E-mails og SMS'er med links til STARs løsninger

Owned by Knud de Place (STAR)
Last updated: Jan 10, 2017
2 min read

Almindelige e-mails og SMS'er til borgere, virksomheder og sagsbehandlere må ikke indeholde direkte links til løsningens login-side, når der kan anvendes NemID til at logge på løsningen.

Begrundelse:

Digitaliseringsstyrelsens retningslinjer https://www.nemid.nu/dk-da/pas_paa_dit_nemid/pas_pa_snyde_e-mails_og_smser/anbefalet_sikkerhedspolitik_for_link_i_e-mail/index.html


Anbefalet sikkerhedspolitik for link i e-mail fra offentlige myndigheder til borgere

Denne sikkerhedspolitik gælder e-mail sendt direkte til borgerens e-mail-adresse. Meddelelser sendt til borgerens Digitale Postkasse på borger.dk eller tilsvarende sikre postkasser, hvor log-in sker med NemID, er ikke omfattet, idet disse sendes via et lukket system, som ikke på samme måde kan udnyttes af it-kriminelle.

  1. Offentlige myndigheder bør undlade at sende uopfordrede e-mail med klikbare link til borgerne. 
    • Ved ”uopfordret” forstås henvendelser, hvor borgeren ikke selv har initieret kontakten til myndigheden ved at henvende sig eller ved at tilmelde sig en service og angive sin e-mail-adresse.
    • Mange e-mailklienter formaterer automatisk diverse tekst til klikbare link. Det er således ikke nok at udelade www, http, https og lignende. Også fx ”borger.dk” kan fremkomme som et klikbart link hos modtagerne og bør udelades. Undlad altid skjulte link i billeder m.v.
    • Offentlige myndigheder opfordres til at personalisere nyhedsbreve og lignende generelle udsendelser med fx modtagers fulde navn.
  2. Offentlige myndigheder må ikke sende e-mail til borgerne med link direkte til en log-in-side, hvor borgeren på selve siden kan logge på med NemID eller digital signatur.
  3. Hvis e-mailen enten signeres med myndighedens/medarbejderens digitale signatur eller sendes til borgerens digitale postkasse på borger.dk eller en anden tilsvarende sikker postkasse, hvor log-in sker med NemID, bortfalder restriktionerne om link i e-mail anført i punkt 1 og 2.
  4. Ovenstående gælder også vedhæftede filer til e-mail.
  5. Ovenstående gælder også SMS, for så vidt der teknisk set kan drages paralleller.
  6. Myndigheder anbefales at tilføje alle udgående e-mail en oplysende fodnote/disclaimer som fx: 
    ”Tænk, før du klikker! Pas altid på link i e-mail. Brug bogmærker eller tast hjemmesidens adresse direkte i adressefeltet på browseren. Husk, at hverken banker eller offentlige myndigheder vil sende en e-mail med et link direkte til en log-in-side, hvor du kan logge på med NemID. Læs mere om sikkerhed med NemID på NemIDs hjemmeside.”

Spørgsmål til den anbefalede sikkerhedspolitik kan rettes til Center for Digital Signatur på info@digitalsignatur.dk.



Tilgængelighed: https://starwiki.atlassian.net/was