Szyfrowanie poczty – obowiązkiem w Danii

Szyfrowanie Danych - szyfrowanie poczty to w Dani już obowiązek

Dania pierwszym krajem, gdzie obowiązkiem staje się szyfrowanie poczty elektronicznej. Robisz biznes w lub z partnerami w Danii? – lepiej to przeczytaj.

Szyfrowanie poczty to zalecany sposób na ochronę danych przetwarzanych w internecie. W RODO pojawia się czterokrotnie : w motywie 83, oraz art. 6, 32 i 34. Od 1 stycznia 2019 w Danii, to zalecenie staje się obowiązkiem.

Duński organ ochrony danych osobowych zmienia obowiązującą od 2009 roku rekomendację szyfrowania na obligatoryjny nakaz. Szyfrowania będzie wymagała korespondencja biznesowa zawierająca szczególne kategorie danych (tzw. dane wrażliwe). Informację o tym fakcie możecie przeczytać w wiadomości o dźwięcznym tytule  „ Skærpet praksis ift. krypteret e-mail ”.

Jest to pierwszy taki obowiązek w Unii Europejskiej i znamienny wskaźnik który pokazuje, że ochrona danych osobowych przestaje być sprawą drugorzędną i fakultatywną.

Przypomnijmy czym są opisane w art 9 RODO dane wrażliwe: są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, danych biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Duński obowiązek jest rezultatem poważnej interpretacji zapisów art. 9 RODO.

Czym jest szyfrowanie danych w poczcie elektronicznej?

Szyfrowanie danych to transformacja tych danych z postaci jawnej do postaci zaszyfrowanej, przez co ich treść jest (a ściślej – powinna być) niemożliwa do odczytania bez udziału odpowiedniego procesu odwrotnego, zwanego deszyfrowaniem.

Zgodnie z duńską regulacją to administrator danych, na podstawie oceny skutków przetwarzania podejmuje decyzję jaki sposób szyfrowania będzie w konkretnej sytuacji adekwatny do „wagi” przetwarzanych danych. – Czy będzie to szyfrowanie TLS czy też rozwiązanie „End to end”.

Szyfrowanie TLS –co to jest?

Szyfrowanie TLS to protokół, który zabezpiecza dane podczas ich transferu. Zabezpieczenie to jest trojakie i obejmuje poufność danych, integralność danych oraz zabezpieczenie przed przekierowaniem na niewłaściwą stronę internetową. Opisując protokół TLS obrazowo: przypomina to przesyłanie kartki pocztowej – wrzucasz pocztówkę do skrzynki i już jej nie widzisz. Osoby „z ulicy też nie” ale… – pracownicy firmy lub firm pocztowych, którzy Twoją kartkę transferują i przechowują – owszem. Dlaczego? – choćby dlatego, że odebrana przesyłka w postaci rozszyfrowanej jest dostępna na pocztowym serwerze. Idąc dalej tą analogią – Twoja kartka czeka teraz w skrzynce pocztowej adresata i każdy przechodzień widzi, że ona tam jest. Wystarczy wejrzeć przez przysłowiową dziurkę i… „miasto huczy” 😉

Bezpieczniejszym rozwiązaniem jest szyfrowanie „End to end”

Szyfrowanie End to end – co to jest?

Szyfrowanie End to end, to zabezpieczenie wiadomości podczas tranzytu i podczas spoczynku. Wracając do naszej pocztowej analogii, przypomina to wysłanie wiadomości w skrzynce zamkniętej na kłódkę. Nie dość, że obsługujący tranzyt nie widzą treści, to jeszcze trafia ona do konkretnego odbiorcy, który ma unikalny klucz do otwarcia kłódki. Jest to metoda, która wykorzystuje kryptografię asymetryczną, zwaną również kryptografią klucza publicznego i prywatnego.

Jak to działa? Jeśli Janek (nadawca) chce wysłać prywatną wiadomość do Anny (odbiorcy), to najpierw musi zaszyfrować wiadomość przy użyciu publicznego klucza Anny, który jest znany i dostępny dla wszystkich. Janek następnie wysyła zaszyfrowaną wiadomość na skrzynkę odbiorczą Anny, która może otworzyć i odszyfrować wiadomość za pomocą swojego klucza prywatnego, znanego tylko jej. W ten sposób Janek ma pewność, że wiadomość odczyta właśnie Anna, ponieważ bez użycia klucza, mail wygląda jak bezładny ciąg liter. Co ważne- zaszyfrowane wiadomości są chronione podczas tranzytu wiadomości do skrzynki odbiorczej odbiorcy oraz podczas przechowywania jej na serwerze pocztowym i kliencie poczty. Co ciekawe – ta metoda szyfrowania również zabezpiecza Janka… przed nim samym. Ponieważ wiadomości zaszyfrowanej przy użyciu klucza publicznego, Janek już tym kluczem nie rozszyfruje. Co innego, gdyby Janek i Anna szyfrowali pocztę symetrycznie – za pomocą jednego hasła – wówczas Janek miałby do swojej wiadomości dostęp, jak i każdy – komu Janek przekazałby hasło.

Jeśli temat szyfrowania danych zainteresował Cię, i chcesz go zacząć stosować, to mam dla Ciebie dobrą wiadomość: Są narzędzia, w tym bezpłatne, które możesz zastosować do szyfrowania End to end, nawet w celach komercyjnych. Ten temat jednak rozwinę w jednym z kolejnych wpisów.

Artykuł opracowałem między innymi na podstawie poniższych źródeł:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/jul/skaerpet-praksis-ift-krypteret-e-mail/

https://litmus.com/blog/beyond-gdpr-denmark-makes-email-encryption-mandatory

https://www.natlawreview.com/article/denmark-implements-email-encryption-requirement-what-countries-will-follow

https://tutanota.com/blog/posts/denmark-email-encryption-gdpr

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *