Podczas dyskusji na temat bezpieczeństwa poczty elektronicznej często używa się analogii: „wysyłanie e-maila to tak jak nadanie pocztówki”. Wtedy mam w zwyczaju dodawać „nabazgranej ołówkiem”.
Podczas dyskusji na temat bezpieczeństwa poczty elektronicznej często używa się analogii: „wysyłanie e-maila to tak jak nadanie pocztówki”. Wtedy mam w zwyczaju dodawać „nabazgranej ołówkiem”. Każdy, komu taka kartka pocztowa wpadnie w ręce, może ją przeczytać albo wręcz zmienić jej treść – przestrzega Rik Ferguson, doradca ds. bezpieczeństwa z firmy Trend Micro.
Poczta elektroniczna to medium typu „store-and-forward” (przechowaj i prześlij dalej). Podczas przesyłania treść większości e-maili pozostaje na co najmniej dwóch serwerach już po wysłaniu ich przez nadawcę. W wielu przypadkach serwerów jest więcej. Po kliknięciu przycisku „Wyślij” wiadomość nie dociera bezpośrednio do adresata. Zamiast tego, e-mail trafia na serwer i wysyła zapytanie o najkrótszą drogę od celu. W środowisku korporacyjnym pierwszym przystankiem dla wiadomości e-mail jest prawdopodobnie wewnętrzny serwer pocztowy (obsługujący skrzynki odbiorcze pracowników). Następnie wewnętrzny serwer pocztowy podejmuje próbę nawiązania bezpośredniego połączenia z serwerem w domenie odbiorcy. Po stronie adresata poczta najczęściej jest obsługiwana przez ogólnodostępny serwer publiczny, zanim trafi na serwer odbiorcy, na którym znajduje się docelowa skrzynka odbiorcza.
Wiadomość e-mail może zostać przechwycona w każdym punkcie tego „łańcucha dostaw” przez dowolnego użytkownika z dostępem do tych serwerów, np. administratora serwera po stronie nadawcy, odbiorcy lub dostawcy Internetu. Należy także wziąć pod uwagę możliwość włamania się przez cyberprzestępców na dowolny serwer z dostępem do Internetu w celu kradzieży informacji. Oczywiście w przypadku, gdy użytkownik lub firma są znani z przekazywania ważnych informacji osobistych lub finansowych pocztą elektroniczną, stanowią doskonały cel ataku.
Dlaczego więc mechanizmy szyfrowania nie są dotychczas normą w środowiskach korporacyjnych? Stosowane rozwiązania techniczne istniały przez wiele lat, zarówno w postaci komercyjnej, jak i w postaci open source. Mimo to nadal mogę policzyć na palcach jednej ręki otrzymane przeze mnie w ciągu roku zaszyfrowane wiadomości e-mail.
W większości przypadków przyczyna słabego rozpowszechnienia mechanizmów szyfrowania leży w kosztach administracyjnych związanych z utworzeniem i utrzymaniem serwerów kluczy publicznych na poziomie korporacyjnym oraz zarządzaniu nimi. Na poziomie użytkownika fakt, że odbiorca nie napisanych jeszcze wiadomości e-mail powinien wstępnie się gdzieś zarejestrować i przekazać kopię swojego klucza publicznego nadawcy przez rozpoczęciem wymiany e-maili stanowił dla większości użytkowników wystarczający powód do zlekceważenia prywatności i kliknięcia przycisku „Wyślij”.
Decyzja o porzuceniu projektów związanych z szyfrowaniem e-maili w większości przypadków została podjęta wiele lat temu, gdy zdano sobie sprawę, z jakimi to się wiąże kosztami. Od tamtej pory istotnie zmieniły się nie tylko przepisy prawne (Data Protection ActSarbanes–Oxley, Financial Services Authority i inne), lecz także technologia. Obecnie można wysłać zaszyfrowaną wiadomość e-mail do dowolnego odbiorcy w dowolnym czasie, bez konieczności zarządzania kluczami, bez wstępnej rejestracji, a nawet bez instalowania oprogramowania.
Czy wraz ze wzrostem znaczenia biura komisarza ds. informacji (Information Commissioner) oraz zagrożeniem związanym z kradzieżami danych na terenie całej Europy w końcu zaczniemy dostrzegać potrzebę bezpieczeństwa?
Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"
Zaloguj się, a jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo zalogować przez Facebooka.
Pozycjonujemy się jako alternatywa dla agencji sieciowych, oferując konkurencyjną jakość, niższe koszty i większą …
Zobacz profil w katalogu firm
»
W 1999 roku stworzyliśmy jedną z pierwszych firm hostingowych w Polsce. Od tego czasu …
Zobacz profil w katalogu firm
»
Pomagamy markom odnosić sukces w Internecie. Specjalizujemy się w pozycjonowaniu stron, performance marketingu, social …
Zobacz profil w katalogu firm
»
1stplace.pl to profesjonalna agencja SEO/SEM, specjalizująca się w szeroko pojętym marketingu internetowym. Firma oferuje …
Zobacz profil w katalogu firm
»
Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe. Świadczymy usługi związane …
Zobacz profil w katalogu firm
»