Da li su vaši mejlovi sigurni?

Danas su komunikacije i kompjuterski sistemi sve više ugroženi vanjskim napadima, a čak i ako mislimo da smo sigurni jer vjerujemo da smo usvojili precizne mjere opreza, nismo. Do sada se vijesti nemilosrdno prate jedna za drugom, hakovano je 500 miliona naloga na Facebook-u, milioni naloga hakovanih na gmail-u, besplatnim ili drugim servisima i ne shvatamo da smo i mi, uprkos sebi, nesvesno, uključeni i često postajemo vozilo za spamere i zlonamerne ljude koji nas koriste u svrhe za koje ne bismo ni izdaleka želeli da znamo. Stvari se jako zakompliciraju kada govorimo o poštanskim sandučićima koji se koriste iz profesionalnih i/ili radnih razloga, s obzirom na to da je Garant privatnosti počeo izricati prilično stroge kazne koje mogu čak i baciti posao na koljena. Moramo se zaštititi i da bismo se zaštitili moramo razmišljati o tome šta treba učiniti uzvodno, a ne kada se katastrofa dogodila.

Za one koji koriste Gmail

Mnogi me pitaju koji je najsigurniji email servis za korištenje. Moram da ih razočaram, to ne postoji. Ili još bolje, to nije tačno pitanje. Postoje plaćene usluge, besplatne usluge i morate biti svjesni šta morate učiniti da biste bili sigurni ili u svakom slučaju garantirali svojim klijentima sigurnost podataka koji su nam povjereni. Jedna od najčešće korištenih platformi čak i od strane freelancera je GMAIL. Uobičajeno je da dobijete e-poštu od svog računovođe pod nazivom studiocommercialista@gmail.com. Takođe je prilično rašireno vjerovanje da je GMAIL jedan od najsigurnijih servisa za slanje pošte na svijetu. Ali nije, zaista.

Inače, GMAIL koji se koristi u svojoj besplatnoj konfiguraciji nije siguran jer nijedna e-pošta nije 100% sigurna, ali čak i više, besplatna usluga je upravo besplatna i ima ograničenja, zaista, mora imati ograničenja. Trebali biste pročitati ugovor o pružanju usluga prije nego što svoju komunikaciju povjerite trećim licima. Čitajući ugovore, razumijemo da su odgovornosti koje Google preuzima vrlo male u slučaju povrede podataka ili još bolje, nema odgovornosti. Ako vam provale u poštansko sanduče i ukradu podatke koji su pohranjeni, poslane e-poruke, primljene e-poruke, to su vaši problemi i ako niste poduzeli dovoljne mjere da zaštitite podatke svojih kupaca, Garant privatnosti će od vas tražiti da za to odgovarate izricanjem sankcija koje mogu učiniti mnogo štete.

Upotreba plaćenog GMAIL-a se dosta mijenja. Sam Google tako kaže. Međutim, počinje od cijene od 4.68 eura mjesečno po poštanskom sandučetu do 15,60 mjesečno i slučajno jedna od istaknutih karakteristika kaže: „Upravljanje i sigurnosna kontrola“.

Verzija od 15,60/mjesečno tvrdi: “Napredno upravljanje i sigurnosne kontrole, uključujući trezor i napredno upravljanje krajnjom tačkom”. Budući da problem nije samo sigurnost strukture, Google naglašava činjenicu da je potrebno i "educirati" korisnika o potrebi da usvoji ispravne mjere kontrole i sigurnosti svog ponašanja počevši od alata koje koristi za pristup svojim poštanskim sandučićima, Androida, IOS-a, ili mail klijenata kao što su Thunderbird ili Outlook ili drugi.

Ako onda razmišljamo o činjenici da je cijena usluge izražena po kutiji, u slučaju artikuliranog studija s nekoliko ljudi lako je zamisliti da ukupni trošak za dobru komunikacijsku strukturu i odnos sa vanjskim svijetom može postati značajan teret.

Sve se to prevodi na ovo: želite li sigurnost? platiti i slati i naučiti se kako treba ponašati.

