W ciągu dnia na świecie wysyłanych jest 333,2 mld wiadomości e-mail, ale tylko co piąta jest otwierana. Z poczty elektronicznej, która funkcjonuje od ponad 50 lat, korzysta połowa ludności świata. Ta forma komunikacji ma się całkiem dobrze mimo ery komunikatorów, platform współpracy zespołowej i narzędzi służących do zarządzania tablicami czy do pracy projektowej. A czy wiesz, kto naprawdę może czytać Twoje maile?
Pamiętajmy, że choć niejednokrotnie używamy bezpiecznej skrzynki pocztowej w swojej organizacji, to adresat wiadomości nie stosuje minimalnych zasad bezpieczeństwa… Wtedy wszystko, co do niego ślesz, narażone jest na przejęcie przez nieuprawnione osoby.
A więc kto może czytać Twoje maile?
- Dostawca poczty elektronicznej – zarówno nadawczej, jak i odbiorczej.
- Haker, który przejął Twoje dane uwierzytelniające albo haker zarabiający na ransomware, po kradzieży danych
- Administrator IT Twojej firmy albo firmy odbiorcy
- Autor ataku typu Man-in-the-Middle – np. ten, który przeprowadził invoice-hacking
- A może Twój małżonek albo współpracownik?
- Haker pracujący na zlecenie konkurencji? Znudzony cyberprzestępca szukający klientów na dane, które udostępniasz w korespondencji?
- Służby wywiadowcze innego państwa albo i naszego państwa?
- Oponent polityczny/sądowy?
A jeśli taka osoba ma dostęp do naszej e-korespondencji, to co może zrobić?
Niestety bardzo dużo czynności, które przyniosą nam negatywne konsekwencje. Może dla przykładu:
- wiedzieć o tym, jakie oferty sprzedaży przesyłamy klientom i składać kontroferty przez konkurencję
- przejąć naszą bazę klientów wysyłaną do agencji marketingowej i wykonać akcje phishingową, podając się za nas jako zaufaną organizację
- przejąć treść umów przesyłanych do kancelarii prawnej i wykorzystać znajomość ich treści w rozmowie z kontrahentem
- poznać treść uchwał rady nadzorczej o zaciągnięciu zobowiązań albo podpisaniu znaczącej umowy, jednocześnie wykorzystując te informacje do gry kursem akcji
- przejąć dane osobowe pracowników i wykorzystując je, zaciągać pożyczki w parabankach
- przesłać podrobione faktury z fałszywym numerem konta (invoice hacking), czego skutkiem jest płatność na konto cyberprzestępców nie zaś nasze
- przejąć dane dostępowe do usług, serwisów, aplikacji, systemów i je na przykład wyłączyć
- haker może szantażować ujawnieniem naszej korespondencji, żądając za nią okupu…
Jedną z podstawowych metod zabezpieczania danych przed niepowołanym dostępem jest ich szyfrowanie w taki sposób, aby nie wpadły (w formie jawnej) w ręce niepowołanych osób.
W szyfrowaniu najważniejsze jest to, kto ma dostęp do kluczy
Tak, jak można wyobrazić sobie pancerne drzwi z kilkoma profesjonalnymi zamkami, tak można myśleć o „silnych” algorytmach szyfrujących. Ale jeśli klucze (do drzwi) przechowywane są pod wycieraczką, to ciężko mówić o bezpieczeństwie. Podobnie sprawa ma się z kluczami deszyfrującymi – jeśli dostęp do nich mają (lub mogę mieć) inne osoby lub podmioty niż osoby, dla których przeznaczona jest informacja (plik, tekst) oznacza to, że mogą ją odczytać (i zrobić z niej użytek, niekoniecznie będący w interesie osoby, dla której przeznaczona była tajna wiadomość).
Szyfrowanie End-to-end
Oznacza jedynie, że przesyłane informacje są zaszyfrowane, ale nie oznacza to, że ktoś inny może mieć dostęp do kluczy deszyfrujących. Dlatego warto o tym pamiętać, że samo określenie „end-to-end” nie daje pełnej informacji o sile zabezpieczenia. W szyfrowaniu najbardziej istotne jest to, kto ma dostęp do kluczy deszyfrujących oraz jaka jest używana siła szyfrowania algorytmów zależna od długości klucza.
Szyfrowanie symetryczne i asymetryczne
Generalnie algorytmy szyfrujące możemy podzielić na dwa rodzaje: symetryczne i asymetryczne. Podstawowa różnica między tymi dwiema metodami szyfrowania polega na tym, że algorytmy szyfrowania symetrycznego opierają się na pojedynczym kluczu, podczas gdy szyfrowanie asymetryczne wykorzystuje dwa różne, ale powiązane ze sobą klucze.
Upraszczając: szyfrowanie asymetryczne jest wtedy, gdy jeden z używanych kluczy jest udostępniony publicznie. Każdy użytkownik może użyć tego klucza do zaszyfrowania wiadomości, ale tylko posiadacz drugiego, tajnego klucza, może odszyfrować taką wiadomość. Szyfrowanie symetryczne polega na tym, że szyfruje i deszyfruje się tym samym kluczem.
