Anvisningar om skyddad elektronisk kommunikation

Transkript

1 Anvisningar om skyddad elektronisk kommunikation

2 Innehållsförteckning Anvisningar om skyddad elektronisk kommunikation... 3 Tillförlitlighet, integritet och tillgänglighet... 4 Goda praxis... 6 Att välja ett lösenord... 6 Vilka uppgifter för vilken tjänst?... 6 Tillräcklig informationssäkerhetsnivå i program... 6 Skyddad konfidentiell information... 6 Säkerhetskopior och förvaring av dem... 6 Mest använda tjänster, hot vid användningen av dem och skydd mot hoten.. 7 Telefonitjänster... 7 Internettjänster... 7 Internetförbindelser Trådlösa internetförbindelser hemma Offentliga internetförbindelser Mobilförbindelser Användning av datormobiler Beakta telefonens användningsändamål Att börja använda en datormobil Användning av kommunikationstjänster utomlands... 13

3 Anvisningar om skyddad elektronisk kommunikation Alla som använder internet har skäl att överväga i vilken mån egen kommunikation behöver skyddas. När man bedömer detta kan man t.ex. begrunda vem som kunde ha nytta av innehållet i kommunikationen. Det är möjligt att vid behov kryptera meddelanden som innehåller konfidentiell information. Om konfidentiella meddelanden inte kan skyddas, lönar det sig att säkerställa att datakommunikationsförbindelsen är skyddad. Om man inte är säker på skyddsåtgärder, lönar det sig att låta bli med konfidentiella diskussioner. Det är bra att komma ihåg att lagstiftningen i Finland skyddar konfidentiell kommunikation som förmedlas i finländska informationsnät, men den kan inte garantera konfidentiell kommunikation i utländska kommunikationstjänster eller utanför Finlands gränser. Det faktum att tjänsten fungerar på finska garanterar inte att tjänsten har producerats i Finland eller att finländsk lagstiftning används vid behandlingen av uppgifterna. I den här anvisningen finns närmare information om hot angående användningen av internet och också telefon vid konfidentiell kommunikation samt anvisningar för kryptering av kommunikation. Alla borde överväga: 1. vad man kommunicerar 2. vem man kommunicerar med 3. vilka medel man använder för att kommunicera 3

4 Tillförlitlighet, integritet och tillgänglighet För att trygga elektronisk kommunikation lönar det sig att fundera på frågor med tanke på informationens tillförlitlighet, integritet och tillgänglighet. Med tillförlitlighet avses att meddelanden är åtkomliga endast för dem som har rätt att läsa dem. Med integritet avses säkerställandet av att meddelandets innehåll inte obehörigen har ändrats och att de system som används för kommunikationen fungerar så som de ska. Med tillgänglighet avses att information eller en tjänst är tillgänglig då den behövs. Tillförlitlighet är den viktigaste frågan t.ex. vid förmedling av information som innehåller personuppgifter eller hantering av företagshemligheter i kommunikationssystem. Den viktigaste egenskapen vid nätbankärenden är integritet: användaren kan lita på att nätbankwebbplatsen är äkta och att det är tryggt att sköta sina ärenden på webbplatsen. Se mer: Video om trygg e-handel(på finska). Vid offentlig kommunikation kan tillgänglighet vara den viktigaste frågan, dvs. att meddelandet är lättillgängligt för alla. Kryptering av kommunikation kan förbättra informationens tillförlitlighet men den kan försvaga tillgång till kommunikationen. När man funderar på skyddad kommunikation borde man faktiskt bedöma vilka av dessa tre frågor är de viktigaste och välja skyddsmetoderna enligt dem. Nedan finns exempel på skyddsmetoder. Med hjälp av metoderna presenteras det skydd som kan nås när det gäller tillförlitlighet, integritet och tillgänglighet. Åtgärd Tillförlitlighet Integritet Tillgänglighet Skyddad e-post Förbättrar Ingen påverkan Försvagar Elektroniska signaturer Ingen påverkan Förbättrar Ingen påverkan Användning av bra lösenord/ Förbättrar Ingen påverkan Försvagar PIN-koder Senaste uppdateringar för Förbättrar Förbättrar Förbättrar program Öppenhet av WLAN-nät Försvagar Försvagar Förbättrar Kryptering av information Förbättrar Ingen påverkan Försvagar eller hela hårdskivan/minnespinnen Användning av de vanlig- Försvagar Ingen påverkan Förbättrar aste molntjänsterna WPA 2-kryptering av WLANnät Förbättrar Ingen påverkan Ingen påverkan 4