Za sve koji koriste Microsoft Exchange

U osnovi se ništa ne mijenja u odnosu na GMAIL. Princip je isti, cijene su iste i npr. mjesečni trošak od 12.50 dolara uključuje i Office 365

Štit privatnosti koji vas zavarava.

Privacy Shield, ili "štit privatnosti" između EU i SAD, je mehanizam samocertifikacije za kompanije osnovane u SAD-u koje žele primati lične podatke od Evropske unije. Kompanije se posebno obavezuju da će poštovati principe sadržane u njima i da će zainteresovanim stranama (tj. svim subjektima čiji su lični podaci preneti iz Evropske unije) obezbediti adekvatne alate zaštite, pod kaznom eliminacije sa liste certifikovanih kompanija („Privacy Shield List”) od strane Ministarstva trgovine SAD i mogućim sankcijama od strane Federalne trgovinske komisije. Evropska komisija smatra da sistem nudi adekvatan nivo zaštite ličnih podataka koji se prenose sa pojedinca u EU na kompaniju osnovanu u Sjedinjenim Državama i da stoga Štit predstavlja izvor pravne zaštite u pogledu prenosa podataka u pitanju.

EU-US Privacy Shield je na snazi ​​od 1. avgusta 2016. godine.

Štit je primjenjiv na sve kategorije ličnih podataka koji se prenose iz EU u SAD, uključujući poslovne informacije, podatke o zdravlju ili ljudskim resursima, pod uslovom da je američka kompanija koja prima takve podatke samopotvrdila da se pridržava šeme.

Nažalost, pakt je prekršen.

Evropski sud je ispitao prvu odluku (2010/87 o standardnim ugovornim klauzulama) i utvrdio da ova, iako zasnovana na ugovornim odredbama koje, kao takve, nisu u stanju da obavezuju države da ih poštuju, sadrži djelotvorne mehanizme koji u praksi omogućavaju da se jamči da se poštuje nivo zaštite koji zahtijeva pravo Unije i da se prijenosi osobnih podataka, na osnovu ovih klauzula, obustavljaju u slučaju kršenja ili kršenja ovih klauzula. njima.

Druga odluka (2016/1250 o adekvatnosti zaštite koju pruža štit EU-SAD) umjesto toga utvrđuje primat potreba koje se odnose na nacionalnu sigurnost, javni interes i usklađenost sa američkim zakonodavstvom, čime se omogućuje miješanje u temeljna prava osoba čiji se podaci prenose u tu treću zemlju.

Prema Sudu, ograničenja zaštite ličnih podataka koja proizilaze iz unutrašnjeg zakonodavstva Sjedinjenih Država nisu uokvirena na takav način da odgovaraju zahtjevima koji su suštinski ekvivalentni onima koji se zahtijevaju u pravu EU, po principu proporcionalnosti i stroge nužnosti.

pa? Kakve veze ima Zaštita privatnosti sa mojim e-porukama?

Prevedeno, ukratko, to znači da sistemi kao što su Gmail i Microsoft Exchange nisu zaštićeni Zaštitom privatnosti i moraju se uzeti u obzir tokom revizije i Privacy By Design kako bi na odgovarajući način informirali svoje klijente s ispravnim DPA (procjenom zaštite podataka).

da rezimiramo: Gmail p Microsoft Exchange da, ako se plaća, po kojoj cijeni? Zavisi koliko mail naloga želite da koristite i da li želite da koristite sopstvenu korporativnu domenu. I u svakom slučaju, izvan Štita privatnosti, što nas dovodi u opasnost pred intervencijom Garanta privatnosti, sa kaznama koje mogu postati znatne.

Pa, shvatili smo! Ali kakve to veze ima sa sigurnošću naše e-pošte? Mirno i hladno, dolazimo! Malo mirno!

Načelo vlasništva nad ličnim podacima

Hajde da uspostavimo fiksnu tačku, a to je da je Garant privatnosti uspostavio princip: Lični podaci nisu vaši, već su u vlasništvu ljudi na koje se ti podaci odnose.

Stoga, na osnovu zakonodavstva koje reguliše ovo pravo, svaki pojedinac može tvrditi da njegove lične podatke prikupljaju i obrađuju treća lica samo u skladu sa pravilima i principima utvrđenim zakonima o toj temi, kako Evropske unije, tako i pojedinačnih nacionalnih država. Svrha zakonodavstva je dati zainteresovanoj strani ovlasti da raspolaže svojim podacima, osiguravajući da pojedinac ima kontrolu nad svim informacijama koje se tiču ​​njegovog privatnog života, a istovremeno mu pruža alate za zaštitu ovih informacija.

I radi preciznosti:

• Svako ima pravo na zaštitu ličnih podataka koji se odnose na njega.

• Takvi podaci moraju se obrađivati ​​pošteno, u posebne svrhe i na osnovu pristanka subjekta podataka ili druge legitimne osnove utvrđene zakonom. Svaki pojedinac ima pravo na pristup prikupljenim podacima koji se odnose na njega i na njihovo ispravljanje.

• Poštovanje ovih pravila podleže kontroli nezavisnog organa.

Na osnovu gore napisanog, postaje jasno kako je sigurnost nečijih IT i eksternih komunikacijskih sistema vrlo vruća tema koja nas sve obavezuje da razmislimo o tome kako smo navikli upravljati svojim poslovnim procesima.

Ispravno ponašanje kako bi bili sigurniji

Prva stvar koju moramo zapamtiti je da je prvo rješenje naše ponašanje. Koja su ispravna ponašanja koja treba usvojiti? Navodim nekoliko. Nažalost, u radu sa saradnicima i zaposlenima se dešava da ne usvoje svi ispravna i ravnopravna ponašanja, uvijek neko pobjegne iz "ograde" i morate biti veoma oprezni. Ali ako počnete shvaćati da su osobni podaci koji se koriste u komunikaciji vlasništvo dotičnih osoba na koje se ti podaci odnose, lakše je potaknuti odgovorno i obzirno ponašanje i izbjeći mnoge probleme.

1. Ne otvarajte priloge bez provjere pošiljaoca e-pošte.
2. Nemojte koristiti automatsko otvaranje priključka.
3. Uvijek provjerite pošiljaoca primljene e-pošte
4. Ispravno koristite sva polja e-pošte
5. Ispravno koristite polje "Subject" i kratko i ispravno opišite temu e-pošte. Koristan je za one koji primaju e-poštu jer odmah primjećuju da li je e-mail napisan posebno za njih i koristan je za pretraživanje hiljada e-mailova koje arhiviramo svake sedmice kada trebamo pronaći nešto konkretno.
6. Koristite SAMO JEDNOG primaoca po e-poruci u polju "Za:". Ako treba da unesemo više primalaca, u tom slučaju stavljamo našu adresu u polje „Za:“, a u polje „CCn:“ (Hidden Carbon Copy) adrese svih ostalih primalaca. Ovo štiti privatnost primalaca koji će primiti poštu na adresu "Neotkriveni primalac" i neće pronaći njegovo poštansko sanduče posvuda spamovano.
7. Izbjegavajte neograničeno ponavljanje poruka koristeći poštansko sanduče kao ćaskanje.
8. Izbjegavajte slanje teških priloga i eventualno slanje zipovanih priloga.
9. Nemojte puniti mejlove slikama na dnu sa logotipima, potpisima, ikonama društvenih medija ili bilo čim drugim. Mnogi su blokirali automatski prikaz slika i rezultat koji dobijete je samo zbrka i nered.
10. Ne otvarajte sumnjive mejlove.
11. Promijenite lozinku za poštansko sanduče najmanje jednom u tri mjeseca i koristite složene nizove. Ako ne želite da pamtite posebne znakove, velika i mala slova, predlažemo da koristite čitave rečenice koje možete lako zapamtiti kao: "jučer-moj-pas-jack-igrao-frizbijem". I dalje dobijate odličan rezultat. Jednostavnije lozinke se lako hakuju uz nekoliko brute-force operacija i odatle se nanosi šteta.
12. Nemojte koristiti svoju poslovnu e-poštu za svoje društvene profile, NIKAD!
13. Gdje je moguće, uvijek koristite dvostruku autentifikaciju.
14. To nema nikakve veze sa sigurnošću, ali molimo vas da NE KORISTITE VELIKA GLAVA. Veliko slovo znači VRIŠTAO i prokleto je gadno i nepristojno.
15. Napravite svakodnevnu sigurnosnu kopiju svoje pošte, ne ostavljajte svu komunikaciju na serveru, to je praksa ne samo da se ne savjetuje nego i strogo kažnjava Garant privatnosti.

Čini se da su ovo trivijalne preporuke, ali ironično, hakeri i spameri se oslanjaju na nepažnju korisnika. Znamo, oni su stvarno banalni i čuli ste, rekli, izjedali hiljade puta, ali očigledno to nije dovoljno!

Gmail ne, Microsoft Exchange ne, šta da radim?

S obzirom na to da nismo rekli ne, već smo vas samo osvijestili o rizicima na koje se nosite, međutim, postoje praktična, zanimljiva rješenja koja vas čuvaju, uz pretpostavku i ne dopuštaju da ponašanje pojedinaca tada odražava minimalnu zajednicu neophodnu da se izbjegne sve upropaštavanje. Nadalje, s obzirom da nismo rekli da ne možete koristiti GMAIL ili Microsoft Exchange, ali da za to morate biti usklađeni sa GDPR-om, pokušajmo da dam i druge odgovore.

Alternative za Gmail i Microsoft Exchange:

ProtonMail

Platforma sa sjedištem u Švicarskoj, usklađena sa GDPR-om, koristeći end-to-end enkripciju. Vrlo dobra usluga, izuzetno sigurna ali nije jeftina. Iskreno govoreći, komercijalno nisu postigli uspjeh koji su zaslužili i ostali su pomalo "na licu mjesta" iako je tehnološki gledano usluga besprijekorna.

Brza pošta

Fast Mail je valjana alternativa Gmailu, vrlo funkcionalan i kompletan sa pristupačnom cijenom, ali je potrebno provjeriti usklađenost s GDPR-om jer je u svakom slučaju riječ o američkoj platformi.

QBOX Mail

Vrlo valjana alternativa, potpuno italijanska i usklađena sa GDPR-om. Enterprise verzija košta 3.60 eura po poštanskom sandučetu i 1 euro za svakih 25 GB dodatnog prostora. Možemo ga samo toplo preporučiti. Po našem mišljenju to je jedno od najzanimljivijih rješenja.

Postoje i mnogi drugi dobavljači usluga pošte u oblaku, to je svijet koji se može istražiti. Ali kako ne bismo davali previše informacija, ovdje se zaustavljamo.

Vlasnički SMTP server ili mail server.

Koliko vas ima stranicu i domenu i koristi prednosti mail servera integriranog u vaš vlastiti web server na kojem se nalazi stranica? To je jedna od najčešćih situacija.

SMTP server provajdera

SMTP serveri etabliranih provajdera takođe su prepoznati kao pouzdani od strane drugih provajdera. Takođe, njihovi filteri za neželjenu poštu smatraju se posebno efikasnim zbog velike količine podataka koje obrađuju. Međutim, u slučaju besplatnih ponuda, obično postoje stroga ograničenja u pogledu broja e-mailova dnevno, veličine priloga i prostora za skladištenje poštanskog sandučeta.

Ponude su predstavljene na nekoliko stranica:

Provajderi Internet usluga: Internet provajderi (ISP) kao što je IONOS često nude adresu e-pošte za internet vezu pomoću koje se može pristupiti SMTP serverima pošte kompanije.
Provajder e-pošte: Najtipičniji način za pojedince da šalju e-poštu prijateljima i porodici je korištenje aplikacije za web poštu besplatnog provajdera e-pošte kao što su Gmail, Yahoo ili Libero. Jedini uslov je e-mail adresa koja odgovara domeni, sa kojom se SMTP server provajdera može koristiti za ličnu korespondenciju. Sve što treba da uradite je da konfigurišete svoje poštansko sanduče za ispravnu adresu SMTP servera. Ispod ćete naći sažetak najpopularnijih provajdera i njihove adrese.
Provajderi usluga hostinga: Mnogi hosting paketi, poput onih iz IONOS-a, podrazumevano sadrže SMTP server, koji se može koristiti za rukovanje internim i eksternim saobraćajem pošte kompanije.
Specijalizirani provajderi: neke kompanije su se specijalizirale za iznajmljivanje SMTP servera, među kojima su na primjer Amazon SES i SparkPost, koji omogućavaju iznajmljivanje potrebnog hardvera.

Izričito ne savjetujemo ovo rješenje

Vlastiti SMTP server

Sa nekim osnovnim tehničkim znanjem možete postaviti svoj vlastiti SMTP server. Na primjer, Raspberry Pi se može postaviti sa odgovarajućim softverom kao hardverskom osnovom.

Prednosti su očigledne: nema ograničenja provajdera u upotrebi, potpuna kontrola nad svim postavkama i nezavisno upravljanje podacima. Osim toga, posjedovanje vlastitog servera je idealno za upoznavanje sa tehničkom mehanikom prometa e-pošte. Ali postoje i nedostaci: zbog dinamičke IP adrese svojstvene privatnim pristupima Internetu, privatni SMTP serveri se često klasifikuju kao neželjeni od strane velikih dobavljača e-pošte. Problem koji se može riješiti samo uz nekoliko mjera renoviranja i/ili dodatnih troškova. Međutim, ako želite samo da šaljete svoje e-mailove drugom privatnom klijentu, vlastiti SMTP server je u svakom slučaju dobra alternativa. Stoga je neophodno imati fiksni IP.

Eh, ali to nisu ruže i cvijeće zaista. Dovođenje SMTP servera u vaš dom ili korištenje onog koji je povezan s hostingom vaše web stranice ima posljedice koje mogu biti čak i ozbiljne ako niste u mogućnosti riješiti probleme.

Vlasnički SMTP server ili mail server.

Koliko vas ima stranicu i domenu i koristi prednosti mail servera integriranog u vaš vlastiti web server na kojem se nalazi stranica? To je jedna od najčešćih situacija.

Kada upravljate vlastitim SMTP serverom za primanje i slanje korespondencije, morate uzeti u obzir neke aspekte koji također mogu biti neugodni:

Vrijeme rada sistema. Općenito, različiti ISP provajderi, posebno oni "jeftiniji" kao što su Aruba ili Register, nemaju SLA i ne garantuju vrijeme rada. To znači da je tokom 365 dana u godini moguće da vaš hosting, a samim tim i vaša domena nisu dostupni, da poslani e-mailovi ne izlaze ili da oni koje treba primiti ne stignu na odredište. Ako je DNS nedostupan, vaš sistem pošte se potpuno gasi. Hosting provajderi koji pisanim putem, ugovorom garantuju produženje rada koje je duže od 99.99% vremena tokom jedne godine, postoje, ali usluga počinje da košta. Pružamo 99.99% SLA i u stvari cijena našeg hostinga nije uporediva s onom u Arubi.

Višak. SMTP server povezan sa vašim hosting prostorom se uglavnom nalazi na mestu, a to je farma servera, ako to eksplodira, kao što se nedavno desilo sa OVH-om ili sa Arubom u nedavnoj prošlosti, i sajt i čitava vaša IT struktura za slanje i primanje e-pošte mogu da se sruše. Stoga mogu računati na redundantnu strukturu gdje, u slučaju kvara ili gašenja mog računarskog sistema, paralelna struktura može odmah početi da radi. Mogli bismo otvoriti posebno poglavlje o redundanciji i ulaziti u najsitnije detalje, ali ovo nije mjesto za to. recimo da se redundantnost definiše kao sistem koji je sposoban da duplicira određene funkcije i samim tim garantuje kontinuitet usluga u slučaju kvara.