Szyfrowanie hasłem w pdf czy WinZip
Na pewno dostaliście nieraz dokument w ten sposób zabezpieczony. Nie jest to najlepszy pomysł (ale lepszy niż żaden), ponieważ po pierwsze wymaga przesłania hasła (innym!) kanałem komunikacji. Po drugie, trzeba sprawnie się poruszać w gąszczu haseł używanych do szyfrowania różnych dokumentów dla różnych osób, a po trzecie złamanie takiego hasła jest możliwe w stosunkowo prosty sposób, używając choćby (bezużytecznych ostatnio) koparek kryptowalut czy wynajmując (na przysłowiową chwilę) serwery w chmurze publicznej.
Cypherdog E-mail Encryption to nie tylko szyfrowanie poczty
Używając Cypherdog E-mail Encryption jesteśmy w stanie zaszyfrować dowolny tekst lub dowolny plik i wysłać go dowolnym medium komunikacyjnym, w tym e-mailem. Całe rozwiązanie składa się z dwóch modułów: aplikacji oraz wtyczki do przeglądarek wspierając pocztę Gmail albo do natywnego klienta Microsoft Outlook działającym z serwerem Exchange.
O ile korzystanie z aplikacji pozwala na szyfrowanie i deszyfrowanie plików i dowolnych tekstów, tak wtyczka automatyzuje szyfrowanie i deszyfrowanie treści e-maili, gdyż procesy odbywają się za pomocą przysłowiowego jednego kliknięcia myszką.
Oczywiście narzędzie pozwala na szyfrowanie i deszyfrowanie zawartości e-maili (i załączanych plików) niezależnie od dostawcy poczty czy klienta pocztowego. Co więcej, szyfrogram (zaszyfrowany tekst czy też zaszyfrowany plik) możemy wysłać dowolnym medium (przez Slack, Wetransfer, Telegram, GoogleDrive czy Dropbox) mając pewność, że nikt niepowołany nie odczyta wiadomości. Odszyfrować dane może wyłącznie posiadacz klucza prywatnego, nikt inny. A że funkcjonuje on jedynie na urządzeniu użytkownika, którego jest „własnością” – nikt nieuprawniony nie może odczytać skierowanej do niego wiadomości.
Wygoda a bezpieczeństwo
Jeśli słyszycie, że dostęp do zaszyfrowanej poczty elektronicznej będzie dostępny przez jakiś webserwis, plik możecie deszyfrować, podając specjalny kod – miejcie świadomość, że dostęp do treści ma dostawca usługi szyfrowania. A może mieć także jego pracownik (będąc przekupionym albo szantażowanym), haker szukający zarobku, służby specjalne czy wywiadowcze.
W szyfrowanie trzeba włożyć trochę wysiłku – na przykład przez jedno dodatkowe kliknięcie i używanie niebanalnych, ale bezpiecznych rozwiązań – choćby instalując Cypherdog E-mail Encryption w wersji bezpłatnej na komputerze odbiorcy. A w końcu Adobe Acrobat Reader czy WinZip też wymaga instalacji.
Jakie procesy wymagają szyfrowania?
Warto szyfrować wszelkie dane istotne z punktu widzenia interesu przedsiębiorstwa czy też mając na uwadze szereg funkcjonujących regulacji, takich jak RODO, DORA, KSC itp.
Poniżej wymienię szereg procesów, z których praktycznie większość występuje w każdej organizacji:
- Wysyłka danych dostępowych do serwisów, usług, aplikacji, serwerów czy też kodów licencyjnych,
- Komunikacja z zewnętrzną kancelarią prawną, zewnętrznym biurem rachunkowym, z zewnętrzną agencją HR, z audytorem czy biegłym rewidentem,
- Komunikacja bieżąca zarządu i rady nadzorczej,
- Przesyłanie do klientów umów, ofert czy faktur o znacznej wartości,
- Proces zakupowy kwalifikowanych dostawców i związanych z nim dokumentów,
- Przesyłanie i przechowywanie informacji o technologii, pracach R&D,
- Przesyłanie wyników badań medycznych i diagnostyki medycznej,
- Przesyłanie dużych plików: map, projektów, w szczególności infrastruktury krytycznej czy złóż zasobów naturalnych,
- Przesyłanie wszelkich baz z danymi osobowymi choćby do zewnętrznej agencji marketingowej.
Żyjemy w świecie, gdzie dane stały się walutą XXI wieku. Informacja stanowi podstawę funkcjonowania każdego biznesu. Transformacja cyfrowa objęła także przestępczość.
Dlatego powinniśmy zabezpieczać swoje istotne dane – jedną z metod jest ich szyfrowanie. A samo szyfrowanie szyfrowaniu nie jest równe. Pamiętajmy o tym!