Är dina e-postmeddelanden säkra?
Är dina e-postmeddelanden säkra?
Idag hotas kommunikationer och datorsystem alltmer av externa attacker och även om vi kanske tror att vi är säkra eftersom vi tror att vi har vidtagit exakta försiktighetsåtgärder, så är vi inte det. Vid det här laget fortsätter nyheterna i oupphörlig takt, 500 miljoner konton hackade på Facebook, miljontals konton hackade på gmail, gratis eller andra tjänster och vi förstår inte att även vi, trots oss själva, omedvetet, är involverade och ofta bli ett fordon för spammare och brottslingar som använder oss för ändamål som vi inte ens vill känna till. Saker och ting blir väldigt komplicerade när vi pratar om brevlådor som används av yrkes- och/eller arbetsskäl, med tanke på att integritetsgaranten har börjat utdöma ganska stränga straff som till och med kan få ett företag på knä. Vi måste skydda oss själva och för att skydda oss själva måste vi tänka på vad som behöver göras uppströms, inte när katastrofen har inträffat.
För dig som använder Gmail
Många frågar mig vilken som är den säkraste e-posttjänsten att använda. Jag måste göra dem besvikna, det finns inte. Eller ännu bättre, det är inte rätt fråga. Det finns betaltjänster, gratistjänster och du måste bli medveten om vad du måste göra för att vara säker eller i alla fall garantera dina kunder säkerheten för de uppgifter som anförtros oss. En av de mest använda plattformarna även av frilansare är GMAIL. Det är vanligt att du får ett mejl från din revisor som heter studiocommercialista@gmail.com. Och det är också ganska allmänt trott att GMAIL är en av de säkraste posttjänsterna i världen. Men det är det verkligen inte.
För övrigt är den GMAIL som används i sin kostnadsfria konfiguration inte säker eftersom ingen e-post är 100% säker, men ännu mer, en gratistjänst är exakt gratis och har begränsningar, ja, den måste ha begränsningar. Du bör läsa serviceavtalet innan du anförtror din kommunikation till tredje part. När vi läser kontrakten förstår vi att det ansvar som Google tar är mycket få i händelse av dataintrång eller ännu bättre, inget ansvar. Om de bryter sig in i din brevlåda och stjäl data som lagras, skickade e-postmeddelanden, mottagna e-postmeddelanden, det är dina problem och om du inte har vidtagit tillräckliga åtgärder för att skydda dina kunders data kommer integritetsgaranten att be dig redogöra för det utdöma böter, vilket kan göra mycket skada.
Användningen av betald GMAIL förändras mycket. Google själv säger det. Det börjar dock från en kostnad på 4.68 Euro/månad per brevlåda för att nå 15,60/månad och av en slump säger en av funktionerna som markeras: "Management and security controls".
Versionen 15,60/månad hävdar: "Avancerad hantering och säkerhetskontroller, inklusive Vault och avancerad slutpunktshantering". Eftersom problemet inte bara är strukturens säkerhet, understryker Google det faktum att det också är nödvändigt att "utbilda" användaren om behovet av att vidta korrekta kontroll- och säkerhetsåtgärder för sitt beteende med utgångspunkt från de verktyg han använder för att komma åt sina brevlådor e-post, Android, IOS eller e-postklient som Thunderbird eller Outlook eller vad som helst.
Om vi då resonerar kring att kostnaden för tjänsten uttrycks per box, är det vid en artikulerad studie med flera personer lätt att föreställa sig att den totala kostnaden för en bra kommunikationsstruktur och relation till omvärlden kan bli en betydande börda.
Allt detta kan översättas till detta: vill du ha säkerhet? betala och även salta och lära sig att bete sig ordentligt.
För alla som använder Microsoft Exchange
I princip ingenting förändras jämfört med GMAIL. Principen är densamma, priserna är desamma och till exempel månadskostnaden på 12.50 dollar inkluderar även Office 365
Privacy Shield som lurar dig.
