Tegye biztonsággosá alap kommunikációs eszközeit

2023. okt. 23. | Pataki Tamás

Október a kiberbiztonság jegyében telik, és ez a tökéletes alkalom arra, hogy átgondolja, hogyan biztosíthatja mindennapi üzleti kommunikációját. Az egyik leggyakrabban figyelmen kívül hagyott kockázat az e-mail, amelyet naponta használunk érzékeny információk cseréjére. Ez a cikk tanácsokat ad arra vonatkozóan, hogyan lehet ezt a biztonságot minimális erőfeszítéssel megvalósítani vállalkozásában.

E-mailek: Ötvenéves technológia a kvantumszámítógépek korszakban

Figyelemre méltó, hogy az első e-mailt már 1971-ben elküldték az ARPANET-en keresztül. Akkor még senki sem sejthette, hogy évtizedeken keresztül ez lesz a fő kommunikációs eszköz, és hogy naponta több milliárd kéretlen üzenettel kell majd szembenéznünk.

Kevesen vannak tisztában azzal, hogy az e-mailes kommunikáció mennyire primitív. A feladó bármilyen címet és nevet megadhat, az üzenet küldése és fogadása pedig a levelezőszervereken múlik. Az e-mail üzenet úgy utazik az interneten, mint egy boríték nélküli képeslap, amelyet bárki elolvashat, akinek a kezébe kerül. Titkosított kapcsolat nélkül a továbbított tartalom könnyen elolvasható. Ez még azután is problémás lehet, hogy az üzenetek már megérkeztek a címzett szerverére, mivel még mindig csak szöveges üzenetekről van szó.

Amikor tehát e-mailt küld, adatokat ad át az internet keresztül, és csak reméli, hogy senki sem fér hozzá, illetve nem élhet vissza vele. Mi lenne, ha lehetőség lenne az üzenetet saját elektronikus aláírásával "lepecsételni", és így biztos lehetnénk abban, hogy csak a címzett olvashatja el? Szerencsére az elektronikus aláírás lehetőséget kínál erre, mind az üzenetek aláírására, mind pedig titkosítására.

Kifinomult támadások e-mailen keresztül

Az informatikai szakértők szorgalmasan dolgoznak a spamek és a csaló e-mailek elleni küzdelemben. Egyre kifinomultabb eszközöket használnak, mint például az SPF, a DMARC vagy a DKIM, hogy megvédjék az e-mail kommunikációt a csaló feladóktól. Másrészt a "rosszakarók" is hozzáférhetnek ezekhez az eszközökhöz, és megpróbálják a lehető leghitelesebbnek feltüntetni a megtévesztő üzeneteiket. A támadók folyamatosan harcolnak az e-mail szerver adminisztrátorokkal, akik megpróbálják azonosítani és visszautasítani ezeket az üzeneteket, de a harcnak sosincs vége, és néhány csaló üzenet mindig eljut a címzetthez.

A levélszemét már nem csak bosszantó reklám e-mailekből és "nigériai száműzött hercegek" dollármilliók átutalását ígérő üzeneteiből áll (ami elég mulatságos). A kéretlen levelek nagy része a figyelmetlen alkalmazottakon keresztül igyekszik beszivárogni a vállalatokba, és kárt okozni.

Valószínűleg Ön is kapott már ún. sextorsion e-mailt, amelyben kompromittáló információk vagy a webkamerájával készített fényképek közzétételével fenyegetik. A zsarolók természetesen pénzt kérnek a hallgatásért. Gondoljon a hamis számlákra, a nem létező fizetési felszólításokra vagy a csaló e-mailekre is, amelyek állítólag a rendőrségtől származnak. De ezek a trükkök már nem nagyon működnek.

A támadók mostanában konkrét alkalmazottakat céloznak meg spear phishing segítségével. Például egy vállalat könyvelője kaphat egy hamis fizetési felszólítást, amelyet a vezérigazgató nevében állítanak ki. Vagy megváltoztathatnak egy számlaszámot egy fizetésre felszólító e-mailben. Elektronikus aláírás nélkül nem biztos, hogy tudná, hogy valamit megváltoztattak, és a feladóról sem lenne 100%-os bizonyossága.

Az elektronikus aláírás segítségével visszaszerezheti az e-mailekbe vetett bizalmat

Az elektronikus aláírás három fontos szempontot garantál: a feladó személyazonosságát, az üzenet eredetét és időpontját, valamint azt, hogy az üzenetet az elküldés óta nem módosították. Mindezek eléréséhez a digitális személyes S/MIME tanúsítványra van szükség. Ezzel akár titkosíthatja is az üzenetet, úgy hogy az csak a címzett és a feladó számára legyen olvasható. Az üzenet aláírása automatikus, és az összes elterjedt levelezőprogram (Outlook, Thunderbird stb.) támogatja.

Néhány tapasztalt felhasználó azzal érvelhet, hogy az S/MIME tanúsítvány beszerzése és beállítása a számítógépen bonyolult lehet. A legtapasztaltabbak pedig megjegyezhetik, hogy az üzenetek titkosításához először tanúsítványt kell cserélniük a címzettekkel. Mindkettő igaz, de ezek a problémák könnyen megoldhatók. Egyszerűen vezessen be elektronikus aláírást az egész vállalatban, és automatizálja a folyamatot.

Mindent automatizálunk, ez az erősségünk

Az S/MIME tanúsítványok egyesével történő telepítése kihívást jelent, mivel minden egyes alkalmazott számítógépén be kell állítani, ami időigényes lenne. Automatizálhatjuk a teljes folyamatot az aláíró tanúsítvány kiállításától kezdve az elosztásán át a levelezőprogramba való telepítéséig, ugyanúgy, mint a weboldalak TLS-tanúsítványainak életciklusánál.

A KeyTalk Secure Email képes tanúsítványokat kiállítani, továbbítani és beállítani a felhasználók számára az Outlook vagy mobileszközük számára. A kibocsátás a hitelesítő hatóság API-ján keresztül történik, amelyek a felhasználói adatokat az Active Directoryból kérik le, ahová a KeyTalk a kiállított tanúsítványt is feltölti. A KeyTalk kliens ezután beállítja az S/MIME tanúsítványt az aláíráshoz a munkavállaló levelezőprogramjában, akinek egyáltalán nem kell semmit sem tennie ehhez.

A KeyTalk szerver telepíthető a vállalatnál on-premise megoldásként, vagy akár felhőalapú SaaS-szolgáltatásként is futtatható. Ha a KeyTalk rendszergazda megfelelően konfigurálja a KeyTalkot, a felhasználónak (alkalmazottnak) nem kell törődnie semmivel, észre sem veszi, hogy S/MIME tanúsítványt állítottak be és telepítettek a számítógépére. Ily módon az e-mail aláírása és titkosítása könnyen bevezethető az egész vállalatra kiterjedően, és az S/MIME tanúsítványokra való áttérés észrevétlenül, a mindennapi működés megzavarása nélkül történik.)

SSLmarket az Ön adatbiztonsági partnere

A Zoner SSLmarket osztálya a KeyTalk és a világ legnagyobb hitelesítő hatósága, a DigiCert partnere. A tanúsítványok kezeléséhez és az életciklus automatizálásához a legújabb eszközökkel rendelkezünk. Szívesen segítünk, ha van olyan felhasználási területe, amelyet szeretne megvitatni. Ne habozzon fel venni a kapcsolatot felvenni velünk a kapcsolatot, és nem kötelező érvényű konzultáció kérni.

---