5 Bedöm behov av skydd 1. Tänk på vilka uppgifter du sänder, lagrar eller delar i de tjänster som du använder. 2. Överväg på basis av uppgifternas känslighet om det är nödvändigt att skydda uppgifterna. Ibland kan det vara viktigare att information finns lätt att tillgå och att den kan delas lätt. Då kan användning av starka skyddsmetoder försvåra smidig fördelning av information. 3. Välj eller kontrollera enligt den använda tjänsten en lämplig skyddsmetod, om det är väsentligt att skydda informationen. Det finns flera skyddsmetoder på olika nivåer för olika ändamål. En utomstående person kan vara intresserad av t.ex.: lokaliseringsuppgifter personuppgifter kontakt- och kommunikationsuppgifter bankuppgifter bilder filer arbetsmaterial de använda programmen och utrustningarna användarnamn och lösenord webbläddring. 5

6 Goda praxis Att välja ett lösenord Det lönar sig att använda olika lösenord i olika tjänster. Särskild uppmärksamhet borde fästas vid val och förvaring av användarnamn och lösenord till viktiga tjänster. Det är rekommendabelt att utnyttja tjänstens eventuella tilläggscertifiering. Då behöver användaren utöver ett lösenord också en verifikationskod för att logga in sig i tjänsten. Verifikationskoden kan skickas t.ex. till användarens mobiltelefon. Du använda lösenordstjänster och -program för att lagra lösenord till sådana tjänster som är mindre viktiga för dig. Anvisningar om hur man väljer ett bra lösenord (på finska) Vilka uppgifter för vilken tjänst? Överväg noggrant vilka uppgifter om dig själv du anger i tjänsten. Vid bedömning av skyddsbehovet lönar det sig att anta att det är möjligt att tränga in i alla system och det kan finnas sårbarheter i systemen som kan utnyttjas. Det kan vara nästan omöjligt att få bort sådana uppgifter som en gång har läckt ut på nätet. Tillräcklig informationssäkerhetsnivå i program Ta hand om att programmen i datorn och mobiltelefonen uppdaterats regelbundet. Användarnamn och lösenord hamnar ofta i orätta händer via ett skadligt program. Installera i din dator och mobiltelefon endast sådana program som du behöver. Föredra kända distributionskanaler och tillverkarens webbplatser. Vissa webbplatser föreslår inställning av program. Godkänn inte inställningen om du inte behöver programmet. Skyddad konfidentiell information Det lönar sig att kryptera datorns hårddisk och använda säkerhetskoder i mobiltelefonen om utrustningen förkommer. För att kryptera hårddisken kan man använda t.ex. TrueCrypt-programmet. För att kryptera filer och e-postmeddelanden kan man använda GPG/PGP-program. Ett annat alternativ är att använda ett separat krypterande lagringsmedium, t.ex. ett usb-minne. Krypteringslösningar som den nationella informationssäkerhetsmyndigheten NCSA-FI har godkänt (på finska) I nyare mobiltelefoner är det ofta möjligt att ta i bruk kryptering av uppgifter. Krypteringen kan också vara automatiskt aktiverad om mobiltelefonens säkerhetskoder har tagits i bruk. Det lönar sig att ta i bruk också tömning av uppgifterna i mobiltelefonen på distans. Säkerhetskopior och förvaring av dem Det lönar sig att regelbundet ta säkerhetskopior av data om utrustningarna förkommer och går sönder. Förvaringsplatsen ska övervägas noggrant. Det lönar sig att kryptera säkerhetskopior i synnerhet om de förvaras eller överförs på internet. 6