Privacy Shield, eller "privacy shield" mellan EU och USA, är en självcertifieringsmekanism för företag etablerade i USA som vill ta emot personuppgifter från EU. Företagen åtar sig i synnerhet att respektera principerna som finns däri och att förse berörda parter (dvs. alla ämnen vars personuppgifter har överförts från Europeiska unionen) med lämpliga skyddsverktyg, med påföljd för att uteslutas från listan över certifierade företag (“ Privacy Shield List”) av det amerikanska handelsdepartementet och möjliga sanktioner från Federal Trade Commission. EU-kommissionen har ansett att systemet erbjuder en adekvat skyddsnivå för personuppgifter som överförs från en individ i EU till ett företag etablerat i USA och att skölden därför utgör en källa till rättsliga skydd när det gäller överföringar av uppgifterna i fråga.
EU-US Privacy Shield har varit i kraft sedan 1 augusti 2016.
Skölden är tillämplig på alla kategorier av personuppgifter som överförs från EU till USA, inklusive affärsinformation, hälso- eller personaldata, förutsatt att det amerikanska företaget som tar emot sådana uppgifter har självcertifierat att det följer schemat.
Tyvärr har pakten brutits.
Europadomstolen granskade det första beslutet (2010/87 om standardavtalsklausuler) och fann att detta, även om det är baserat på avtalsbestämmelser som som sådana inte kan tvinga staterna att följa dem, innehåller effektiva mekanismer som i praktiken tillåter . , för att säkerställa att den skyddsnivå som krävs enligt unionslagstiftningen respekteras och att överföringar av personuppgifter, baserat på dessa klausuler, avbryts eller förbjuds i händelse av brott mot dessa klausuler eller om det är omöjligt att respektera dem.
Det andra beslutet (2016/1250 om adekvat skydd som erbjuds av EU-USA-skölden) fastställer istället företräde för de behov som rör nationell säkerhet, allmänintresset och efterlevnad av amerikansk lagstiftning, vilket gör det möjligt att ingripa med grundläggande rättigheter för personer vars uppgifter överförs till det tredjelandet.
Enligt domstolen är de begränsningar av skyddet av personuppgifter som följer av USA:s interna lagstiftning inte utformade på ett sådant sätt att de svarar mot krav som i huvudsak motsvarar dem som krävs enligt EU-rätten enligt proportionalitetsprincipen och strikt nödvändighet.
Så? Vad har Privacy Shield med mina e-postmeddelanden att göra?
Översatt, i ett nötskal, betyder det att system som Gmail och Microsoft Exchange inte skyddas av Privacy Shield och måste beaktas under revisionen och Privacy By Design för att på lämpligt sätt informera sina kunder med en korrekt DPA (Data Protection) Bedömning).
Låt oss sammanfatta: Gmail p Microsoft Exchange ja, om betald, till vilken kostnad? Det beror på hur många e-postkonton du vill använda och om du vill använda din egen företagsdomän. Och i alla fall utanför Privacy Shield, vilket sätter oss i riskzonen inför ett ingripande från integritetsgaranten, med påföljder som kan bli avsevärda.
Nåväl, vi fattar! Men vad har detta att göra med säkerheten för vår e-post? Lugnt och svalt, här kommer vi! Lite lugnt!
Principen för ägande av personuppgifter
Låt oss fastställa en fast punkt och det är att integritetsgaranten har etablerat en princip: Personuppgifter är inte dina utan ägs av personerna som dessa uppgifter avser.
På grundval av den lagstiftning som reglerar denna rättighet kan därför varje individ hävda att hans personuppgifter samlas in och behandlas av tredje part endast i enlighet med de regler och principer som fastställts av lagarna i ämnet, både i Europeiska unionen och av de enskilda nationalstaterna . Syftet med lagstiftningen är att ge den berörda parten befogenhet att förfoga över sina uppgifter, säkerställa att den enskilde har kontroll över all information som rör hans privatliv, och samtidigt ge honom verktygen för att skydda denna information.
Och för precisionens skull:
-
Var och en har rätt till skydd av personuppgifter som rör honom.
-
Sådana uppgifter måste behandlas rättvist, för särskilda ändamål och på grundval av samtycke från den registrerade eller annan legitim grund som fastställts i lag. Varje individ har rätt att få tillgång till de uppgifter som samlas in om honom och få rättelse av dem.
-
Efterlevnaden av dessa regler är föremål för kontroll av en oberoende myndighet.
Utifrån det som skrivits ovan blir det tydligt hur säkerheten i ens IT och externa kommunikationssystem är ett väldigt hett ämne som förbinder oss alla att reflektera över hur vi är vana vid att hantera våra affärsprocesser.
Rätt beteende för att vara säkrare
Det första vi måste komma ihåg är att den första lösningen är vårt beteende. Vilka är de korrekta beteendena att anta? Jag listar flera. När man arbetar med kollaboratörer och medarbetare händer det tyvärr att inte alla antar korrekta och likvärdiga beteenden, någon flyr alltid från "staketet" och man måste vara väldigt försiktig. Men om du börjar förstå att de personuppgifter som används i kommunikation tillhör respektive personer som dessa uppgifter avser, är det lättare att framkalla ett ansvarsfullt och hänsynsfullt beteende och att undvika många problem.
- Öppna inte bilagor utan att kontrollera avsändaren av mejlet.
- Använd inte automatisk öppning av tillbehör.
- Kontrollera alltid avsändaren av det mottagna e-postmeddelandet
- Använd alla fält i e-postmeddelandet korrekt
- Använd korrekt fältet "Ämne" och beskriv kortfattat och korrekt ämnet för e-postmeddelandet. Det är användbart för de som får mejlet eftersom de direkt märker om mejlet har skrivits specifikt för dem och det är användbart för att söka i de tusentals mejl som vi arkiverar varje vecka när vi behöver hitta något specifikt.
- Använd ENDAST EN mottagare per e-post i fältet "Till:". Om vi behöver infoga fler mottagare lägger vi i så fall vår adress i fältet "Till:" och i fältet "CCn:" (Hidden Carbon Copy) adresserna till alla andra mottagare. Detta skyddar mottagarnas integritet som kommer att få e-postmeddelandet adresserat till "Ouppgiven mottagare" och kommer inte att hitta hans brevlåda spammad överallt.
- Undvik att göra obegränsade uppspelningar av meddelanden med brevlådan som en chatt.
- Undvik att skicka tunga bilagor och skicka eventuellt zippade bilagor.
- Fyll inte e-postmeddelanden med bilder längst ner med logotyper, signaturer, ikoner för sociala medier eller något annat. Många har blockerat den automatiska visningen av bilder och resultatet du får är bara förvirring och rörigt.
- Öppna inte misstänkta e-postmeddelanden.
- Byt lösenordet till din brevlåda minst en gång var tredje månad och använd komplexa strängar. Om du inte vill komma ihåg specialtecken, versaler och gemener, föreslår vi att du använder hela meningar som du lätt kan komma ihåg som: "igår-min-hund-jack-lekade-med-frisbee". Du får fortfarande ett utmärkt resultat. Enklare lösenord hackas lätt med några brute-force-operationer och därifrån är skadan skedd.
- Använd aldrig din jobbmail för dina sociala profiler, NÅGONSIN!
- Använd alltid dubbel autentisering där det är möjligt.
- Det har inget med säkerhet att göra men ANVÄND INTE VERKSTAL. Versalerna betyder SKREAMED och är blodigt otäck och oförskämd.
- Gör en daglig säkerhetskopia av din e-post, lämna inte all kommunikation på servern, det är en praxis som inte bara avråds från utan straffas hårt av integritetsgaranten.
Dessa verkar vara triviala rekommendationer men ironiskt nog förlitar sig hackare och spammare på användarnas slarv. Vi vet, de är verkligen banala och du har hört, sagt, hackat tusentals gånger men tydligen räcker det inte!
Gmail nej, Microsoft Exchange nej, vad ska jag göra?
Med tanke på att vi inte har sagt nej utan bara har gjort dig medveten om de risker du löper, finns det dock praktiska, intressanta lösningar som håller dig säker, förutsatt att individers beteende då återspeglar den minsta union som krävs för att undvika att förstöra allt. Dessutom, med tanke på att vi inte har sagt att du inte kan använda GMAIL eller Microsoft Exchange men att du för att göra det måste vara GDPR-kompatibel, låt oss försöka att ge andra svar också.
Alternativ till Gmail och Microsoft Exchange:
ProtonMail
Schweizbaserad, GDPR-kompatibel plattform som använder end-to-end-kryptering. Mycket bra service, extremt säker men inte billig. För att säga sanningen, kommersiellt sett har de inte nått den framgång de förtjänade och har förblivit lite "på spel" även om tjänsten tekniskt sett är oklanderlig.
Fast Mail
Fast Mail är ett giltigt alternativ till Gmail, mycket funktionellt och komplett med ett överkomligt pris men det är nödvändigt att verifiera efterlevnaden av GDPR eftersom det i alla fall är en amerikansk plattform.
QBOX Mail
Ett mycket giltigt alternativ, helt italienskt och GDPR-kompatibelt. Enterprise-versionen kostar 3.60 euro per brevlåda och 1 euro för varje 25 GB extra utrymme. Vi kan bara varmt rekommendera det. Enligt vår mening är det en av de mest intressanta lösningarna.
Det finns många andra molntjänstleverantörer också, det är en värld som kan utforskas. Men för att inte ge överflödig information stannar vi här.
Ägd SMTP-server eller e-postserver.
Hur många av er har en sajt och en domän och drar nytta av e-postservern integrerad i er egen webbserver där sajten är värd? Det är en av de vanligaste situationerna.
Leverantörens SMTP-server
SMTP-servrarna hos etablerade leverantörer erkänns också som tillförlitliga av andra leverantörer. Dessutom anses deras skräppostfilter vara särskilt effektiva på grund av den stora mängden data de bearbetar. Men när det gäller gratiserbjudanden finns det vanligtvis strikta begränsningar vad gäller antalet e-postmeddelanden per dag, storleken på bilagorna och lagringsutrymmet i brevlådan.
Erbjudandena presenteras på flera sidor:
Internetleverantörer: Internetleverantörer (ISP) som IONOS erbjuder ofta en e-postadress för en Internetanslutning med vilken företagets SMTP-postservrar kan nås.
E-postleverantör: Det vanligaste sättet för individer att skicka e-post till vänner och familj är att använda webbmailapplikationen från en gratis e-postleverantör som Gmail, Yahoo eller Libero. Det enda kravet är en e-postadress som matchar domänen, med vilken leverantörens SMTP-server kan användas för personlig korrespondens. Allt du behöver göra är att konfigurera din brevlåda för rätt SMTP-serveradress. Nedan hittar du en sammanfattning av de mest populära leverantörerna och deras adresser.
Värdtjänstleverantörer: Många värdpaket, som de från IONOS, innehåller som standard en SMTP-server, som kan användas för att hantera intern och extern företagsposttrafik.
Specialiserade leverantörer: vissa företag har specialiserat sig på att hyra SMTP-servrar, bland vilka är till exempel Amazon SES och SparkPost, som tillåter uthyrning av nödvändig hårdvara.
Vi avråder starkt från denna lösning
Egen SMTP-server
Med lite grundläggande teknisk kunskap kan du sätta upp din egen SMTP-server. Till exempel kan en Raspberry Pi ställas in med lämplig mjukvara som hårdvara.
Fördelarna är uppenbara: inga leverantörsbegränsningar för användning, full kontroll över alla inställningar och oberoende datahantering. Dessutom är en egen server idealisk för att bekanta dig med e-posttrafikens tekniska mekanik. Men det finns också nackdelar: På grund av den dynamiska IP-adressen som är speciell för privata internetåtkomster, klassificeras privata SMTP-servrar ofta som skräppost av stora e-postleverantörer. Ett problem som bara kan lösas med ett fåtal renoveringsåtgärder och/eller merkostnader. Men om du bara vill skicka dina e-postmeddelanden till en annan privat klient är en egen SMTP-server i alla fall ett bra alternativ. Det är därför nödvändigt att ha en fast IP.
Eh men de är verkligen inte rosor och blommor. Att ta in en SMTP-server i ditt hem eller använda den som är kopplad till värdskapet för din webbplats får konsekvenser som till och med kan bli allvarliga om du inte kan hantera problemen.
Ägd SMTP-server eller e-postserver.
Hur många av er har en sajt och en domän och drar nytta av e-postservern integrerad i er egen webbserver där sajten är värd? Det är en av de vanligaste situationerna.
När du hanterar din egen SMTP-server för att ta emot och skicka korrespondens måste du ta hänsyn till några aspekter som också kan vara obehagliga:
Systemets uppetid. I allmänhet har de olika ISP-leverantörerna, särskilt de "lågkostnads" som Aruba eller Register, ingen SLA och garanterar inte drifttid. Det betyder att det under loppet av 365 dagar om året är möjligt att ditt hosting och därmed din domän inte är nåbart, att de skickade e-postmeddelandena inte går ut eller att de som ska tas emot inte kommer fram till sin destination. Om DNS inte går att nå är ditt e-postsystem helt avstängt. Det finns värdleverantörer som skriftligen, genom avtal, garanterar en drifttid som är större än 99.99 % av tiden under ett år, men tjänsten börjar kosta. Vi tillhandahåller en SLA på 99.99 % och i själva verket är kostnaden för vårt hosting inte jämförbar med den för Aruba.
