Quindi, quando invii un’e-mail non crittografata, quanto sei vulnerabile, comunque? Abbiamo già scritto del viaggio che un’e-mail crittografata attraversa, dalla composizione di una bozza nel tuo client di posta elettronica all’atterraggio nella casella di posta del destinatario. Mentre il percorso sembra un po ‘ diverso a seconda del tipo di crittografia che stai utilizzando, una cosa è certa: l’utilizzo della crittografia e-mail lato client aiuta a bloccare tutte le varie opportunità che un hacker ha per accedere ai tuoi dati.

Il numero di arresti che la tua email fa dopo che lascia la tua casella di posta potrebbe sorprenderti, quindi cerchiamo di staccare i livelli e vedere cosa succede quando invii un’e — mail non crittografata-e, dal punto di vista di un hacker o cyberspy, quanti posti puoi intercettare quell’e-mail e rubare il contenuto.

Email non crittografata: Cosa può andare storto

“Il viaggio di un’email non crittografata è davvero l’inverso del viaggio di un’email crittografata. Ogni piccolo passo del cammino, hai vettori di attacco che potrebbero semplicemente non essere un problema se avessi inviato un’e-mail crittografata”, afferma Will Ackerly, co-fondatore e Chief Technology Officer di Virtru.

È facile pensare alla posta elettronica come un viaggio diretto dal punto A (il computer del mittente) al punto B (il destinatario o i computer dei destinatari). Ma anche prima che un’e — mail non crittografata lasci la tua casella di posta, rappresenta una minaccia per la sicurezza e la privacy dei dati e, una volta che se ne va, passa attraverso alcuni pit stop prima di raggiungere la destinazione finale.

” Ci sono tre salti ogni e-mail passa attraverso il suo modo di un destinatario, ” dice Ackerly. “Con ogni hop ci può o non può essere una connessione crittografata, e l’unico si può essere sicuri di che è il primo hop (se si sta utilizzando client webmail come Gmail, che utilizza SSL/TLS per crittografare e-mail.) “

1. Stop one: il tuo server di posta elettronica. ” Se sto inviando una e-mail con Gmail, c’è una connessione da me a Google”, dice Ackerly. “Questo è il primo salto, e si può dire se quella connessione è crittografata. Tutto quello che dovete fare è cercare nella barra degli indirizzi per quel lucchetto verde.”

2. Stop due: server di posta elettronica del destinatario. Quindi, Google comunica con, ad esempio, Yahoo (se sto inviando e-mail a un utente Yahoo)”, afferma Ackerly. “Questo è il secondo salto.”E questo è il secondo posto in cui la tua email può essere intercettata, se il client di posta del destinatario non utilizza la crittografia della posta elettronica.

” Questo secondo hop è dove gli utenti finali non hanno alcuna visibilità nel processo”, afferma Ackerly. “È quasi impossibile sapere se la connessione tra il tuo provider di posta elettronica e il provider di posta elettronica del destinatario è crittografata o meno. Google può fare tutto quello che vogliono per crittografare Gmail, ma se il provider del destinatario non supporta una connessione crittografata, Google non ha altra scelta che lasciarlo fuori in chiaro. E questo è lo stato di posta elettronica predefinito, in realtà. È non protetto e leggibile a chiunque entri in possesso di quel messaggio.”

3. Fermata tre: il computer del destinatario. “Infine, l’e-mail va da Yahoo proprio al destinatario, e questo è il terzo hop,” dice Ackerly, “ed è un altro posto la tua email può essere compromessa.”Una volta che il destinatario apre l’e-mail, può inoltrarla a chiunque desideri, creando una catena di punti vulnerabili.

“Questa è la vita di un’e-mail non crittografata”, dice Ackerly. “Potrebbe, come con Gmail, essere crittografato da un hop all’altro, ma negli altri hop potrebbe esistere in uno stato non protetto. E se una di queste quattro entità collegate da questi tre luppolo commette un errore, i tuoi dati possono essere compromessi.”

Con così tanti potenziali posti la tua e-mail non crittografata può essere contrastata, sia da hacker che vogliono rubare i tuoi dati, cyberthieves dopo la tua proprietà intellettuale o semplicemente qualcuno che snooping, la prospettiva di non proteggere i tuoi messaggi e-mail e allegati sembra piuttosto spaventosa.

E per ogni azienda che corrispondeva con Sony Pictures intorno al tempo della loro 2014 hack, che la paura è diventato un po ‘ troppo reale.

le e-Mail di Destinazione Potrebbe Essere il Vostro Principale Punto di Debolezza

“Ci credo davvero poco intuitivo fino a quando la Sony hack è che la più grande minaccia per la posta elettronica aziendale, la sicurezza è ciò che accade per l’e-mail del destinatario finale,” dice Ackerly. “Ciò include sia il computer del destinatario che l’impresa destinataria, se stai inviando un’e-mail a un altro sistema aziendale.”

