Dzisiaj poruszymy kilka kwestii z drugiej kategorii bezpiecznej poczty elektronicznej, czyli szyfrowane protokoły wysyłania i odbierania wiadomości e-mail. Niestety często panującą regułą w mikro i małych firmach jest lekceważenie zagrożeń płynących ze świata cyfrowego i niestosowanie nawet najprostszych mechanizmów pozwalających zwiększyć bezpieczeństwo przedsiębiorstwa i jego użytkowników. Wraz z zespołem BetterIT bez przerwy zadajemy sobie pytanie, dlaczego tak jest i co kieruje osobami mającymi tak lekceważące podejście do tematu? Czy chodzi o pieniądze? Na pewno nie! Niektóre zabezpieczenia można zrealizować naprawdę niskim kosztem, a dodatkowo ułatwić pracownikom pracę.
Czym są szyfrowane protokoły wysyłania i odbierania e-maili?
Co to w ogóle jest szyfrowanie wiadomości i po co je stosować? Szyfrowanie to proces kodowania informacji, aby była ona nieczytelna dla osób postronnych. Treść zaszyfrowana może być odszyfrowana tylko przez jej nadawcę lub odbiorcę przy pomocy specjalnego klucza. Czyli upraszczając: umawiam się z kolegą B na klucz, którym będziemy kodować wiadomość, np. określone słowa odpowiadają zupełnie innym. Teraz gdy naszą zaszyfrowaną rozmowę podsłucha kolega C to będzie ona dla niego zupełnie niezrozumiała. Usłyszy ciąg słów nie mających żadnego sensu. Podobnie komputery mogą się komunikować ze sobą w Internecie. W sposób jawny lub szyfrowany. Oczywiście sposób szyfrowany jest z założenia trudniejszy, bo wymaga odrobiny wiedzy z tego zakresu.
Szyfrowanie wiadomości e-mail i załączników polega na tym, że osoby mające dojście do treści, która przechodzi pomiędzy klientem pocztowym, a serwerem, nie są w stanie jej odczytać. Jednostki mające taki dostęp to np. dostawca Internetu, operator węzłów komunikacyjnych, administrator hotelu czy restauracji (jeżeli korzystamy w takich miejscach z sieci Wi-Fi). Szyfrowanie danych może opierać się na kryptografii klucza publicznego (znanemu wszystkim), przy jednoczesnym zachowaniu tajemnicy klucza prywatnego (znanego tylko Tobie).
Wiadomości e-mail bez szyfrowania
Wiadomości e-mail wysyłane i odbierane bez szyfrowania można porównać do listów wysyłanych w przezroczystych kopertach. Często jest tak, że przykładamy dużą wagę do bezpieczeństwa przekazywania informacji na fizycznych nośnikach, np. listy płac czy Pity, a następnie taki poufny z założenia dokument, idziemy zeskanować na urządzeniu wielofunkcyjnym i wysyłamy go na skrzynkę pocztową. Czy jesteśmy pewni, że ten mail będzie odpowiednio zabezpieczony? Czy tego rodzaju korespondencję wysłalibyśmy w przezroczystej kopercie, aby każdy pracownik poczty, przez którego ręce ten list przejdzie mógł się zapoznać z jej pełną treścią? Oczywiście, że nie!
W związku z tym, że rozwój technologiczny postępuje w przerażająco szybkim tempie powinniśmy przynajmniej konsultować tego rodzaju działania ze specjalistami.
W komunikacji cyfrowej wysyłanej lub odbieranej bez szyfrowania jesteśmy jednak jeszcze bardziej narażeni. Każdy „pracownik poczty cyfrowej” jest w stanie przechwycić naszą wiadomość e-mail, przekształcić jej treść, a następnie wysłać dalej już ze zmianami. Jeżeli w ten sposób wysyłamy, np. faktury w formacie PDF to dostawca poczty w łatwy sposób może na takiej fakturze zmienić np. numer konta. Adresat, do którego wysłaliśmy wiadomość nie będzie niczego świadomy. Kto jest temu winny? Ty! To Twoja firma nie zadbała o zabezpieczenie przed zdarzeniami tego typu.
Dobry informatyk to podstawa
Większość, jak nie wszyscy, dostawcy poczty elektronicznej oferuje szyfrowanie protokołów wiadomości wychodzących i przychodzących. Jednak często „informatycy” idą na łatwiznę i z nich nie korzystają, bo po co sobie utrudniać życie. Zazwyczaj jest to spowodowane naciskiem wywieranym przez firmę, że najważniejsze jest to, żeby było tanio. A tanio nie zawsze oznacza dobrze, a w szczególności tanio, nie zawsze oznacza odpowiednią wiedzę.
Firmy niejednokrotnie zatrudniają informatyków bez doświadczenia, ponieważ Ci z odpowiednimi kompetencjami żądają wysokiego wynagrodzenia. Za błędy osoby bez należytego obeznania zapłaci oczywiście pracodawca. Nie tylko nie zaoszczędzi, ale znacznie straci. I chodzi tu nie tylko o pieniądze, ale również o dobrą reputację. Kto by chciał współpracować z firmą, która nie strzeże poufnych danych?
Jeśli chcesz zaryzykować i mieć w swojej firmie pracownika odpowiedzialnego za sprawy IT z niewielkim doświadczeniem, warto zapewnić mu specjalistyczne doradztwo w kluczowych kwestiach. Często brak wiedzy i odpowiednich zabezpieczeń informatycznych może być przyczyną upadku firmy z dnia na dzień.