7 Mest använda tjänster, hot vid användningen av dem och skydd mot hoten Telefonitjänster Mobiltelefon (tal, sms, MMS) Samtalstrafiken i mobilnätet går i Finland, då uppringaren och mottagaren har finländska abonnemang och båda är i Finland under samtalet. Då iakttas finländska lagar i kommunikationen. Vid samtal till utlandet, då den andra parten vistas i utlandet eller använder ett utländskt abonnemang, kan också tillämpas lagar i mål- och transitländer för samtalet. Text- och multimediemeddelanden routeras inom Finland, då avsändaren och mottagaren är i Finland. Krypterad förbindelse: Samtalen i mobilnätet är krypterade mellan telefonen och basstationen. Krypterat nummer: Eget telefonnummer kan vara hemligt då numret inte förmedlas till mottagaren. I samband med text- och multimediemeddelanden visas även hemliga nummer i meddelandenas avsändaruppgifter. Internettjänster Tjänster som tillhandahålls på internet kan användas genom såväl ett fast bredbandsnät som ett trådlöst näts dataförbindelser. Nätets konstruktiva genomförande sker i Finland men de server som används för att producera nättjänster och webbplatser kan vara belägna utanför Finlands gränser. Webbläddring Till exempel: Nyhetstjänster, sökmotorer Då man sköter sina ärenden på nätet lämnar man ett spår om sig själv och de inmatade uppgifterna på de besökta webbplatserna. Exempel på de uppgifter som lagras är sökord, besökta webbplatser och bläddringshistoria. Dessutom ber flera webbplatser servern att lagra i minnet kakor om de uppgifter som användaren har matat in så att bläddrande på webbplatsen skulle vara smidigt för användaren. Nättrafik är internationell: I Finland är det inte tillåtet att lagra uppgifter användarspecifikt utan användarens samtycke men däremot är det tillåtet är göra allmän statistik över webbplatsbesök och de inmatade uppgifterna. Det ska beaktas att en betydande del av tjänsterna har genomförts utanför Finlands gränser, vilket betyder att de lagar som iakttas baserar sig på lagstiftningen i tjänsteleverantörens hemland. Att tjänsten tillhandahålls på finska garanterar inte att tjänsten har producerats i Finland. De uppgifter som lagras under besök på webbplatser kan användas för att definiera användarnas intresse, planera webbplatser och bilda användarprofiler i reklamsyfte. Gemensam användning av utrustningar: Det rekommenderas att tömma bläddringshistorian och kakorna efter användningen om även andra personer använder utrustningen. Det är möjligt att hindra lagring av sidohistorian också genom serverinställ- 7

8 ningarna. Du kan också förbjuda användning av kakor men det kan försvåra eller till och med hindra bläddring av vissa webbplatser. Kart- och navigeringstjänster Till exempel: Google Maps, Nokia Here Maps Kart- och navigeringstjänster är skräddarskydda tjänster för positionsuppgifter. Dessa tjänster används då användaren vill veta positionen för ett mål, sin egen position eller en rutt med hjälp av önskade mål. Uppgifter om positionssökningar lagras i tjänsteleverantörens system. Även flera andra webbplatser och -tjänster ber om användarens positionsuppgifter i samband med sidoladdningar för att presentera områdesspecifik information, såsom väderprognoser samt information om områdets evenemang och tjänster, på webbplatserna. Att begränsa positionsuppgifter: Användaren kan definiera genom tjänstens eller utrustningens inställningar att positionsuppgifter inte lämnas ut automatiskt. Vid användning av navigeringstjänster kan sändning av positionsuppgifter hindras genom att ladda ned kartorna i utrustningen. Då måste användaren själv uppdatera uppgifterna regelbundet. Sociala medier Till exempel: Facebook, Twitter, Instagram, diskussionsforum Det är rekommendabelt att bekanta sig med dataskyddspraxis för de sociala mediernas tjänster före användningen av tjänsterna och den kommunikation som behöver skyddas. Man ska komma ihåg att totalt ta bort uppgifter som en gång har publicerats. Man ska använda bra lösenord i tjänsterna för att skydda identiteten. Då uppgifter matas in lönar det sig att beakta att de inmatade uppgifterna kan vara åtkomliga även för personer utanför målgruppen. Tjänsterna i de sociala medierna lämpar sig inte i regel för förmedling av konfidentiella uppgifter. Snabbkommunikationsmedel Till exempel: Skype, Messenger Snabbkommunikationsmedel möjliggör att två elle flera personer kan kommunicera med varandra i realtid. Om du inte är säker på att snabbkommunikationsprogrammet använder kryptering eller vem som kan läsa det meddelande du skickar, ska du inte skicka konfidentiell information. E-posttjänster Till exempel: Gmail, Hotmail, Luukku, Yahoo, Suomi24, e-posttjänster som levereras i samband med ett bredbandsabonnemang Vid e-postkommunikation ska beaktas att förbindelsen är skyddad. Dessutom lönar det sig att vid behov kryptera meddelanden eller bilagor som innehåller konfidentiell information. Informationen om meddelandets mottagare kan inte krypteras eftersom den används på nätet för att överföra meddelandet till mottagaren. Det är rekommendabelt att bekanta sig med dataskyddspraxis för tjänsten före användningen av den. Det lönar sig också att kontrollera praxis för kommunikation som behöver skyddas. 8