Prednosti korištenja vlasničkog SMTP servera. Pokušavam da ih navedem:

• Mogućnost upravljanja višestrukim računima e-pošte bez povećanja troškova
• Mogućnost autonomnog upravljanja vlastitim politikama slanja/prijema
• Mogućnost internog održavanja ažurirane arhive svoje pošte i prometa komunikacija sa vanjskim svijetom
• Mogućnost imenovanja/preimenovanja vaših poštanskih sandučića autonomno i bez vanjske intervencije
• Mogućnost uspostavljanja (u zavisnosti od odabranog provajdera) adresa i/ili IP adresa koje se stavljaju na crnu ili bijelu listu.
• Sposobnost samostalnog uspostavljanja anti-spam politika
• Mogućnost samostalnog uspostavljanja oznaka, DKIM, SPF i DMARC koje su one koje mnogi zaboravljaju i glavni su uzrok stavljanja vaše domene na crnu listu.

Nedostaci korištenja vlasničkog SMTP servera

Nedostaci su bezbrojni, posebno ako vaša struktura nije pripremljena i nema adekvatne svijesti o rizicima koje nosite dovođenjem mail servera u svoj dom. Tehnička, pravna i operativna pitanja takođe mogu obeshrabriti ovaj put, mnogo zavisi pre svega od nivoa tehnološke kulture prisutne u nečijoj strukturi.

• Nemogućnost da se obeštetite jer sve odgovornosti za upravljanje i arhiviranje e-poruka opterećuju vašu strukturu.
• Izloženost svim vrstama napada i potreba da se poduzmu sve mjere za njihovo ograničavanje ili otkazivanje.
• Mogućnost postojanja trenutaka "mraka" u kojima server usporava druge operacije ili čak nije u stanju da obavlja svoje funkcije.
• Potrebno je implementirati žestoku antivirusnu i anti-spam politiku kontrole (istinito govoreći, ovo se danas odnosi pomalo na sve)
• Potreba za sistematskom i efikasnom politikom rezervnih kopija (ovo važi za sve danas, do sada).

Istina je i da mnogi "profesionalni" provajderi obezbjeđuju zaštićene, certificirane ili u svakom slučaju gotovo bez ranjivosti SMTP servere i stoga opasnosti nastaju isključivo i isključivo iz nepažnje operatera ili iz njegove lakomislenosti i neodgovornosti, međutim recimo da hostovanje mail servera na istoj strukturi ne mora uvijek biti ispravna politika hosta na kojoj se čuva pravila.

zaključak

Ok, lijepo ali u zaključku? Šta odabrati?

Ne postoji jednoznačan odgovor, zavisi od okolnosti, ali i od operacije. Preporučujemo korištenje cloud servera pošte kada je struktura kompanije mala ili mikroskopska i SMTP servera kada struktura zahtijeva najmanje desetak poštanskih sandučića ako ne i 20. Više zbog troškova nego bilo čega drugog jer imati SMTP server smješten u sigurnoj, efikasnoj strukturi koja ispravno brendira servere i koristi valjane i ispravne sigurnosne protokole, uvijek ima prednost ispred svih potencijalnih problema. Čak i u smislu GDPR-a, ako će s jedne strane biti potrebno usvojiti ispravnu Politiku privatnosti, istina je i da u slučaju povrede podataka, posljedice mogu biti mnogo ozbiljnije uz korištenje cloud sistema kojima upravljaju treća lica. Stoga bi dobar SMTP server i oštroumnost u upravljanju poštom trebali riješiti 90% problema za mala preduzeća ili profesionalne aktivnosti. Dobar partner koji pruža adekvatnu uslugu hostinga, tehničar na licu mjesta koji zna kako pravilno instalirati email klijent, dobar backup sistem, firewall i uvijek ažuran antivirus, ruter sa žestokom kontrolom portova i gotovo mirno možete spavati. Onda se svašta može desiti, ali u principu ovo je ono što mi predlažemo.