Безопасни ли са вашите имейли?

Април 12, 2021
|In За мрежата, Сигурност и поверителност, На преден план
|By Андреас Арно Майкъл Фойгт

Безопасни ли са вашите имейли?

Днес комуникациите и компютърните системи са все по-застрашени от външни атаки и дори да мислим, че сме в безопасност, защото вярваме, че сме приели точни предпазни мерки, не сме. Досега новините следват една друга с безмилостно темпо, 500 милиона акаунта са хакнати във Facebook, милиони акаунти са хакнати в gmail, безплатни или други услуги и ние не успяваме да разберем, че ние също, въпреки себе си, несъзнателно, сме замесени и често се превръщаме в средство за спамери и злонамерени хора, които ни използват за цели, които дори не бихме искали да знаем. Нещата стават много сложни, когато говорим за пощенски кутии, използвани за професионални и/или служебни причини, като се има предвид, че Privacy Guarantor започна да налага доста сериозни санкции, които дори могат да поставят бизнеса на колене. Трябва да се защитим и за да се защитим, трябва да помислим какво трябва да се направи нагоре по течението, а не когато е настъпило бедствието.

За тези, които използват Gmail

Мнозина ме питат коя е най-безопасната имейл услуга за използване. Трябва да ги разочаровам, не съществува. Или още по-добре, това не е правилният въпрос. Има платени услуги, безплатни услуги и трябва да сте наясно какво трябва да направите, за да сте в безопасност или във всеки случай да гарантирате на клиентите си сигурността на поверените ни данни. Една от най-използваните платформи дори от фрийлансъри е GMAIL. Обичайно е да получите имейл от вашия счетоводител на име studiocommercialista@gmail.com. Освен това се смята, че GMAIL е една от най-безопасните пощенски услуги в света. Но наистина не е така.

Между другото, GMAIL, използван в неговата безплатна конфигурация, не е защитен, защото никой имейл не е 100% защитен, но дори повече, безплатната услуга е точно безплатна и има ограничения, наистина трябва да има ограничения. Трябва да прочетете договора за доставка на услуги, преди да поверите комуникациите си на трети страни. Четейки договорите, ние разбираме, че отговорностите, които Google поема, са много малко в случай на нарушаване на данните или още по-добре, никаква отговорност. Ако проникнат във вашата пощенска кутия и откраднат данните, които се съхраняват, изпратените имейли, получените имейли, това са ваши проблеми и ако не сте взели достатъчно мерки за защита на данните на вашите клиенти, Гарантът за поверителност ще ви помоли да отговорите за това, като наложи санкции, които могат да навредят много.

Използването на платен GMAIL се променя много. Самият Google го казва. Въпреки това, тя започва от цена от 4.68/месец евро на пощенска кутия, за да достигне 15,60/месец и случайно една от маркираните функции казва: „Управление и контрол за сигурност“.

Версията 15,60/месец твърди: „Разширено управление и контроли за сигурност, включително Vault и разширено управление на крайни точки“. Тъй като проблемът не е само сигурността на структурата, Google подчертава факта, че е необходимо също така да се „образова“ потребителят за необходимостта от приемане на правилни мерки за контрол и сигурност на поведението му, като се започне от инструментите, които използва за достъп до своите пощенски кутии, Android, IOS или пощенски клиенти като Thunderbird или Outlook или други.

Ако след това разсъждаваме върху факта, че цената на услугата е изразена на кутия, в случай на артикулирано проучване с няколко души е лесно да си представим, че общата цена за добра комуникационна структура и връзка с външния свят може да се превърне в значително бреме.

Всичко това означава следното: искате ли сигурност? плати и също солено и се научи да се държиш коректно.

За всеки, който използва Microsoft Exchange

По принцип нищо не се променя в сравнение с GMAIL. Принципът е същият, цените са същите и например месечната цена от 12.50 долара включва и Office 365

Щитът за поверителност, който ви заблуждава.

