Er dine e-mails sikre?
Er dine e-mails sikre?
I dag er kommunikation og computersystemer i stigende grad truet af eksterne angreb, og selvom vi måske tror, vi er sikre, fordi vi mener, at vi har taget præcise forholdsregler, er vi det ikke. Nu følger nyhederne hinanden i et uophørligt tempo, 500 millioner konti hacket på Facebook, millioner af konti hacket på gmail, gratis eller andre tjenester, og vi forstår ikke, at også vi, på trods af os selv, ubevidst, er involveret og ofte bliver et køretøj for spammere og ondsindede mennesker, der bruger os til formål, som vi ikke engang ville ønske at vide. Tingene bliver meget komplicerede, når vi taler om postkasser, der bruges af professionelle og/eller arbejdsmæssige årsager, i betragtning af at privatlivsgaranten er begyndt at pålægge ret strenge sanktioner, der endda kan bringe en virksomhed i knæ. Vi er nødt til at beskytte os selv, og for at beskytte os selv er vi nødt til at tænke på, hvad der skal gøres opstrøms, ikke når katastrofen har fundet sted.
For dem, der bruger Gmail
Mange spørger mig, hvilken e-mail-tjeneste der er den sikreste at bruge. Jeg må skuffe dem, det findes ikke. Eller endnu bedre, det er ikke det rigtige spørgsmål. Der er betalte tjenester, gratis tjenester, og du skal blive opmærksom på, hvad du skal gøre for at være sikker eller under alle omstændigheder garantere dine kunder sikkerheden af de data, der er betroet os. En af de mest brugte platforme selv af freelancere er GMAIL. Det er normalt at modtage en e-mail fra din revisor kaldet studiocommercialista@gmail.com. Og det er også en ret udbredt opfattelse, at GMAIL er en af de sikreste posttjenester i verden. Men det er det faktisk ikke.
I øvrigt er den GMAIL, der bruges i dens gratis konfiguration, ikke sikker, fordi ingen e-mail er 100 % sikker, men endnu mere, en gratis tjeneste er netop gratis og har begrænsninger, ja, den skal have begrænsninger. Du bør læse serviceaftalen, før du overlader din kommunikation til tredjeparter. Når vi læser kontrakterne, forstår vi, at det ansvar, som Google tager, er meget få i tilfælde af databrud eller endnu bedre, intet ansvar. Hvis de bryder ind i din postkasse og stjæler de data, der er gemt, e-mails sendt, e-mails modtaget, det er dine problemer, og hvis du ikke har truffet tilstrækkelige foranstaltninger til at beskytte dine kunders data, vil privatlivsgaranten bede dig om at redegøre for det ved at pålægge sanktioner, der kan gøre meget skade.
Brugen af betalt GMAIL ændrer sig meget. Det siger Google selv. Det starter dog fra en pris på 4.68 euro/måned Euro pr. postkasse til at nå 15,60/måned, og tilfældigvis siger en af de fremhævede funktioner: "Management and security controls".
15,60/måned-versionen hævder: "Avanceret administration og sikkerhedskontrol, inklusive Vault og avanceret slutpunktsstyring". Fordi problemet ikke kun er strukturens sikkerhed, understreger Google det faktum, at det også er nødvendigt at "uddanne" brugeren om behovet for at tage korrekte kontrol- og sikkerhedsforanstaltninger på sin adfærd ud fra de værktøjer, han bruger til at få adgang til sine postkasser, Android, IOS eller mailklienter som Thunderbird eller Outlook eller andet.
Hvis vi så ræsonnerer ud fra, at prisen på ydelsen er udtrykt pr. boks, er det i tilfælde af et artikuleret studie med flere personer let at forestille sig, at de samlede omkostninger for en god kommunikationsstruktur og relation til omverdenen kan blive en betydelig belastning.
Alt dette betyder: vil du have sikkerhed? betale og også salte og lære at opføre sig ordentligt.
