E-post er praktisk, men er like lite diskret som å sende postkort uten konvolutt. Meldingen kopieres gjentatte ganger mellom avsender og mottaker, og man må regne med at hvem som helst kan lese den. Fingertrøbbel ved inntasting av e-postadresse er en annen årsak til at e-post lett kommer på avveie. Derfor frarådes man å skrive noe som ikke kunne stått i krigstyper i en tabloidavis.
Hva skal man da gjøre hvis man vil sende følsomme opplysninger per e-post?
Individer kan velge PGP («pretty good privacy»), men i praksis erfarer de fleste at denne løsningen er uhåndterlig. Bedrifter kan opprette PKI-baserte løsninger seg i mellom: Da er alt greit så lenge man begrenser forsendelsen av følsom informasjon internt i lukkede brukergrupper.
Gründer og daglig leder Trond Lemberg i Message Management mener han har hogget over denne gordiske knuten. Han er godt kjent i det norske IT-sikkerhetsmiljøet, som gründer av PKI Consulting Services og Validsign.
I morgen lanserer Lemberg en ny tjeneste: Protectoria.
– Den kan beskrives som «rekommandert e-post til enhver som har e-post og mobiltelefon», sier han til digi.no.
Poenget er at enhver som vil, kan opprette en Protectoria-konto. Da kan de sende e-post over krypterte kanaler til hvem som helst, uavhengig av hva slags e-postklient de bruker. Det eneste kravet til mottakeren av rekommandert e-post, er at vedkommende disponerer e-post og mobiltelefon.
Tjenesten er tilrettelagt slik at avsenderen benytter Microsofts e-postklient Outlook, eventuelt en web-basert e-posttjeneste. I Outlook tilføyes brukergrensesnittet en ny knapp, merket «Send Protected».
Meldingen redigeres som normalt, og kan utstyres med vedlegg. Trykker man på «Send Protected», går meldingen kryptert til en trygg server. Denne serveren sender mottakeren en melding om at det foreligger en e-post som er sendt rekommandert. Den sender også en PIN-kode i en tekstmelding til mottakerens mobiltelefon. E-posten inneholder en lenke til den opprinnelige e-postmeldingen, som mottakeren får tilgang til ved å oppgi PIN-koden. Avsenderen får en bekreftelsen på at den rekommanderte sendingen er mottatt.
– Med denne løsningen kan du sende følsom informasjon når du vil til hvem du vil. Vi mener vi har senket den tekniske terskelen for sikker e-post betraktelig. Protectoria er bruker- og kundevennlig, og sikkerheten er akseptabel for de fleste.
Forsøk på å forfalske den sikre lenken til mottakeren vil avsløres fargekoden i adresselinjen i moderne nettlesere, på samme måte som nettbank og liknende tjenester.
Forretningsideen bak Protectoria er også enkel.
– Modellen er hentet fra postkontoret. Du kjøper noe tilsvarende et frimerkehefte, slik at du betaler per sending. Man kan kjøpe for 300 kroner om gangen, eller for flere tusen. Poenget er at man alltid betaler per bruk, og tjenesten er alltid tilgjengelig.
I utgangspunktet vil Protectoria legge seg på en standardpris på 12 kroner per rekommandert sending, forteller Lemberg. Det er det samme om det en 50 grams a-postsending koster i dag. Bedrifter som forhåndsbetaler store summer, kan få gode rabatter.
Den sikre serveren driftes i et militært senter hos Thales.
– Alle operatører er sikkerhetsklarert av Forsvaret, og nøkler og så videre forvaltes av dette personalet.
Selv om Synovate-undersøkelser avdekker at mange har en feilaktig oppfatning av hvor trygt det er med e-post, tror Lemberg det er i ferd med å bli allemannskunnskap at så ikke er tilfelle. I en fersk undersøkelse sier annenhver leder og annenhver advokat at de oppfatter e-post som en trygg måte å sende informasjon på, og 35 prosent opplyser at de gjerne sender konfidensielle opplysninger per e-post.
– Vi har brukt risikoanalyser fra Norsis til å regne på hva slags følger en slik holdning kan få en bedrift med 100 ansatte innen advokat- og bedriftsrådgivning, der det sendes fem e-postmeldinger per ansatt per dag. Risikoanalysene vurderer både sannsynligheten for at e-post kommer på avveie, og hva slags opplysninger som følsomme meldinger kan bidra til å avsløre.
Lemberg skiller mellom tre typer skader på avsenderens omdømme: Omdømmeskandale med uopprettelig tap av tillit (børssensitiv informasjon eller helseopplysninger havner hos uvedkommende), omdømmekrise (en forhandlingsposisjon kommer på avveie) og riper i lakken (forretningsstrategier, rekrutteringsplaner og liknende kommer på avveie).
– Bedriften i vårt eksempel kan forventes å oppleve åtte tilfeller i året med riper i lakken. En omdømmekrise kan forventes fire ganger i året, mens en omdømmeskandale kommer en gang annet hvert år.
Ut fra dette kan det å spandere noen tusen kroner i året for å sende utvalgte e-poster rekommandert, fortone seg som en rimelig investering.