Le lassiste abitudini di privacy e sicurezza di Sony che hanno portato all’infame hack non hanno solo messo in pericolo Sony — Snapchat è finita anche nel mirino degli hacker, in virtù dello scambio di e-mail non crittografate con Sony.

“L’Hack di Sony ha davvero messo in luce la vulnerabilità della destinazione della tua email. Il CEO di Snapchat stava inviando e-mail a un consulente di Sony, e quando i server di posta elettronica di Sony sono stati violati, ha messo a rischio tutti quelli con cui si erano scambiati e-mail in chiaro”, afferma Ackerly. “E che comprendeva SnapChat.”

Alcune di queste e-mail includevano conversazioni private tra Snapchat e il CEO di Sony Entertainment Michael Lynton, che funge anche da membro del consiglio di Snapchat, dettagliando le ambizioni commerciali di Snapchat. Piani per espandersi in nuovi mercati, acquisizioni segrete e idee per nuove funzionalità e funzionalità tutte trapelate a seguito dell’hack di Sony.

” Questa massiccia violazione non è avvenuta perché nessuno a SnapChat non stava facendo un buon lavoro”, afferma Ackerly. “È perché con l’e-mail non crittografata, c’è solo una grande quantità di rischio intrinseco. Ci sono diverse parti che hanno la custodia dell’e-mail che invii. Stai facendo affidamento su di loro per fare la loro due diligence per proteggere il loro contenuto. Se fanno casino, sei intrappolato nella rete.”

La vulnerabilità del computer del destinatario, così come il loro server di posta elettronica (sia ospitato in locale, nel cloud o come parte di un servizio come Gmail o Yahoo) potrebbe essere la rovina della sicurezza della posta elettronica — ma il proprio dispositivo non è immune, neanche.

Come il proprio computer è una minaccia per la sicurezza della posta elettronica

Una delle principali preoccupazioni espresse dalle aziende durante la migrazione della propria soluzione di posta elettronica locale (Exchange, ad esempio) al cloud è la sicurezza. E Outlook, Apple Mail e altri client desktop sono ancora soluzioni molto popolari per le aziende. Non c’è qualcosa di intrinsecamente meno sicuro nell’ospitare la tua email nel cloud?

Non necessariamente. Per uno, la migrazione a Gmail (tramite Google Apps for Work-ora noto come G Suite) come soluzione di posta elettronica aziendale significa che stai ricevendo almeno un po ‘ di protezione tramite crittografia e-mail, come Google cuoce SSL/TLS crittografia nel suo prodotto di posta elettronica. Potrebbe essere una soluzione incompleta rispetto alla crittografia lato client-e non volerà nel contesto di determinati regimi normativi e di conformità, come HIPAA o CJIS — ma è certamente meglio di niente.

C’è anche il problema del tuo computer. Se stai utilizzando un client di posta elettronica desktop, cosa succede se, ad esempio, il tuo laptop viene rubato?

” Se stai usando webmail, in particolare Gmail, hai una piccola quantità di protezione. In realtà sei abbastanza sicuro per quanto riguarda la creazione di dati sensibili sul tuo computer”, afferma Ackerly. “Se il computer viene rubato, e si utilizza un client di posta elettronica desktop come Apple Mail, quindi tutti quei messaggi di posta elettronica — non solo quelli che hai inviato, ma anche quelli che hai ricevuto — sono vulnerabili al furto. Non sono protetti o criptati in alcun modo.”

A questo proposito, l’utilizzo di un servizio di webmail come Gmail, che memorizza i dati in remoto su server ad alta sicurezza, in realtà ha molto senso. “Inoltre, i programmi di posta elettronica desktop spesso scaricano l’intera posta in arrivo, che potrebbe costituire una grossa fetta della tua vita privata o aziendale/professionale, sul tuo dispositivo.”

A meno che il computer non sia crittografato, ciò può comportare costose violazioni. “Ci sono stati esempi di dove un singolo medico pubblica i dati da un computer su Internet, di solito per errore, e si traduce in milioni e milioni di dollari in sanzioni violazione HIPAA e altri costi. Ciò può accadere anche con l’e-mail desktop”, afferma Ackerly. “Ma con i client webmail come Gmail, quando si crea una bozza o si invia un’e-mail, non si sta creando una copia sul computer che può quindi essere persa o trapelata. Ci sono ancora molte copie che possono essere violati — una volta che si crea una bozza, che il contenuto ora persiste su un server di back — end-ma non sarà necessariamente avere una copia sul dispositivo che può essere trapelato o ‘perso.'”

La minaccia dell’errore dell’utente (e l’importanza della protezione dalla perdita di dati)

Ma l’hacking, la sorveglianza / spionaggio e il furto di laptop non sono gli unici motivi per cui non è sicuro inviare e-mail non crittografate. Molte volte, il più grande nemico della privacy e della sicurezza delle e-mail della tua organizzazione è la tua organizzazione stessa.

“Una delle più grandi minacce reali in enterprise email security è semplicemente errore dell’utente,” dice Ackerly. “Parliamo molto dell ‘”attore cosciente”, che si tratti di un malintenzionato o di un hacker esterno, che rappresenta una minaccia, ma un sacco di incidenti di sicurezza sono dovuti a errori.”