For alle, der bruger Microsoft Exchange
Grundlæggende ændres intet i forhold til GMAIL. Princippet er det samme, priserne er de samme og for eksempel inkluderer den månedlige pris på 12.50 Dollars også Office 365
Privacy Shield, der narrer dig.
Privacy Shield, eller "privatlivsskjoldet" mellem EU og USA, er en selvcertificeringsmekanisme for virksomheder etableret i USA, som ønsker at modtage personoplysninger fra EU. Virksomhederne forpligter sig især til at respektere de deri indeholdte principper og til at give de interesserede parter (dvs. alle emner, hvis personlige data er blevet overført fra EU) passende beskyttelsesværktøjer, under straf for eliminering fra listen over certificerede virksomheder ("Privacy Shield List") af det amerikanske handelsministerium og mulige sanktioner fra Federal Trade Commission. Europa-Kommissionen har vurderet, at systemet tilbyder et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra en person i EU til en virksomhed, der er etableret i USA, og at skjoldet derfor udgør en kilde til juridiske garantier med hensyn til de pågældende dataoverførsler.
EU-US Privacy Shield har været i kraft siden 1. august 2016.
Skjoldet gælder for alle kategorier af personlige data, der overføres fra EU til USA, herunder forretningsoplysninger, sundheds- eller menneskelige ressourcer, forudsat at den amerikanske virksomhed, der modtager sådanne data, selv har bekræftet sin overholdelse af ordningen.
Desværre er pagten blevet brudt.
Den Europæiske Domstol undersøgte den første afgørelse (2010/87 om standardkontraktbestemmelser) og fandt, at denne, selv om den er baseret på kontraktbestemmelser, der som sådan ikke er i stand til at forpligte staterne til at respektere dem, indeholder effektive mekanismer, der i praksis gør det muligt at garantere, at det beskyttelsesniveau, der kræves i EU-retten, overholdes, og at overførsler af personoplysninger, baseret på disse klausuler, er suspenderet eller forbudt i tilfælde af forbud eller overtrædelse af disse klausuler. dem.
Den anden afgørelse (2016/1250 om tilstrækkeligheden af den beskyttelse, der tilbydes af EU-USA-skjoldet) fastslår i stedet forrangen af behovene vedrørende national sikkerhed, offentlighedens interesse og overholdelse af amerikansk lovgivning, hvilket gør det muligt at gribe ind i de grundlæggende rettigheder for de personer, hvis data overføres til det pågældende tredjeland.
Ifølge Domstolen er de begrænsninger af beskyttelsen af personoplysninger, der følger af den interne lovgivning i USA, ikke udformet på en sådan måde, at de opfylder krav, der i det væsentlige svarer til dem, der i EU-retten kræves af proportionalitetsprincippet og strengt nødvendighedsprincippet.
Så? Hvad har Privacy Shield at gøre med mine e-mails?
Oversat betyder det i en nøddeskal, at systemer som Gmail og Microsoft Exchange ikke er beskyttet af Privacy Shield og skal tages i betragtning under Audit og Privacy By Design for at kunne informere deres kunder korrekt med en korrekt DPA (Data Protection Assessment).
Lad os sammenfatte: Gmail p Microsoft Exchange ja, hvis betalt, til hvilken pris? Det afhænger af, hvor mange mailkonti du vil bruge, og om du vil bruge dit eget virksomhedsdomæne. Og under alle omstændigheder uden for Privacy Shield, som sætter os i fare over for et indgreb fra Privatlivsgaranten, med sanktioner, der kan blive betydelige.
Nå, vi forstår det! Men hvad har det at gøre med sikkerheden i vores e-mail? Roligt og køligt, her kommer vi! Lidt rolig!
Princippet om ejerskab af personoplysninger
Lad os etablere et fast punkt, og det er, at privatlivsgaranten har etableret et princip: Personlige data er ikke dine, men ejes af de personer, som disse data refererer til.
