Zabezpečení e-mailů: Jak můžete chránit vaši firemní komunikaci

E-mailová komunikace má od bezpečné a soukromé elektronické komunikace velmi daleko. Samotný e-mail funguje totiž jako “plain text”. Jeho obsah si tedy může kdokoliv kdo k němu dostane přístup přečíst a dokonce i editovat. I přes to však většina z nás bezpodmínečně věří zprávám, která v e-mailu obdržíme od svých známých. V rámci firemních e-mailů je to podobné. 

Hrozby

BEC (Business E-mail Compromise), nebo-li ohrožení zabezpečení podnikových e-mailů je cíleno vnitřně, to znamená, že útočník využije kompromitovaný e-mail zaměstnance a vydává se za něj. Snaží se pak přesměrovat mzdy na jiný účet, urgentně žádat o převod financí nebo například změnit číslo účtu na faktuře pro partnera či klienta. Že je BEC skutečný problém/riziko dokazují statistiky:

• V souvislosti s BEC obdržela v roce 2022 americká FBI 21 832 oznámení. Ztráty spojené s nimi přesahovaly hodnotu 2.7 miliard dolarů. (FBI). 
• Od roku 2016 pak ztráty spojené s BEC činí přes 43 miliard dolarů (FBI).
• Pretexting (využívání vymyšleného scénáře s cílem přesvědčit oběť k učinění potřebné akce nebo k získání potřebné informace), v roce 2022 předběhl phishing jako nejrozšířenější taktiku sociálního inženýrství, přičemž útoky BEC tvoří více než 50 % incidentů sociálního inženýrství (Verizon).
• BEC byl v roce 2023 vektorem útoku pro 9 % úniků všech dat (IBM).

Kromě přímého získání peněžních prostředků se neoprávněné osoby mohou zaměřovat také na citlivé informace, jako jsou bankovní údaje, hesla, nebo obchodní tajemství, které mohou zneužít k dalším finančním podvodům, krádežím identity nebo špionáži. 

Způsoby ochrany 

Firmy se mohou těmto útokům bránit pomocí osobních certifikátů (S/MIME), kterými mohou pracovníci podepisovat e-maily. E-mail s takovým certifikátem pak zaručuje, že se opravdu jedná o daného člověka a zároveň že e-mail nebyl od “podpisu” nijak upraven. Jakákoliv úprava e-mailu nebo odeslání z jiného zařízení (než to, na kterém zaměstnanec má certifikát importovaný) podpis zneplatní. Outlook v takovém případě příjemci ukáže, že je podpis neplatný (pomocí přeškrtnuté obálky), což příjemce na problém upozorní.

Využijte slevu 15% na SSL certifikáty s kódem:

 

SSL-Vanoce-23 Zkopírovat kód

 

Platný do: 31.12.2023

 

 

Dalším způsobem je pak kompletní šifrování e-mailů (veřejný klíč pro šifrování může být součástí osobního certifikátu). Jedná se o proces transformace obsahu zprávy do nečitelné podoby (pomocí veřejných klíčů) pro všechny, kromě oprávněných příjemců, kteří disponují odpovídajícím dekódovacím (soukromým) klíčem. Nechrání tak pouze před hackery, ale také brání poskytovateli e-mailových služeb, přes kterého e-maily chodí (a ukládají se), ve čtení komunikace. 

Problémem s takovým zabezpečením e-mailů je však jeho velká nepraktičnost. IT oddělení, které by chtělo nasazovat certifikáty na všechny počítače svých zaměstnanců, by na tom mohlo strávit dlouhé dny (především u velkých firem). K tomu, se certifikáty pravidelně obnovují a celý proces je tak třeba dělat znovu a znovu. 

To z managementu osobních certifikátů (a klíčů) činí nepříjemnou záležitost pro většinu bezpečáků a pro běžné smrtelníky je to nadlidský úkol. Firmy se tak spíše rozhodnou nezabezpečit komunikaci vůbec nebo zabezpečí pouze komunikaci nejvýše postavených osob, například vyššího managementu nebo majitelů. To však nechává zbytek firmy nechráněný. 

Moderní řešení

Elegantní řešení tohoto problému nabízí systémy pro PKI management (řízení infrastruktury veřejných klíčů). Příkladem může být holandský KeyTalk. KeyTalk poskytuje společnostem servery “on-premises”, v cloudu nebo na bázi SaaS, na kterých je možné spravovat všechny firemní certifikáty. Zároveň hlídá životní cyklus certifikátů, automaticky žádá, vystavuje a prodlužuje. 

Firmám tak stačí nainstalovat aplikaci KeyTalk na zařízení zaměstnanců (pokud máte systém centralizované správy tak je to o to jednodušší) a ta již automaticky importuje, aktualizuje a komunikuje se serverem. Aplikace také umí automaticky nastavit podpisový certifikát přímo v Outlooku. Proces tak běží automaticky čímž odpadá neustálý koloběh ručních aktualizací a změn.

Pokud byste o systém PKI managementu měli zájem, nebo se o něm chtěli dozvědět více, můžete se podívat na SSL Market. Pomáháme s nasazováním certifikátů pro web, elektronickými podpisy pro e-maily, dokumenty a aplikace. Vše na míru. Nabízíme také nezávaznou konzultaci a českou podporu 24/7.

Kontakt: jindrich.zechmeister@zoner.cz