Privacy Shield или „щитът за поверителност“ между ЕС и САЩ е механизъм за самосертифициране за компании, установени в САЩ, които желаят да получават лични данни от Европейския съюз. По-специално компаниите се задължават да спазват съдържащите се в тях принципи и да предоставят на заинтересованите страни (т.е. всички субекти, чиито лични данни са били прехвърлени от Европейския съюз) адекватни инструменти за защита, под заплаха от елиминиране от списъка на сертифицираните компании („Списък на щита за поверителност“) от Министерството на търговията на САЩ и евентуални санкции от Федералната търговска комисия. Европейската комисия счита, че системата предлага адекватно ниво на защита за личните данни, прехвърлени от физическо лице в ЕС към компания, установена в Съединените щати, и че следователно Щитът представлява източник на правни гаранции по отношение на въпросните трансфери на данни.

EU-US Privacy Shield е в сила от 1 август 2016 г.

Щитът е приложим за всички категории лични данни, прехвърлени от ЕС към САЩ, включително бизнес информация, здравни данни или данни за човешките ресурси, при условие че американската компания, която получава такива данни, се е самосертифицирала за придържането си към схемата.

За съжаление пактът е нарушен.

The European Court examined the first decision (2010/87 on standard contractual clauses) and found that this, although based on contractual provisions which, as such, are not able to bind States to respect them, contains effective mechanisms which allow, in practice, to guarantee that the level of protection required by Union law is respected and that the transfers of personal data, based on these clauses, are suspended or prohibited in the event of violation of these clauses or in the impossibility of respecting them.

Второто решение (2016/1250 относно адекватността на защитата, предлагана от щита ЕС-САЩ) вместо това установява предимството на нуждите, свързани с националната сигурност, обществения интерес и спазването на законодателството на САЩ, като по този начин прави възможна намеса в основните права на лицата, чиито данни се предават на тази трета държава.

Според Съда ограниченията за защита на личните данни, произтичащи от вътрешното законодателство на Съединените щати, не са формулирани по такъв начин, че да отговарят на изисквания, които по същество са еквивалентни на тези, изисквани в правото на ЕС, съгласно принципа на пропорционалност и строга необходимост.

Така? Какво общо има Privacy Shield с моите имейли?

Преведено накратко, това означава, че системи като Gmail и Microsoft Exchange не са защитени от Privacy Shield и трябва да бъдат взети предвид по време на одита и поверителността чрез проектиране, за да информират по подходящ начин своите клиенти с правилна DPA (оценка за защита на данните).

Нека да обобщим: Gmail p Microsoft Exchange да, ако се плаща, на каква цена? Зависи от това колко имейл акаунта искате да използвате и дали искате да използвате свой собствен корпоративен домейн. И във всеки случай, извън Privacy Shield, което ни излага на риск при намеса от страна на Гаранта за поверителност, със санкции, които могат да станат значителни.

Е, разбрахме! Но какво общо има това със сигурността на нашата електронна поща? Спокойно и готино, идваме! Малко спокойствие!

Принцип на собственост върху личните данни

Нека установим фиксирана точка и тя е, че Гарантът за поверителност е установил принцип: Личните данни не са ваши, а са собственост на хората, за които се отнасят тези данни.

Въз основа на законодателството, което урежда това право, следователно всяко физическо лице може да претендира, че неговите лични данни се събират и обработват от трети страни само в съответствие с правилата и принципите, установени от законите по темата, както на Европейския съюз, така и на отделните национални държави. Целта на законодателството е да даде на заинтересованата страна правомощието да се разпорежда с данните си, като гарантира, че лицето има контрол върху цялата информация, засягаща личния му живот, и в същото време му предоставя инструменти за защита на тази информация.

И за по-голяма точност:

  • Всеки има право на защита на личните данни, които го засягат.

  • Такива данни трябва да се обработват справедливо, за конкретни цели и въз основа на съгласието на субекта на данните или на друго легитимно основание, установено от закона. Всяко физическо лице има право на достъп до събраните данни за него и да поиска тяхното коригиране.

  • Спазването на тези правила подлежи на контрол от независим орган.

Въз основа на написаното по-горе става ясно, че сигурността на ИТ и външните комуникационни системи е много гореща тема, която ни кара да се замислим как сме свикнали да управляваме бизнес процесите си.

Правилното поведение за по-голяма безопасност

Първото нещо, което трябва да запомним е, че първото решение е нашето поведение. Какви са правилните поведения, които да приемете? Изброявам няколко. За съжаление, когато работите със сътрудници и служители, се случва не всички да възприемат коректни и еднакви поведения, винаги някой избяга от „оградата“ и трябва да сте много внимателни. Но ако започнете да разбирате, че личните данни, които се използват в комуникациите, са собственост на съответните хора, за които се отнасят тези данни, е по-лесно да предизвикате отговорно и внимателно поведение и да избегнете много проблеми.

