Skip to main content

Skydda mail oavsett mottagare och enhet

Förändringsprocessen är alltid krävande för våra verksamheter och att anpassa en användare att förändra tidigare vanor kan vara så gott som omöjligt. Detta är en stor utmaning när man inför ett informationsskydd. Något jag ofta får höra när det kommer till att konsumera krypterade mail på mobila enheter är att “jag kommer inte byta ut min favorit-mailklient”. I de flesta fallen är det den inbyggda standardappen på både iPhone och Android, alternativt att användaren har hittat någon annan favorit som den vägrar gå ifrån. Tidigare har vi haft möjlighet att konsumera krypterade mail i Outlook appen (vilket är min favorit för mail och kalender på iPhone) men alla vill/kan/får inte byta ut sin nuvarande app för mail.

Det är av ännu större vikt att minska kraven på mottagaren av det krypterade meddelandet, i många fall är det komplexitet som till slut resulterar i att den känsliga informationen skickas utan kryptering.

Det finns nu en uppdaterad app i både Google Play Store och Apple App Store vid namn Azure Information Protection (AIP) Viewer (tidigare RMS Sharing App). Den största uppdateringen är att den nu kan öppna RPMSG filer, alltså RMS/AIP-krypterade mail.

Det här resulterar i att användarna kan använda precis vilken mail-klient de vill. När de får ett krypterat mail i formatet RPSMG kan de välja att öppna just detta mail med AIP Viewer och kan då konsumera innehållet.

 

image

Client-side kontra Server-side encryption

Tack vare ovanstående metod att dekryptera och konsumera krypterade mail på våra mobila enheter används det som kallas client-side encryption. Det här betyder att dekrypteringen sker på användarens enhet, vilket motsvarar samma metod som traditionellt används i Office och på våra Windows-enheter.

För att dekryptera mail via exempelvis webbläsaren i Outlook Web App eller Exchange ActiveSync där vi inte har möjlighet att “bootstrapa” användarens enheten (klicka för en djupare förklaring om hur krypteringen fungerar) används så kallad Server-side-encryption. I det här fallet är det Exchange som dekrypterar innehållet baserat på rättigheterna för den autentiserade användaren.

För att det här skall fungera behöver vi aktivera IRM-stöd i Exchange som i bakgrunden aktiverar en egen RMS motor i Exchange med en import av organisationsnyckeln. Inom en snar framtid kommer Exchange få stöd för HSM (BYOK konceptet) men idag saknas dess funktion och därmed kan inte Server-side encryption aktiveras om man kör BYOK/HSM. Det finns även organisationer som av policyskäl enbart tillåter client-side encryption och därmed inte tillåter server-side encryption vilket resulterar i att webbläsare och Active-syncbaserade mailklienter inte kan nyttjas för RMS/AIP-skyddade mail.

Tack vare Azure Information Protection Viewer kan

· Användaren och mottagaren använda vilken mail klient som helst

· Innehållet dekrypteras på enheten

· Organisationen använda BYOK

 

Vi kommer inom en snar framtid få fler funktioner för att kunna dela krypterad information utan några som helst krav på konto eller mailklient hos mottagaren. Vilket bland annat drar nytt av den teknik som redan idag finns i Office 365 vid namn Office 365 Message Encryption (OME) som också ger möjlighet att kryptera till vem som helst utan några krav på mottagaren. OME saknar dock den spårbarhets och revokeringsmöjlighet som Azure Information Protection idag har.

En spännande framtid väntar runt informationsskydd så följ ITSäkerhetsGuiden och missa inte TechDays om några veckor för att få reda på det senaste.

Läs hela artikeln