Questo errore potrebbe essere potrebbe essere digitando l’indirizzo della persona sbagliata nella riga “A”. Potrebbe essere l’inoltro di un’e-mail senza rendersi conto che ci sono dati sensibili sepolti nella parte inferiore della catena, sotto l’e-mail pertinente che si voleva inoltrare. La capacità di rilevarlo e reagire ad esso è fondamentale per prevenire i principali incidenti di sicurezza della posta elettronica nell’azienda.

” Questo parla dell’importanza della protezione contro la perdita di dati (DLP) e del motivo per cui Virtru include DLP nella sua soluzione di crittografia delle e-mail”, afferma Ackerly. “L’amministratore dell’e-mail può dire in anticipo: ‘Queste sono le parole che ci causeranno un problema di sicurezza se le includiamo nell’e-mail.’Oltre l’ovvio, come le parole ‘top secret’ o ‘solo per i tuoi occhi’, ci sono anche modelli che il software cerca nella tua email prima di inviarlo.”

Ad esempio, se la tua e-mail contiene un numero digitato nel modello di numero di previdenza sociale (xxx-xx-xxxx), o un numero di 16 cifre che assomiglia a un numero di carta di credito, Virtru lo evidenzierà effettivamente quando premi” Invia ” e poi chiedi se vuoi inviare il messaggio come e-mail crittografata.

“Questo costituisce l’estensione Virtru scansione intelligente il contenuto per questi potenziali rischi per la sicurezza, ma tutto questo accade nel vostro plugin — nessuna terza parte ha effettivamente accesso ai tuoi contenuti., “spiega Ackerly. “La funzione è un po’ come una funzione di controllo ortografico, ma per la perdita di dati. Il concetto di ricerca di dati molto sensibili, e quindi far rispettare la politica, è una capacità molto poche aziende hanno in questo momento, perché i dati vengono memorizzati su un server da qualche parte. Ma la capacità di applicare queste protezioni DLP è qualcosa che abbiamo visto molte aziende iniziare a chiedere.”

Con DLP, non si fa più affidamento sull’utente per sapere se crittografare o meno e prevenire molti dei momenti “oops” che possono portare a violazioni dei dati.

Cosa succede alle e-mail crittografate inviate con i sistemi Portal

Mentre le e-mail non crittografate passano attraverso i tre salti del viaggio di un’e-mail non protette, cosa succede se si utilizza un sistema portal per inviare e-mail crittografate? Stai ancora ricevendo un tipo limitato di protezione, spiega Ackerly. “Il portale memorizza una versione non crittografata dell’e-mail. Molte aziende chiamano questi sistemi di portali “email crittografate”, ma la realtà è che non è veramente più crittografato di un’email crittografata con SSL/TLS (come Gmail).”

Il che significa che la tua email non è sicura su ogni hop. “Quel provider di posta elettronica manterrà l’e-mail e consentirà solo al contenuto non crittografato di passare su una connessione point-to-point crittografata al destinatario. Davvero quello che stai acquistando c’è una garanzia che l’ultimo salto è su una connessione crittografata point-to-point.”

Inoltre, le aziende rinunciano alla proprietà dei propri contenuti e-mail quando scelgono una soluzione per il portale. “Ecco il compromesso: stai rinunciando a un’altra versione non crittografata della tua email a un altro provider. Invece di Google che riceve l’e-mail e la invia, la stai dando al fornitore del portale”, afferma Ackerly. “Il rovescio della medaglia è che possono vedere il contenuto — a differenza con la crittografia e-mail lato client, quei fornitori di portale hanno accesso ai dati sottostanti.”

Per una vera protezione in ogni fermata che la tua e-mail attraversa, così come la piena proprietà della privacy dei contenuti della tua organizzazione, hai bisogno di un servizio di crittografia e-mail lato client come Virtru.

Virtru: Crittografia lato client& DLP per proteggere la tua email in ogni fase del percorso

È chiaro che il percorso che attraversa un’email, dalla bozza alla casella di posta del destinatario (e oltre), sembra molto diverso a seconda che tu non usi crittografia, crittografia limitata (come con SSL/TLS o portali) o crittografia e-mail lato client.

Virtru Pro non solo fornisce la crittografia e-mail lato client e protezione contro la perdita di dati per mantenere la vostra e-mail crittografata sicuro e privato dall’inizio alla fine, ma ti dà il controllo granulare sulla tua casella di posta. Con forwarding Control, puoi assicurarti che il destinatario previsto sia l’unico destinatario dell’e-mail inviata. Con il richiamo e-mail, è possibile riprendere un messaggio che potrebbe aver inviato per errore. Puoi anche impostare le date di scadenza sulla tua email.

Virtru funziona perfettamente con il provider di webmail che già usi per proteggere i tuoi messaggi e allegati, il tutto con il semplice tocco di un interruttore. Prendi possesso dei tuoi dati oggi e scarica Virtru per inviare e-mail crittografate.