  1. Не отваряйте прикачени файлове, без да проверите подателя на имейла.
  2. Не използвайте автоматично отваряне на прикачени файлове.
  3. Винаги проверявайте подателя на получения имейл
  4. Използвайте всички полета на имейла правилно
  5. Използвайте правилно полето „Тема“ и опишете накратко и правилно темата на имейла. Полезно е за тези, които получават имейла, защото веднага забелязват дали имейлът е бил написан специално за тях и е полезно за търсене в хилядите имейли, които архивираме всяка седмица, когато трябва да намерим нещо конкретно.
  6. Използвайте САМО ЕДИН получател на имейл в полето „До:“. Ако трябва да вмъкнем още получатели, в този случай поставяме адреса си в полето „До:“, а в полето „CCn:“ (Скрито копие) адресите на всички останали получатели. Това защитава поверителността на получателите, които ще получат пощата, адресирана до „Неразкрит получател“, и няма да открият, че пощенската му кутия е спам навсякъде.
  7. Избягвайте да правите неограничени повторения на съобщения, като използвате пощенската кутия като чат.
  8. Избягвайте да изпращате тежки прикачени файлове и евентуално изпращайте компресирани прикачени файлове.
  9. Не пълнете имейли с изображения в долната част с лога, подписи, икони на социални медии или нещо друго. Много са блокирали автоматичното показване на изображения и резултатът, който получавате, е просто объркване и безпорядък.
  10. Не отваряйте подозрителни имейли.
  11. Сменяйте паролата на пощенската си кутия поне веднъж на всеки три месеца и използвайте сложни низове. Ако не искате да запомняте специални знаци, главни и малки букви, предлагаме да използвате цели изречения, които лесно можете да запомните, като: „вчера-моето-куче-джак-игра-с-фризби“. Все още получавате отличен резултат. По-простите пароли лесно се хакват с няколко груби операции и оттам щетите са нанесени.
  12. НИКОГА не използвайте служебния си имейл за социалните си профили!
  13. Когато е възможно, винаги използвайте двойно удостоверяване.
  14. Няма нищо общо със сигурността, но моля, НЕ ИЗПОЛЗВАЙТЕ ГЛАВНИ БУКВИ. Горната буква означава КРЕЩА и е дяволски гадно и грубо.
  15. Правете ежедневно резервно копие на пощата си, не оставяйте всички комуникации на сървъра, това е практика, която не само не се препоръчва, но и силно наказва от Гаранта за поверителност.

Това изглеждат тривиални препоръки, но по ирония на съдбата хакерите и спамерите разчитат на небрежността на потребителите. Знаем, те са наистина банални и сте чували, казвали, изтъркани хиляди пъти, но явно това не е достатъчно!

Gmail не, Microsoft Exchange не, какво да правя?

Като се има предвид, че не казахме „не“, а просто ви информирахме за рисковете, които поемате, обаче, има практични, интересни решения, които ви пазят в безопасност, като се приеме и не се признае, че поведението на отделните хора отразява минималния съюз, необходим, за да се избегне разрушаването на всичко. Освен това, като се има предвид, че не сме казали, че не можете да използвате GMAIL или Microsoft Exchange, но че за да направите това, трябва да сте съвместими с GDPR, нека опитаме да даде и други отговори.

Алтернативи на Gmail и Microsoft Exchange:

ProtonMail

Базирана в Швейцария платформа, съвместима с GDPR, използваща криптиране от край до край. Много добро обслужване, изключително безопасно, но не евтино. Честно казано, от търговска гледна точка те не са постигнали успеха, който заслужават и са останали малко "заложени на карта", въпреки че технологично обслужването е безупречно.

Бърза поща

Бързата поща е валидна алтернатива на Gmail, много функционална и пълна с достъпна цена, но е необходимо да се провери съответствието, свързано с GDPR, тъй като във всеки случай това е американска платформа.

QBOX Mail

Много валидна алтернатива, изцяло италианска и съвместима с GDPR. Корпоративната версия струва 3.60 евро на пощенска кутия и 1 евро за всеки 25 GB допълнително пространство. Можем само горещо да го препоръчаме. Според нас това е едно от най-интересните решения.

Има и много други доставчици на услуги за облачна поща, това е свят, който може да бъде изследван. Но за да не даваме излишна информация, спираме до тук.

Притежаван SMTP сървър или пощенски сървър.

Колко от вас имат сайт и домейн и се възползват от пощенския сървър, интегриран във вашия собствен уеб сървър, където се хоства сайтът? Това е една от най-често срещаните ситуации.

SMTP сървър на доставчика

SMTP сървърите на утвърдени доставчици също се признават за надеждни от други доставчици. Освен това техните спам филтри се считат за особено ефективни поради голямото количество данни, които обработват. Въпреки това, в случай на безплатни оферти, обикновено има строги ограничения по отношение на броя на имейлите на ден, размера на прикачените файлове и пространството за съхранение на пощенската кутия.

Офертите са представени на няколко страници:

Доставчици на интернет услуги: Доставчиците на интернет услуги (ISP) като IONOS често предлагат имейл адрес за интернет връзка, с която може да се осъществи достъп до SMTP пощенските сървъри на компанията.
Доставчик на имейл: Най-типичният начин хората да изпращат имейли до приятели и семейство е да използват приложението за уеб поща на безплатен доставчик на имейл като Gmail, Yahoo или Libero. Единственото изискване е имейл адресът да съответства на домейна, с който SMTP сървърът на доставчика може да се използва за лична кореспонденция. Всичко, което трябва да направите, е да конфигурирате вашата пощенска кутия за правилния адрес на SMTP сървъра. По-долу ще намерите обобщение на най-популярните доставчици и техните адреси.
Доставчици на хостинг услуги: Много хостинг пакети, като тези от IONOS, съдържат SMTP сървър по подразбиране, който може да се използва за обработка на вътрешен и външен фирмен пощенски трафик.
Специализирани доставчици: някои компании са се специализирали в наемането на SMTP сървъри, сред които са например Amazon SES и SparkPost, които позволяват наемането на необходимия хардуер.

Силно не препоръчваме това решение

Собствен SMTP сървър

С някои основни технически познания можете да настроите свой собствен SMTP сървър. Например, Raspberry Pi може да бъде настроен с подходящ софтуер като хардуерна основа.

Предимствата са очевидни: няма ограничения на доставчика за използване, пълен контрол върху всички настройки и независимо управление на данните. В допълнение, притежаването на собствен сървър е идеално за запознаване с техническата механика на имейл трафика. Но има и недостатъци: Поради динамичния IP адрес, характерен за частния достъп до Интернет, частните SMTP сървъри често се класифицират като спам от големите доставчици на имейл. Проблем, който може да бъде решен само с няколко мерки за обновяване и/или допълнителни разходи. Въпреки това, ако искате да изпращате вашите имейли само до друг частен клиент, собствен SMTP сървър във всеки случай е добра алтернатива. Следователно е необходимо да имате фиксиран IP адрес.

Ама те не са рози и цветя наистина. Внасянето на SMTP сървър във вашия дом или използването на този, свързан с хостинга на вашия уебсайт, има последствия, които дори могат да бъдат сериозни, ако не можете да управлявате проблемите.

Притежаван SMTP сървър или пощенски сървър.

Колко от вас имат сайт и домейн и се възползват от пощенския сървър, интегриран във вашия собствен уеб сървър, където се хоства сайтът? Това е една от най-често срещаните ситуации.

Когато управлявате свой собствен SMTP сървър за получаване и изпращане на кореспонденция, трябва да вземете предвид някои аспекти, които също могат да бъдат неприятни:

Времето за работа на системата. Обикновено различните ISP доставчици, особено "евтините" като Aruba или Register, нямат SLA и не гарантират време за работа. Това означава, че в продължение на 365 дни в годината е възможно вашият хостинг и следователно вашият домейн да не са достъпни, изпратените имейли да не излязат или тези, които трябва да бъдат получени, да не пристигнат на местоназначението си. Ако DNS не е достъпен, вашата пощенска система е напълно изключена. Хостинг доставчици, които гарантират писмено, чрез договор, време на работа, което е повече от 99.99% от времето за една година, съществуват, но услугата започва да струва. Ние предоставяме 99.99% SLA и всъщност цената на нашия хостинг не е сравнима с тази на Aruba.

Излишъкът. SMTP сървър, свързан с вашето хостинг пространство, обикновено се намира на място, което е сървърна ферма, ако това се взриви, както се случи наскоро с OVH или с Aruba в близкото минало, както сайтът, така и цялата ви ИТ структура за изпращане и получаване на имейли може да падне. Следователно мога да разчитам на излишна структура, където, в случай на повреда или изключване на моята компютърна система, паралелна структура може незабавно да влезе в действие. Можем да отворим отделна глава за съкращенията и да навлезем в най-малките подробности, но не е тук мястото да го правим. да кажем, че резервирането се определя като система, която е в състояние да дублира определени функции и следователно да гарантира непрекъснатост на услугите в случай на повреда.

Предимствата на използването на собствен SMTP сървър. Опитвам се да ги изброя:

  • Възможност за управление на множество имейл акаунти без увеличаване на разходите
  • Възможност за автономно управление на вашите собствени правила за изпращане/получаване
  • Възможност за вътрешно поддържане на актуализиран архив на собствената поща и трафика на комуникациите с външния свят
  • Възможност за наименуване/преименуване на вашите пощенски кутии автономно и без външна намеса
  • Възможност за установяване (в зависимост от избрания доставчик) на адресите и/или IP адресите, които да бъдат включени в черния или белия списък.
  • Възможност за самостоятелно установяване на анти-спам политики
  • Възможност за самостоятелно установяване на маркировките, DKIM, SPF и DMARC, които са тези, които мнозина забравят и са основната причина за черния списък на вашия домейн.

Недостатъци на използването на собствен SMTP сървър

Недостатъците са безброй, особено ако вашата структура не е подготвена и няма адекватно осъзнаване на рисковете, които поемате, като поставите пощенски сървър в дома си. Технически, правни и оперативни проблеми също могат да обезсърчат този път, много зависи преди всичко от нивото на технологична култура, присъстващо в структурата.

  • Невъзможност да се обезщетите, тъй като всички отговорности за управление и архивиране на имейл съобщения тежат върху вашата структура.
  • Излагане на всички видове атаки и необходимостта от предприемане на всички мерки за тяхното ограничаване или отмяна.
  • Възможност за моменти на "тъмнина", в които сървърът се забавя от други операции или дори не може да изпълнява функциите си.
  • Необходимо е да се приложи свирепа антивирусна и антиспам политика за контрол (честно казано, това се отнася донякъде за всички днес)
  • Необходимост от систематична и ефективна политика за архивиране (това важи за всичко днес, досега).

Също така е вярно, че много „професионални“ доставчици предоставят защитени, сертифицирани или във всеки случай почти свободни от уязвимости SMTP сървъри и следователно опасностите възникват единствено и изключително от невниманието на оператора или от неговото безразсъдство и безотговорност, но да кажем, че хостването на пощенския сървър на същата структура, където е хостван уеб сървърът, не винаги е правилна политика, дори напротив.

заключение

Добре, хубаво, но в заключение? Какво да избера?

Няма еднозначен отговор, зависи от обстоятелствата, а също и от операцията. Препоръчваме да използвате облачен пощенски сървър, когато структурата на компанията е малка или микроскопична, и SMTP сървър, когато структурата изисква да имате поне дузина пощенски кутии, ако не и 20. Повече поради разходи, отколкото поради нещо друго, тъй като наличието на SMTP сървър, хостван в защитена, ефективна структура, която правилно маркира сървърите и използва валидни и правилни протоколи за сигурност, винаги има дискретно предимство пред всичко. Вярно е, че потенциалните проблеми се пренасят вътре, които биха искали да останат извън. Дори по отношение на GDPR, ако от една страна ще е необходимо да се приеме правилна Политика за поверителност, също е вярно, че в случай на нарушение на данните последствията могат да бъдат много по-сериозни при използването на облачни системи, управлявани от трети страни. Следователно добрият SMTP сървър и проницателността в управлението на пощата трябва да решат 90% от проблемите за малкия бизнес или професионални дейности. Добър партньор, който предоставя адекватна хостинг услуга, техник на място, който знае как да инсталира правилно имейл клиент, добра система за архивиране, защитна стена и винаги актуална антивирусна, рутер със свиреп контрол над портовете и почти можете да спите спокойно. Тогава всичко може да се случи, имайте предвид, но по принцип това е, което предлагаме.