9 Skyddad förbindelse: Använd en skyddad förbindelse i ditt e-postprogram i enlighet med e-posttjänsteleverantörens anvisningar. En skyddad förbindelse definieras i e- postprogrammets förbindelseinställningar. En skyddad förbindelse förhindrar att meddelanden mellan datorn och e-postservern kan avlyssnas. Vid användning av serverns e-post (t.ex. webmail-tjänster, Gmail, Google) kontrollera att e-postprogrammet är SSL-skyddat. SSL-skyddet krypterar innehållet i trafiken mellan din dator och webbplatsens server och hjälper till att verifiera webbplatsens äkthet. På webbplatsen används SSL-skyddet om låssymbolen som anger detta är stängd och adressen börjar med Skyddat innehåll: Innehållet i ett e-postmeddelande kan krypteras genom att använda en separat krypteringsmetod. Du måste komma överens om krypteringssättet med mottagaren. I de flesta fall måste mottagaren använda samma krypteringsprogram för att dekryptera meddelandet eller känna till det lösenord som använts vid krypteringen. Vid kryptering av meddelandets innehåll kan man t.ex. använda program som är avsedda för att skydda e-post, såsom PGP (Pretty Good Privacy). Molntjänster Till exempel: Dropbox, Skydrive Molntjänster används generellt för att förvara information, t.ex. säkerhetskopior, och att smidigt dela stora datamängder, såsom fotoalbum. Vid användning av molntjänster lönar det sig att fästa uppmärksamhet på val av lösenord, skyddad förbindelse och att skydda innehåll som anses vara konfidentiellt eller känsligt. Skyddat innehåll: De konfidentiella filer (bilder, videor, dokument) som lagras i molntjänster kan krypteras före överföringen av filerna för att öka säkerhet. Nätbutiker och -banker Till exempel: Amazon, Ebay Vid förmedlingen och inloggningsuppgifterna av nättjänsters betalningsrörelse förmedlas ofta betalningsmedel- och personuppgifter som borde endast skickas via en skyddad internetförbindelse. Skyddad förbindelse: Kontrollera alltid innan du matar in konfidentiella uppgifter att det på sidan används SSL-skyddet. SSL-skyddet krypterar innehållet i trafiken mellan din dator och webbplatsens server och hjälper till att verifiera webbplatsens äkthet. På webbplatsen används SSL-skyddet om låssymbolen som anger detta är stängd och adressen börjar med Genom att klicka på låssymbolen får du fram i webbläsarprogrammet de uppgifter som verifierar webbplatsens äkthet. Webbadressen i uppgifterna ska motsvara webbadressen på webbläsarens adressfält. 9

10 Internetförbindelser Trådförbindelser är i regel alltid tryggare än trådlösa förbindelser. Således är det rekommenderat att använda trådförbindelser, särskilt i hemmabruk. Många utrustningar kan dock anslutas till internet endast över trådlösa förbindelser. Trådlösa internetförbindelser hemma Internetförbindelsen hemma har oftast genomförts med en ADSL- eller kabelförbindelse som liknar en bredbandsförbindelse. Vanligt för dessa förbindelsetyper är att förbindelsen delas trådlöst med en WLAN-basstation t.ex. så att hela hushållet kan använda förbindelsen. Trafiken som sker via egen WLAN-basstation ska skyddas så att: 1. trafiken som går via stationen kan inte direkt avlyssnas och 2. anslutning till den är omöjligt utan ett lösenord. För tillfället rekommenderas det att använda WPA2-kryptering (Wi-Fi Protected Access 2). Anvisningar för informationssäkerheten av trådlösa lokalnät (på finska) Offentliga internetförbindelser De vanligaste offentliga internetförbindelser är de s.k. WLAN-näten som har en okrypterad förbindelse. Öppna nät finns t.ex. på flygstationer, kaféer, köpcentra och andra offentliga lokaler. Vem som helst kan koppla sig till ett WLAN-nät, och vem som helst kan då avlyssna och lagra datatrafik som överförs via förbindelsen, om de tillämpningar som används inte krypterar trafiken. Det vanligaste exemplet på kryptering som tillämpningen använder är https som nätbankerna använder. Många offentliga öppna WLAN-nät kräver en separat inloggning genom webbplatsen före förbindelsen uppkopplas. Inloggning i ett öppet nät krypterar dock inte trafiken. Användarna av ett öppet WLAN-nät ska säkerställa av nätoperatören uppgifterna och användningsvillkoren för det nät som används. Mobilförbindelser Dataöverföring som sker i mobiltelefonnäten mellan basstationen och mobilutrustningen är krypterad i Finland. 10

