Illustrasjonsfoto: iStock/peshkov
Illustrasjonsfoto: iStock/peshkov

Sender du sensitiv info på e-post?

Det bør du i så fall slutte med, anbefaler teknologiekspert Merete Nygaard.

Publisert   Sist oppdatert

Mange advokater mottar sensitiv informasjon og dokumenter fra klienter og andre ganske regelmessig over e-post. Er dette egentlig lurt?

Nei, mener teknologiekspert og Lawbotics-gründer, Merete Nygaard.

- E-post var aldri designet for å være en sikker meldingstjeneste, og har derfor ikke innebygde mekanismer for å forhindre at andre enn dem informasjonen var ment for, kan lese den om de først får tilgang til den. E-post er ikke ende-til-ende kryptert slik som Whatsapp og Telegram - alt innholdet i e-posten fremstår i ren tekst slik at om du først får tilgang til den, har du også tilgang til å lese alt innholdet, forklarer hun.

- Logg aldri på offentlige nettverk

Ifølge en Verizon Data Breach Investigations Report, gjenbruker over 70 prosent av alle ansatte passord. 81 prosent av datainnbrudd skjer som følge av svake og/eller stjålne passord, ifølge rapporten.

Nygaard sier at det hovedsaklig er to måter uvedkommende kan få tilgang til sensitiv informasjon sendt på e-post.

- Bytt e-postserver om du bruker en gammel tjeneste og sørg for at du bruker en oppdatert nettleser om du skal logge inn via webmail, råder Merete Nygaard.
- Bytt e-postserver om du bruker en gammel tjeneste og sørg for at du bruker en oppdatert nettleser om du skal logge inn via webmail, råder Merete Nygaard.

- For det første kan noen ha fått tilgang til e-postkontoen din, enten via e-postserveren eller ved at man har logget på gratis eller offentlige nettverk. Ved sistnevnte vil alt du gjør være synlig for dem som styrer nettverket. Aldri logg deg inn på slike nettverk. Mange får også tilgang via passord som er enkle å gjette.

For det andre er det ofte rene brukerfeil som fører til at uvedkommende får tilgang, fortsetter Nygaard.

- Det er altfor enkelt å trykke «reply all» eller sende til feil Hege - og det er liten mulighet for å gjøre noe med e-posten om den først er sendt og lest. Du kan ha en mulighet til å trekke den tilbake, men da må e-posten være ulest og du må vite hvordan du gjør det. At folk glemmer å lukke/låse datamaskinen er også en brukerfeil som kan føre til at uvedkommende får tilgang.

- Det meste av hacking skyldes brukerfeil

De aller fleste vet at det er viktig å sikre slik informasjon godt, men det er ikke dermed gitt at man vet hvordan dette gjøres i praksis.

Mens noen kriminelle bruker kompliserte verktøy for å tvinge seg inn i systemene dine, bruker andre metoder som er mer «low tech» enn man kanskje skulle forvente.

Er du helt sikker på at e-postkorrespondansen din er trygg? Hvis ikke har nettstedet Law Technology Today skrevet en kjekk smørbrødliste som kan hjelpe deg et stykke på vei:

  • Ikke bruk samme passord flere steder.
  • Dersom en konto på en eller annen måte blir skadet, må passordet byttes.
  • Totrinns-verifisering, altså at det ikke bare er passordet i seg selv som sikrer en konto, bør benyttes. Denne løsningen gir ekstra trygghet, men hvis en kriminell får kontroll over eksempelvis telefonen din, er det sannsynlig at dette ikke holder.
  • Skriv aldri ned eller ta opptak av et passord.
  • Å bytte passord regelmessig er nyttig dersom man husker dem. Hvis ikke kan det være lurt å investere i en såkalt «password manager». Disse genererer, henter og sporer passord for brukeren.
  • Lager du dine egne passord, bør disse være både vanskelig å gjette og enkle å huske. Det vil si en blanding av små bokstaver, store bokstaver, symboler og tall. Eksempelvis kan passord som «Numb3r_1_L4wy3r!» være en hard nøtt å knekke.
  • Sørg for at alle de ansatte, så vel som klienter, har gode rutiner for å sikre e-post.

    - Det siste tipset er kanskje det viktigste. De fleste eksempler på hacking skyldes brukerfeil og kunne vært unngått om den ansatte hadde vært oppmerksom på risikoen, legger Nygaard til.

- Bruk krypteringstjenester

Merete Nygaard anbefaler at du dropper å sende sensitiv informasjon åpent på e-post i det hele tatt, og heller benytter krypteringstjenester. Ved å bruke slike kan man fortsatt bruke e-post som kommunikasjonskanal, forsikrer hun.

- Det finnes sakshåndteringssystemer som tilbyr dette som del av systemet eller online-tjenester som Onetimesecret.com og Prettygoodprivacy.com. Logikken er at tjenesten krypterer innholdet før det sendes og de som skal ha tilgang får et «secret word» gjennom en annen kanal, for eksempel personlig, over telefon, Whatsapp eller SMS. Merk at SMS også er en usikret meldingstjeneste, men man reduserer risikoen betraktelig ved å bruke to forskjellige kanaler. På den måten vil uvedkommende som får tilgang til linken/eposten med det sensitive innholdet fortsatt ikke kunne lese innholdet som er sendt uten det hemmelige ordet.

- Selv om du ikke bruker disse tjenestene bør du uansett gjøre det vanskeligere for andre å få tilgang til e-postkontoen din, understreker Nygaard.