Tilbake

Sikker e-post

På denne siden finner du det du trenger å vite for å jobbe trygt med e-post.

Temasider: E-post og kalender | Informasjonssikkerhet | Sider merket med e-post

Informasjonsklassifisering og konfidensialitet #

Konfidensialitet er et grunnleggende premiss innen all informasjonsbehandling, og omhandler at informasjonen ikke skal være åpen for alle. Dette krever at vi har en bevissthet for hvordan vi klassifiserer informasjonen vi behandler, da dette har betydning for hvilke digitale verktøy vi kan behandle den i. På NTNU opererer vi med fire konfidensialitetsklasser: Åpen, Intern, Fortrolig og Strengt fortrolig.

E-post som sendes over det åpne internett uten sikringstiltak vil være mulig å avlytte. Av den grunn er e-post best egnet for informasjon som kan klassifiseres som Åpen. I den påfølgende teksten redegjøres det for hvilke sikringstiltak som er tilgjengelig for NTNUere og som muliggjør bruk av e-post til de øvrige konfidesialitetsklassene.

Personopplysninger og sensistive personopplysninger #

Det som ofte skaper forvirring når informasjon skal klassifieres er forskjellen mellom personopplysninger og sensitive personopplysninger.

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske eksempler er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes også som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen.

En sensitiv personopplysning er en opplysning som under visse forhold kan være hemmende eller direkte farlig for enkeltpersoner om den lekker (for eks. etnisitet, politisk oppfatning, fagforeningsmedlemskap, helseopplysninger, seksuelle forhold og legning, straffedommer, og religiøs oppfatning).

Les Datatilsynets redegjørelse om personopplysninger og sensitive personopplysninger.

Hvordan klassifiserer vi personopplysninger? #

En personopplysning som ikke regnes som sensitiv klassifiseres som intern. Sensitive personopplysninger er fortrolig eller strengt fortrolig informasjon. Dette gjelder også i den nye Personopplysningsloven (GDPR).

Hvordan skal vi så vurdere dette når vi bruker e-post? Allerede fra klassifiseringsnivå 2 – Intern – må vi vurdere om informasjonen kan deles på e-post og til hvem.

E-post mellom ansatte ved NTNU #

En e-post som sendes internt fra en NTNU-ansatt til en annen NTNU-ansatt forlater ikke vårt nettverk så lenge man bruker epost-adresse tildelt fra arbeidsgiver (fornavn.etternavn@ntnu.no), og NTNU har bedre kontroll på sikringen av nettverket e-posten sendes over. 

Dette betyr at e-post fra NTNU-adresse til NTNU-adresse har god nok digital sikkerhet til å sende informasjon klassifisert som intern uten ytterligere sikring.

NB! E-post mellom ansatte og studenter sendes utenfor NTNU-nettverket. Her kan du derfor ikke sende informasjon klassifisert som intern.

E-post fra ansatte til eksterne e-postkontoer #

E-post fra en ntnu.no-konto til f.eks. en privat epost-konto, eller til en annen virksomhet vil alltid forlate vårt interne nettverk før den lander i innboksen til mottaker. 

Hvilken vei og gjennom hvilke land e-posten sendes er derfor utenfor vår kontroll. Dette er spesielt viktig å huske hvis e-posten inneholder personopplysninger. Hvis det ikke finnes noen sikkerhetsmekanismer på e-posten, så kan denne teoretisk snappes opp og leses på veien.

Det er derfor stor forskjell på å sende e-post internt mellom NTNU-ansatte og til eksterne. Vi kan ikke sende intern e-post til eksterne adresser uten ytterligere sikring.

Kryptering av informasjon i e-post #

Så hva gjør vi hvis vi skal sende informasjon klassifisert som intern på e-post ut av NTNU, eller vi må sende informasjon merket fortrolig eller strengt fortrolig? Det er fullt mulig å benytte e-post til å sende fortrolig informasjon, men det krever at innholdet blir kryptert. Under finner du veiledninger for tre ulike måter å kryptere informasjon på:

  1. Selve e-posten kan krypteres, men dette krever at både du og mottaker har installert digitale sertifikater.
    Se veiledning om kryptering og signering av e-post
  2. Kryptering av Office-dokumenter: Alle Office-dokumenter har innebygget en krypteringsfunksjon som kan enkelt kan brukes ved å sette et sterkt passord.
    Se veiledning om kryptering av office-dokumenter
  3. Kryptering av andre filtyper ved hjelp av programmet 7-zip. Her kan du lage deg et arkiv med filer og zippe de ned med passordbeskyttelse.
    Se veileding om kryptering av andre filtyper

Alle disse tre tilnærmingene til kryptering benytter sterke krypteringsalgoritmer og anses som sikre nok til å sende fortrolig og strengt fortrolig informasjon. Det viktige her er at du setter et sterkt passord og sender dette via en annen kanal enn e-post, for eks. via SMS.

Rapporter mistenkelig e-post #

Dersom du får en mistenkelig e-post så skal dette varsles til NTNU SOC.

 Rapporter mistenkelig e-post 

Ofte stilte spørsmål #

Bør jeg slette gamle e-poster? #

Svar: Har du har sensitive personopplysninger liggende i gammel e-post, må dette slettes. Er innholdet i e-postene arkivverdig, bør det overføres til ePhorte. Også gamle e-poster som inneholder fødselsnummer må slettes. Har du e-post med vanlige personopplysninger, skal ikke dette lagres lenger enn det som er nødvendig.

Hvor lang tid bør jeg synke e-poster? #

På mobil og pc lagrer de lokale programmene e-postene dine lokalt. ved f.eks tyveri kan vel det utgjøre en risiko? Hva er anbefalt lengde på synkronisering og hvordan stiller jeg det inn?

Svar: På mobile enheter så anbefaler vi at man maks lagrer 30 dager tilbake i tid. På egen PC der harddisken er kryptert så er det opptil hva man ønsker selv.

Kontakt #

Orakeltjenesten kan hjelpe deg om du har spørsmål eller opplever problemer.

0 Vedlegg
5152 Visninger
Gjennomsnitt (1 Stemme)