Det har talats mycket om hur svenska myndigheter och organisationer skickar och tar emot sin e-post på sistone. Bland annat har det riktats kritik mot kommuner som spam- och virusfiltrerar sin e-post utanför Sverige.
Anne-Marie Eklund-Löwinder, kvalitets- och säkerhetschef på .SE, ifrågasätter på sin blogg integriteten hos Stockholms Stad då de låter en del av sin e-post virus- och spamtvättas i USA.
Jag är rädd att denna typ av kritik kan misstolkas och ingjuta en falsk känsla av säkerhet hos de som behåller sin fysiska utrustning inom Sveriges geografiska gränser. Traditionell "geografi" fungerar helt enkelt inte på Internet. Internet är gränslöst.
Någonstans verkar man ha missat två saker som är extremt viktiga att känna till om Internet och e-post:
1. Ingen kan i förväg bestämma vilken väg ett allmänt e-postmeddelande tar över Internet
Även om både mottagande och avsändande server står inom Sveriges geografiska gränser kan mailet komma att routas via nätverk på andra sidan Atlanten. Det är hela idén med Internets design; det ska alltid finnas en framkomlig väg. Det är därför det heter "web" - inte "line".
En mycket stor del av e-posten från Sveriges medborgare skickas dessutom från Amerikanska e-postservrar som t.ex. Gmail och Hotmail och skickas oundvikligen från USA.
En enkel tracert-test visar tydligt hur min e-post - från min 100% svenska server - routas via Norge när jag skickar mailar till grannens 100% svenska server på kontoret dörren bredvid!
2. SMTP är inte en säker kommunikationskanal
E-post skickas med ett relativt enkelt protokoll som kallas för SMTP (Simple Mail Transfer Protocol). Det betyder att e-posten som standard skickas i klartext och alltså inte är mer hemligt än ett vykort utan kuvert på posten! SMTP tillåter dessutom att avsändaren kallar sig för vad som helst, alltså finns inget som verifierar att avsändaren är den han utger sig för att vara. Det finns möjlighet att skicka e-post över krypterad kanal (TLS) men det är alltid beroende av att både mottagaren och avsändaren har stöd för detta.
Till den som idag står i valet och kvalet om virus- och spamfiltrering till sin verksamhet vill jag råda er att granska säkerhetsleverantörens möjligheter och resurser för att identifiera skadlig kod och spionprogram som kan stjäla verkligt känslig information - en betydligt större risk och utmaning än den geografisk placering av hårdvaran som filtrerar e-posten.
Anne-Marie Eklund-Löwinder, kvalitets- och säkerhetschef på .SE, ifrågasätter på sin blogg integriteten hos Stockholms Stad då de låter en del av sin e-post virus- och spamtvättas i USA.
Jag är rädd att denna typ av kritik kan misstolkas och ingjuta en falsk känsla av säkerhet hos de som behåller sin fysiska utrustning inom Sveriges geografiska gränser. Traditionell "geografi" fungerar helt enkelt inte på Internet. Internet är gränslöst.
Någonstans verkar man ha missat två saker som är extremt viktiga att känna till om Internet och e-post:
1. Ingen kan i förväg bestämma vilken väg ett allmänt e-postmeddelande tar över Internet
Även om både mottagande och avsändande server står inom Sveriges geografiska gränser kan mailet komma att routas via nätverk på andra sidan Atlanten. Det är hela idén med Internets design; det ska alltid finnas en framkomlig väg. Det är därför det heter "web" - inte "line".
En mycket stor del av e-posten från Sveriges medborgare skickas dessutom från Amerikanska e-postservrar som t.ex. Gmail och Hotmail och skickas oundvikligen från USA.
En enkel tracert-test visar tydligt hur min e-post - från min 100% svenska server - routas via Norge när jag skickar mailar till grannens 100% svenska server på kontoret dörren bredvid!
2. SMTP är inte en säker kommunikationskanal
E-post skickas med ett relativt enkelt protokoll som kallas för SMTP (Simple Mail Transfer Protocol). Det betyder att e-posten som standard skickas i klartext och alltså inte är mer hemligt än ett vykort utan kuvert på posten! SMTP tillåter dessutom att avsändaren kallar sig för vad som helst, alltså finns inget som verifierar att avsändaren är den han utger sig för att vara. Det finns möjlighet att skicka e-post över krypterad kanal (TLS) men det är alltid beroende av att både mottagaren och avsändaren har stöd för detta.
Till den som idag står i valet och kvalet om virus- och spamfiltrering till sin verksamhet vill jag råda er att granska säkerhetsleverantörens möjligheter och resurser för att identifiera skadlig kod och spionprogram som kan stjäla verkligt känslig information - en betydligt större risk och utmaning än den geografisk placering av hårdvaran som filtrerar e-posten.
Inga kommentarer:
Skicka en kommentar