regelmessig kommuniserer med finansnæringen. Organisasjoner som kan melde seg inn i ordningen er typisk:

  • Banker
  • Forsikringsselskaper
  • Eiendomsmeglere
  • Advokatfirmaer

Mer informasjon om ordningen, krav for å melde seg inn og samsvarklæringen er tilgjengelig her: https://bits.no/tls.