På grundlag af den lovgivning, der regulerer denne ret, kan hver enkelt person derfor påberåbe sig, at hans personoplysninger kun indsamles og behandles af tredjeparter i overensstemmelse med de regler og principper, der er fastlagt i lovgivningen om emnet, både i EU og i de enkelte nationalstater. Formålet med lovgivningen er at give den interesserede part beføjelse til at disponere over deres data, sikre, at den enkelte har kontrol over alle oplysninger vedrørende hans privatliv, og samtidig give ham værktøjerne til at beskytte disse oplysninger.
Og for præcisionens skyld:
-
Enhver har ret til beskyttelse af personoplysninger om ham.
-
Sådanne data skal behandles retfærdigt, til specifikke formål og på grundlag af samtykke fra den registrerede eller et andet legitimt grundlag, der er fastlagt ved lov. Ethvert individ har ret til at få adgang til de indsamlede data om ham og til at få deres berigtigelse.
-
Overholdelse af disse regler er underlagt kontrol af en uafhængig myndighed.
På baggrund af det, der er skrevet ovenfor, bliver det tydeligt, hvordan sikkerheden i ens IT og eksterne kommunikationssystemer er et meget varmt emne, der forpligter os alle til at reflektere over, hvordan vi er vant til at styre vores forretningsprocesser.
Den korrekte adfærd for at være mere sikker
Det første vi skal huske er, at den første løsning er vores adfærd. Hvad er den korrekte adfærd at vedtage? Jeg nævner flere. Desværre, når man arbejder med samarbejdspartnere og medarbejdere, sker det, at ikke alle indtager korrekt og lige adfærd, nogen flygter altid fra "hegnet", og man skal være meget forsigtig. Men hvis du begynder at forstå, at de personlige data, der bruges i kommunikation, tilhører de respektive personer, som disse data refererer til, er det lettere at fremkalde ansvarlig og hensynsfuld adfærd og at undgå mange problemer.
- Åbn ikke vedhæftede filer uden at tjekke afsenderen af e-mailen.
- Brug ikke automatisk åbning af tilbehør.
- Tjek altid afsenderen af den modtagne e-mail
- Brug alle felter i e-mailen korrekt
- Brug feltet "Emne" korrekt og beskriv e-mailens emne kort og korrekt. Det er nyttigt for dem, der modtager e-mailen, fordi de straks lægger mærke til, om e-mailen er skrevet specielt til dem, og den er nyttig til at søge i de tusindvis af e-mails, som vi arkiverer hver uge, når vi skal finde noget specifikt.
- Brug KUN ÉN modtager pr. e-mail i feltet "Til:". Hvis vi skal indsætte flere modtagere, sætter vi i så fald vores adresse i feltet "Til:" og i feltet "CCn:" (Hidden Carbon Copy) adresserne på alle de andre modtagere. Dette beskytter privatlivets fred for modtagerne, som vil modtage mailen adresseret til "Udisclosed Recipient" og vil ikke finde hans postkasse spammet overalt.
- Undgå at lave ubegrænsede gentagelser af beskeder ved at bruge postkassen som en chat.
- Undgå at sende tunge vedhæftede filer og send evt. zippede vedhæftede filer.
- Udfyld ikke e-mails med billeder i bunden med logoer, signaturer, sociale medier-ikoner eller andet. Mange har blokeret for den automatiske visning af billeder, og resultatet du får er bare forvirring og rod.
- Åbn ikke mistænkelige e-mails.
- Skift din postkasseadgangskode mindst en gang hver tredje måned, og brug komplekse strenge. Hvis du ikke vil huske specialtegn, store og små bogstaver, foreslår vi at bruge hele sætninger, som du nemt kan huske som: "i går-min-hund-jack-legede-med-frisbee". Du får stadig et fremragende resultat. Enklere adgangskoder hackes nemt med nogle få brute-force operationer, og derfra er skaden sket.
- Brug aldrig din arbejdsmail til dine sociale profiler!
- Brug altid dobbeltgodkendelse, hvor det er muligt.
- Det har intet med sikkerhed at gøre, men BRUG IKKE BOKSTAVER. Det store bogstav betyder SKREG og er blodigt grimt og uhøfligt.
- Lav en daglig sikkerhedskopi af din mail, lad ikke al kommunikation ligge på serveren, det er en praksis, der ikke kun frarådes, men straffes stærkt af privatlivsgaranten.
Det ser ud til at være trivielle anbefalinger, men ironisk nok stoler hackere og spammere på brugernes skødesløshed. Vi ved godt, de er virkelig banale, og du har hørt, sagt, hærdet tusindvis af gange, men det er tilsyneladende ikke nok!
Gmail nej, Microsoft Exchange nej, hvad skal man gøre?
I betragtning af at vi ikke har sagt nej, men blot har gjort dig opmærksom på de risici, du løber, er der dog praktiske, interessante løsninger, der holder dig sikker, forudsat og ikke givet, at enkeltpersoners adfærd så afspejler det minimumsforhold, der er nødvendigt for at undgå at ødelægge alt. Desuden, da vi ikke har sagt, at du ikke kan bruge GMAIL eller Microsoft Exchange, men at for at gøre det skal du være GDPR-kompatibel, lad os prøve også at give andre svar.
Alternativer til Gmail og Microsoft Exchange:
protonmail
Schweiz-baseret, GDPR-kompatibel platform ved hjælp af end-to-end-kryptering. Meget god service, ekstremt sikkert, men ikke billigt. For at sige sandheden, kommercielt set har de ikke opnået den succes, de fortjente, og er forblevet lidt "på spil", selvom teknologisk set er servicen upåklagelig.
Fast Mail
Fast Mail er et gyldigt alternativ til Gmail, meget funktionelt og komplet med en overkommelig pris, men det er nødvendigt at verificere overholdelse af GDPR, da det under alle omstændigheder er en amerikansk platform.
QBOX Mail
Et meget gyldigt alternativ, alt italiensk og GDPR-kompatibelt. Enterprise-versionen koster 3.60 euro pr. postkasse og 1 euro for hver 25 GB ekstra plads. Vi kan kun varmt anbefale det. Efter vores mening er det en af de mest interessante løsninger.
Der er også mange andre cloud-mail-tjenesteudbydere, det er en verden, der kan udforskes. Men for ikke at give overflod af information, stopper vi her.
Ejet SMTP-server eller mailserver.
Hvor mange af jer har et websted og et domæne og drager fordel af mailserveren integreret i jeres egen webserver, hvor siden er hostet? Det er en af de hyppigste situationer.
Udbyderens SMTP-server
SMTP-servere fra etablerede udbydere anerkendes også som pålidelige af andre udbydere. Deres spamfiltre anses også for at være særligt effektive på grund af den store mængde data, de behandler. Men i tilfælde af gratis tilbud er der normalt strenge begrænsninger med hensyn til antallet af e-mails pr. dag, størrelsen af de vedhæftede filer og postkassens lagerplads.
Tilbuddene er præsenteret på flere sider:
Internetudbydere: Internetudbydere (ISP'er) såsom IONOS tilbyder ofte en e-mailadresse til en internetforbindelse, hvormed virksomhedens SMTP-mailservere kan tilgås.
E-mail-udbyder: Den mest typiske måde for enkeltpersoner at sende e-mail til venner og familie på er at bruge webmail-applikationen fra en gratis e-mail-udbyder såsom Gmail, Yahoo eller Libero. Det eneste krav er en e-mailadresse, der matcher domænet, hvormed udbyderens SMTP-server kan bruges til personlig korrespondance. Alt du skal gøre er at konfigurere din postkasse til den korrekte SMTP-serveradresse. Nedenfor finder du en oversigt over de mest populære udbydere og deres adresser.
Hosting-tjenesteudbydere: Mange hostingpakker, såsom dem fra IONOS, indeholder som standard en SMTP-server, som kan bruges til at håndtere intern og ekstern firmamailtrafik.
Specialiserede udbydere: Nogle virksomheder har specialiseret sig i at leje SMTP-servere, blandt dem er for eksempel Amazon SES og SparkPost, som tillader leje af den nødvendige hardware.
Vi fraråder kraftigt denne løsning
Egen SMTP-server
Med en vis grundlæggende teknisk viden kan du oprette din egen SMTP-server. For eksempel kan en Raspberry Pi sættes op med den passende software som hardwarebasis.
Fordelene er indlysende: ingen udbyderbegrænsninger for brug, fuld kontrol over alle indstillinger og uafhængig datastyring. Derudover er det at have din egen server ideel til at sætte dig ind i e-mailtrafikkens tekniske mekanik. Men der er også ulemper: På grund af den dynamiske IP-adresse, der er ejendommelig for private internetadgange, bliver private SMTP-servere ofte klassificeret som spam af store e-mail-udbydere. Et problem, der kun kan løses med få renoveringstiltag og/eller meromkostninger. Men hvis du kun ønsker at sende dine e-mails til en anden privat klient, er en egen SMTP-server under alle omstændigheder et godt alternativ. Det er derfor nødvendigt at have en fast IP.
Eh men de er ikke roser og blomster. At bringe en SMTP-server ind i dit hjem eller bruge den, der er knyttet til hostingen af din hjemmeside, har konsekvenser, som endda kan være alvorlige, hvis du ikke er i stand til at håndtere problemerne.
Ejet SMTP-server eller mailserver.
Hvor mange af jer har et websted og et domæne og drager fordel af mailserveren integreret i jeres egen webserver, hvor siden er hostet? Det er en af de hyppigste situationer.
Når du administrerer din egen SMTP-server til modtagelse og afsendelse af korrespondance, skal du tage højde for nogle aspekter, der også kan være ubehagelige:
Systemet oppe tid. Generelt har de forskellige ISP-udbydere, især de "lavpris", såsom Aruba eller Register ikke en SLA og garanterer ikke oppetid. Det betyder, at det i løbet af 365 dage om året er muligt, at din hosting og dermed dit domæne ikke er tilgængelig, at de afsendte e-mails ikke går ud, eller at de, der skal modtages, ikke når frem til deres destination. Hvis DNS'en ikke er tilgængelig, er dit mailsystem helt lukket ned. Der eksisterer hostingudbydere, som skriftligt, ved kontrakt, garanterer en oppetid, der er større end 99.99% af tiden over et år, men tjenesten begynder at koste. Vi leverer en 99.99% SLA, og faktisk er prisen på vores hosting ikke sammenlignelig med Arubas.
Redundansen. En SMTP-server, der er knyttet til dit hostingrum, er generelt placeret et sted, som er en serverfarm, hvis det sprænger i luften, som det er sket for nylig med OVH eller med Aruba i den seneste tid, kan både webstedet og hele din IT-struktur til afsendelse og modtagelse af e-mails gå ned. Derfor at kunne regne med en redundant struktur, hvor en parallel struktur i tilfælde af nedbrud eller nedlukning af mit computersystem straks kan træde i funktion. Vi kunne åbne et separat kapitel om redundans og gå ind i de mindste detaljer, men det er ikke stedet at gøre det. lad os sige, at redundans er defineret som et system, der er i stand til at duplikere visse funktioner og derfor garanterer kontinuiteten af tjenester i tilfælde af en fejl.
Fordelene ved at bruge en proprietær SMTP-server. Jeg prøver at liste dem:
- Mulighed for at administrere flere e-mail-konti uden at øge omkostningerne
- Mulighed for selvstændigt at administrere dine egne afsendelses-/modtagelsespolitikker
- Mulighed for internt at vedligeholde et opdateret arkiv over sin post og over trafikken af kommunikation med omverdenen
- Mulighed for at navngive/omdøbe dine postkasser selvstændigt og uden ekstern indblanding
- Mulighed for at etablere (afhængigt af den valgte udbyder) de adresser og/eller IP'er, der skal sortlistes eller hvidlistes.
- Evne til selvstændigt at etablere anti-spam-politikker
- Mulighed for selvstændigt at etablere markeringerne, DKIM, SPF og DMARC, som er dem, som mange glemmer og er hovedårsagen til at sortliste dit domæne.
Ulemper ved at bruge en proprietær SMTP-server
Ulemperne er utallige, især hvis din struktur ikke er forberedt, og der ikke er tilstrækkelig bevidsthed om de risici, du løber ved at bringe en mailserver hjem til dig. Tekniske, juridiske og operationelle spørgsmål kunne også afskrække denne vej, meget afhænger først og fremmest af niveauet af teknologisk kultur, der er til stede i ens struktur.
- Manglende evne til at holde dig selv skadesløs, da alt ansvar for at administrere og arkivere e-mail-beskeder tynger din struktur.
- Eksponering for alle typer angreb og behovet for at træffe alle foranstaltninger for at begrænse eller annullere dem.
- Mulighed for at have øjeblikke af "mørke", hvor serveren bremses af andre operationer eller endda ikke er i stand til at udføre sine funktioner.
- Behov for at implementere en voldsom anti-virus og anti-spam kontrolpolitik (for at sige sandheden, dette gælder lidt for alle i dag)
- Behov for en systematisk og effektiv backuppolitik (dette gælder for alt i dag, efterhånden).
Det er også rigtigt, at mange "professionelle" udbydere leverer beskyttede, certificerede eller i hvert fald næsten fri for sårbarheder SMTP-servere, og derfor opstår farerne udelukkende og udelukkende fra operatørens uopmærksomhed eller fra hans hensynsløshed og uansvarlighed, men lad os sige, at hosting af mailserveren på den samme struktur, hvor webserveren er hostet, ikke altid er en korrekt politik.
konklusion
Okay, men afslutningsvis? Hvad skal man vælge?
Der er ikke noget entydigt svar, det afhænger af omstændighederne og også af operationen. Vi anbefaler at bruge en cloud-mailserver, når virksomhedens struktur er lille eller mikroskopisk, og en SMTP-server, når strukturen kræver at have mindst et dusin postkasser, hvis ikke 20. Mere af en omkostningsgrund end noget andet, fordi det at have en SMTP-server hostet i en sikker, effektiv struktur, som korrekt brander serverne og bruger gyldige og korrekte sikkerhedsprotokoller, altid har en diskret fordel i forhold til, at alting vil forblive inden for potentielle problemer. Selv i forhold til GDPR, hvis det på den ene side vil være nødvendigt at vedtage en korrekt privatlivspolitik, er det også rigtigt, at i tilfælde af et databrud kan konsekvenserne være meget mere alvorlige ved brug af cloud-systemer, der administreres af tredjeparter. Derfor burde en god SMTP-server og skarpsindighed i mailhåndtering løse 90% af problemerne for små virksomheder eller professionelle aktiviteter. En god partner, der leverer en passende hosting-service, en on-site tekniker, der ved, hvordan man installerer en e-mail-klient korrekt, et godt backup-system, en firewall og et altid up-to-date antivirus, en router med voldsom kontrol over portene, og du kan næsten sove roligt. Så kan alt ske, vel at mærke, men i princippet er det det, vi foreslår.
Du kan også være interesseret i:
Østrig, Tyskland og Schweiz for "mere innovative" fragtjernbaner
DACH-ministrene Leonore Gewessler, Volker Wissing og Albert Rösti: Introduktionen af digital automatisk parring er et nøgleelement
Overtalelse eller manipulation? Genesis og historisk indvirkning af PR
Sådan fortsætter Public Relations, fra det antikke Grækenlands sofistiske dialog til den nuværende digitale æra, med at tilbyde kontinuerlig innovation
Unge mennesker og kryptovalutaer: hvordan man finder ud af mere om Bitcoin...
At introducere børn til digitale valutaer og Blockchain kan være en spændende bestræbelse på grund af deres affinitet til teknologi og innovation
"Patienten i centrum": et stort håb og et møde i Senatet
Emnet om betydningen af innovation inden for medicinsk udstyr for europæisk sundhedspleje vil blive udforsket den 15. maj i Rom af eksperter og politikere
//