Standarder for sikker informasjonsutveksling på Internett

Difi har på oppdrag fra Kommunal- og moderniseringsdepartementet vurdert tekniske standarder for sikker informasjonsutveksling på Internett. Dette notatet beskriver hva vi mener med uønsket trafikk på Internett og bruk av tekniske standarder som risikoreduserende tiltak på området informasjonssikkerhet.

Publisert: 06. des 2018, Sist endret: 16. apr 2019

Med faglig bistand fra Nasjonal kommunikasjonsmyndighet, Uninett Norid og Nasjonal sikkerhetsmyndighet har Difi valgt fire sikkerhetstiltak som er beskrevet som standarder vi ønsker å få inn i Referansekatalogen for IT-standarder. To av disse er forsterkning av eksisterende standarder i Referansekatalogen for IT-standarder og to av tiltakene er forslag til nye standarder i samme katalog.

Difi har også sett på muligheter for forsterkende tiltak som vil bidra til at standardene brukes riktig og på en effektiv måte.

Tiltak for sikker kommunikasjon mellom bruker og nettsted

Standarden er en oppdatering av referansekatalogens anbefaling om bruk av «Hypertext Transport Protocol Secure» (HTTPS). Den nye anbefalingen er at HTTPS alltid skal brukes, og dette understøttes ved å anbefale bruk av  mekanismen HTTP Strict Transport Security (HSTS).

Difi har foreslått at denne standarden blir obligatorisk ved å fastsette den i forskrift.

Tiltak for transportsikring av e-post

Standarden er en oppdatering av referansekatalogens anbefaling om bruk av mekanismen «SMTP Service Extension for Secure SMTP over Transport Layer Security» (STARTTLS) ved overføring av e-post. Denne mekanismen har kjente sårbarheter og vi har foreslått å bruke mekanismen «SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security»  (SMTP-DANE) som et risikoreduserende tiltak.

Tiltak for å motvirke falske avsendere av e-post

Dette er en ny standard i Referansekatalogen og er en anbefaling om å bruke mekanismen «Domain-based Message Authentication, Reporting & Conformance» (DMARC) sammen med minst en av de to mekanismene «Sender Policy Framework» (SPF) og «DomainKeys Identified Mail» (DKIM).

Tiltak for bedre sikkerhet i domenenavnsystemet

Dette er en ny standard i Referansekatalogen og er en anbefaling om å bruke sikkerhetsmekanismen «DNS Security Extensions» (DNSSEC). Dette er et risikoreduserende tiltak mot integritetsbrudd i domenenavnsystemet og vil redusere sårbarheter i blant annet mekanismene som brukes i tiltak for å  motvirke falske avsendere av e-post og tiltak for transportsikring av e-post.

Forsterkende tiltak som vil bidra til at standardene brukes riktig og på en effektiv måte

Difi foreslår å etablere en tjeneste hvor virksomheter kan sjekke at de har iverksatt alle de anbefalte tekniske standardene og få henvisninger til veiledninger om hvordan de enkelte mekanismene skal settes opp.