11 Användning av datormobiler En datormobil används för samtal samt för att utnyttja internettjänster. De allmänna inställningarna för kommunikation görs då mobilen tas i bruk. Tjänsterna används främst med hjälp av applikationer som laddas ner till datormobilen. De flesta applikationerna förutsätter att användaren ger sitt samtycke till exempel för användning av nättrafik eller lokaliseringsuppgifter. Flera applikationer använder molntjänster för att lagring av applikationsinformation eller säkerhetskopiering. Allmänna principer En användare kan sätta upp allmänna rättigheter för kommunikation i telefonens operativsystem då han eller hon tar telefonen i bruk. Användaren kan ändra uppsättningarna senare. Vid installation av applikationen godkänner eller förkastar användaren applikationens rättigheter för kommunikation. Om användaren inte godkänner de rättigheter som applikationen kräver, kommer en del av applikationerna inte att fungera eller alla applikationsegenskaper inte att vara tillgängliga. Beakta telefonens användningsändamål Det lönar sig att fundera på vilket ändamål man använder telefonen för och hur känslig information man behandlar med telefonen när man tänker på rättigheterna för den information telefonens operativsystem och tillämpningar förmedlar. I vissa arbetsuppgifter kan det vara skäl att begränsa den nättrafik eller de lokaliseringsuppgifter som telefonen förmedlar. Begränsningarna kan dock minska användningsmöjligheterna för en datormobil som används för basfunktioner. Till exempel följande applikationer behöver vissa användningsrättigheter för att kunna fungera: Applikationer som berättar om tjänster som finns tillgängliga i närheten av telefonen behöver användarens lokaliseringsuppgift för att kunna fungera. Applikationer som är avsedda för att hålla kontakt kan utnyttja kontaktinformationen i telefonkatalogen, och de behöver inte lagras för varje applikation. Det finns ändå en möjlighet att lokaliseringsuppgifterna eller telefonkatalogen förmedlas och lagras också på servrar för den som underhåller applikationen. Arbetsgivarna ska tänka på saken och vägleda personalen vid användningen av datormobiler i arbetsbruk. Arbetsgivarna kan bland annat göra anvisningar om de inställningar som behövs när telefonen tas i bruk, i enlighet med organisationens informationssäkerhetspolicy, och vägleda personalen i principerna om att använda telefonen. Beakta åtminstone följande saker om de uppgifter som förmedlas: Lokaliseringsinformation/Positionsinformation Säkerhetskopiering Kontaktinformation Kalender 11

12 Datormobilerna kan också be om godkännande för följande ändamål: Överföring av information om uppföljning av reklam Överföring av information om användning av tangentbord eller användningserfarenhet för att förbättra tjänsten Sändning av uppgifter om WLAN-basstationer Sändning av uppgifter om mobilnätets basstationer Automatiska uppdateringar Att börja använda en datormobil För att kunna använda en datormobil ska man öppna ett användarkonto till programtillverkarens tjänst. Kontot används för att ladda ner telefonens uppdateringar och applikationer från tillverkarens applikationsbutik. Samma konto kan också vara kopplat till andra tjänster, såsom e-post. En tjänsteleverantör kan i sin egen tjänst kombinera den information den fått från samma konto med annan information från samma tjänsteleverantörs tjänster. Det lönar sig att aktivera ytterligare auktoriseringsåtgärder för inloggning på användarkontot. Under avsnittet Goda praxis finns ytterligare information om att välja ett lösenord. Då en datormobil tas i bruk är det också möjligt att installera tjänster som hänför sig till positionering, till exempel positionsbestämning av en stulen telefon. Det är skäl att bedöma informationssäkerhetsriskerna för dessa tjänster fall för fall. Det lönar sig att aktivera automatiska programuppdateringar, med beaktande av eventuell spärr av uppdatering då man använder datormobilen i utländska mobilnät (roamingkostnader). Mer information om användning av applikationer i avsnittet Mest använda tjänster, hot vid användningen av dem och skydd mot hoten. 12

13 Användning av kommunikationstjänster utomlands Finländska leverantörer av kommunikationstjänster, såsom leverantörer av e- posttjänster ska sörja för sina kommunikationstjänsters tillförlitlighet, integritet och tillgänglighet. I alla länder garanterar lagstiftningen inte ett lika ovillkorligt skydd avseende elektronisk kommunikation som i Finland. Finländska myndigheter kan inte garantera att de kommunikationstjänster som utländska teleföretag tillhandahåller är informationssäkra eller fungerar tillförlitligt. T.ex. att ringa med mobiltelefon utomlands garanterar inte kommunikationens tillförlitlighet, även om det finns ett finländskt teleföretags SIM-kort i telefonen. Samma gäller också användning av en e-posttjänst som ett finländsk teleföretag tillhandahåller, eftersom då används en internetförbindelse som ett utländskt teleföretag tillhandahåller. 13

14 Kontaktuppgifter PB 313 Östersjögatan 3 A Helsingfors Telefon: Telefax: