4 Мифа о защите электронной почты, или как правильно защитить бизнес-email

Защита материальных достояний понятие далеко не новое, а вот безопасность ценных электронных данных — территория все еще относительно новая и неизведанная.

Сейфы, автомобильные сигнализации, охранные системы — необходимость этих услуг в объяснении не нуждается. 

Взять, например, ценные бумаги.

Есть всем понятный стандарт, который не поддается сомнению. Документы, содержащие конфиденциальную информацию, всегда хранятся в надежном сейфе. При необходимости передать эти файлы партнеру привлекают проверенную курьерскую службу, которая доставит документы из рук в руки в запечатанном конверте. 

Однако, когда речь идет о ценных электронных файлах, то культура обращения с конфиденциальными документами неоднозначна. 

Что угрожает важным электронным документам

В случае с конфиденциальной электронной информацией, пересылка, как правило, происходит с помощью традиционной электронной почты.

Это просто удобно. Но проблема заключается в том, что в ней полно уязвимостей.

SMTP устарел

На момент написания этой статьи, почтовому протоколу SMTP исполнилось 40 лет. За всю его историю было выпущено всего одно значительное обновление. Со времени этого обновления прошло уже 13 лет и возраст протокола уже давно дает о себе знать. 

Применение настолько устаревшего протокола привело к тому, что, на данный момент, электронная почта является основным инструментом киберпреступников для проникновения в защищенный периметр компании. Только в 2019 почти 90% организаций подверглись целенаправленным фишинговым атакам.

Не зря для большинства крупных организаций решение проблемы безопасности электронной почты является приоритетной задачей.

Трудности в выборе достойного решения проблемы

Рынок предлагает широкий ассортимент решений и способов защиты электронной почты, но в принципах их работы тяжело разобраться, не имея необходимых технических знаний.

Другими словами, объективно определить уровень защиты, который они обеспечивают для среднестатистического пользователя становится практически невозможным. 

В отличии от сейфа, их нельзя увидеть или физически потрогать и полагаться приходится только на маркетинговую и техническую информацию на сайтах.

Чтобы принять правильное решение и обеспечить оптимальную защиту основного канала передачи конфиденциальной информации, прежде всего необходимо разобраться в “мифах” защиты email, которые не соответствуют действительности.

МИФ №1: Традиционных методов защиты достаточно

Если у вас установлен антивирус, то это ещё ничего не значит.

Стандартные методы базовой защиты (файрволы, спам фильтры, шлюзы защиты почты и т.д.) — это как замок на входной двери: он безусловно должен стоять, и чем прочнее, тем лучше.

При этом, ставя "замок" на парадные двери, не стоит забывать, что ещё есть и "чёрный вход" (от англ. backdoor - термин в кибербезопасности, обозначающий уязвимость кода, которая оставляет возможность злоумышленникам получить несанкционированный доступ к данным).

Но что еще более важно, так это ключи шифрования. Вы же не отдадите ключи от квартиры незнакомцам, не так ли?

Этот момент следует учитывать, если использовать сервисы, которые предоставляют услуги по шифрованию содержимого почты, но не предоставляют право эксклюзивного контроля над ключами шифрования.

Поэтому критически важно для обеспечения безопасности установить специальную защиту помимо базовой.

МИФ №2: Можно безопасно пользоваться почтой через браузер

К сожалению, эту информацию редко где встретишь, но использование электронной почты через браузер в принципе НЕ может быть полностью безопасным.

Почему? На самом деле ответ простой:

Каждый браузер имеет свои уязвимости и нередко сам становится целью злоумышленников. 

При использовании почты в браузере, появляются дополнительные пути взлома и нужно удостовериться не только в устранении уязвимостей самой почты, но вдобавок ещё и браузера. 

К тому же, просто-напросто “выйти из почтового аккаунта” после завершения работы с почтой НЕДОСТАТОЧНО для того, чтобы защитить данные вашего электронного ящика, который использовался в браузере.

МИФ №3: Решения по обеспечению безопасности сложные в использовании и создают помехи работе бизнеса

Как правило, так считают только те, кто уже имел отрицательный опыт.

Когда для того, чтобы отправить зашифрованное письмо нужно вначале создать свою электронную подпись, отправить письмо с этой подписью получателю, добиться и дождаться от получателя таких же действий, а только потом начинать переписку (плюс ещё повторить этот процесс с каждым получателем индивидуально) — это и вправду утруждает. 

Другим нюансом может стать комбинирование различных решений кибербезопасности, настройка одновременной работы которых может доставить дополнительные трудности.

Хорошая новость в том, что далеко не все решения такие. Существуют безопасные решения, которые не ломают бизнес-процессы. 

МИФ №4: Единственный эффективный способ борьбы с человеческим фактором — это обучение

Согласно исследованию IBM, человеческий фактор составляет 27% всех утечек данных. Это серьёзная цифра.

Получается, вы никак не можете повлиять на четверть всех утечек в вашей компании, кроме как напомнить своим подчиненным о том, чтобы они были повнимательней?

Так себе перспектива. 

На самом деле, существуют решения, которые позволят вам взять человеческий фактор под контроль и снизить, а также предотвратить риски, связанные с ошибками людей.

Как StealthMail может помочь устранить существующие угрозы 

StealthMail решает проблему уязвимости SMTP следующим образом: StealthMail отправляет через SMTP только специальную Stealth-ссылку, которая находится в теле письма. Само же конфиденциальное содержимое письма не отправляется по открытым незащищенным каналам, а "извлекается" и помещается в защищенный периметр (в облако Microsoft Azure) и хранится в зашифрованном состоянии.

Чтобы получить доступ к содержимому письма, получателю необходимо авторизоваться в системе и только при этом условии StealthMail передаст данные по отдельному защищенному каналу и расшифрует содержимое письма.

Отличительной особенностью передачи содержимого письма в StealthMail является запатентованная технология передачи данных Secure Dynamic Communication Network and Protocol (SDNP).

Алгоритмы шифрования в SDNP зависят от времени и состояния. Это значит, что схема шифрования данных постоянно меняется и зависит от предыдущих условий (разные в разный момент времени), при которых они были зашифрованы.  

Помимо защиты наивысшего класса, решение StealthMail предоставляет вам и вашей организации следующие преимущества: 

• Работа внутри привычного Microsoft Outlook, что избавляет от уязвимостей браузера.
• Пересылка Stealth-писем, невидимых злоумышленникам.
• Содержимое писем не покидает пределов вашей компании, что делает перехват данных невозможным (ведь данные фактически не перемещаются).
• Контроль над человеческим фактором. Отправитель (и офицер безопасности) сохраняет за собой право закрыть доступ к отправленному письму в любой момент.
• Интеграция StealthMail не затрагивает существующую ИТ инфраструктуру компании.

StealthMail создан командой экспертов в области безопасности телекоммуникаций, которые на протяжении 14 лет предоставляли свои профессиональные услуги службам быстрого реагирования США, Европы и Ближнего Востока.

Цель StealthMail не просто обеспечить вас безопасным каналом связи, а предоставить вам личный конфиденциальный канал коммуникации, внутри которого только вы являетесь владельцем ваших данных.

Чтобы узнать, как вы можете обезопасить вашу почту от угроз, ознакомьтесь с Техническим описанием решения StealthMail уже сегодня.