Redundansen. En SMTP-server kopplad till ditt värdutrymme är vanligtvis placerad på en plats, som är en serverfarm, om det sprängs, som nyligen hände med OVH eller med Aruba på senare tid, både webbplatsen och hela din IT-struktur för att skicka och ta emot e-postmeddelanden kan gå till ramengo. Att därför kunna räkna med en redundant struktur där, vid haveri eller avstängning av mitt datasystem, en parallell struktur omedelbart kan träda i drift. Vi skulle kunna öppna ett separat kapitel om redundans och gå in i de minsta detaljerna, men det här är inte platsen att göra det. låt oss säga att redundans definieras som ett system som kan duplicera vissa funktioner och därför garanterar kontinuiteten för tjänsterna i händelse av ett fel.
Fördelarna med att använda en egen SMTP-server. Jag försöker lista dem:
- Möjlighet att hantera flera e-postkonton utan att öka kostnaderna
- Möjlighet att självständigt hantera dina egna sändnings-/mottagningspolicyer
- Möjlighet att internt upprätthålla ett uppdaterat arkiv över sin post och trafiken av kommunikationer med omvärlden
- Möjlighet att namnge/byta namn på dina brevlådor självständigt och utan extern inblandning
- Möjlighet att fastställa (beroende på vald leverantör) de adresser och/eller IP-adresser som ska svartlistas eller vitlistas.
- Förmåga att självständigt upprätta anti-spam-policyer
- Möjlighet att självständigt etablera markeringarna, DKIM, SPF och DMARC som är de som många glömmer och är huvudorsaken till att din domän svartlistar.
Nackdelar med att använda en egen SMTP-server
Nackdelarna är otaliga, särskilt om din struktur inte är förberedd och det inte finns någon adekvat medvetenhet om de risker du löper genom att ta med en e-postserver till ditt hem. Tekniska, juridiska och operativa frågor kan också avskräcka denna väg, mycket beror framför allt på nivån på den tekniska kulturen som finns i ens struktur.
- Oförmåga att gottgöra dig själv eftersom allt ansvar för att hantera och arkivera e-postmeddelanden tynger din struktur.
- Exponering för alla typer av attacker och behovet av att vidta alla åtgärder för att begränsa eller avbryta dem.
- Möjlighet att ha stunder av "mörker" där servern bromsas av andra operationer eller ens inte kan utföra sina funktioner.
- Behöver implementera en våldsam antivirus- och anti-spam-kontrollpolicy (för att säga sanningen, detta gäller lite för alla idag)
- Behov av en systematisk och effektiv säkerhetskopieringspolicy (detta är sant för allt idag, vid det här laget).
Det är också sant att många "professionella" leverantörer tillhandahåller skyddade, certifierade eller i alla fall nästan sårbarhetsfria SMTP-servrar och därför uppstår farorna enbart och uteslutande från operatörens ouppmärksamhet eller från hans hänsynslöshet och ansvarslöshet, men låt oss säga att hosting av placerad på samma struktur där webbservern är värd kanske inte alltid är en korrekt policy, tvärtom.
slutsats
Okej, trevligt men sammanfattningsvis? Vad ska man välja?
Det finns inget entydigt svar, det beror på omständigheterna och även på operationen. Vi rekommenderar att du använder en molnpostserver när företagsstrukturen är liten eller mikroskopisk och en SMTP-server när strukturen kräver att ha minst ett dussin brevlådor om inte 20. Mer av kostnadsskäl än något annat eftersom att ha en SMTP-server värd i ett kassaskåp , effektiv struktur som korrekt markerar servrarna och använder giltiga och korrekta säkerhetsprotokoll, den har alltid en diskret fördel gentemot allt. Det är sant att potentiella problem förs in som man skulle vilja stanna utanför. Även när det gäller GDPR, om det å ena sidan kommer att vara nödvändigt att anta en korrekt integritetspolicy, är det också sant att i händelse av ett dataintrång kan konsekvenserna bli mycket allvarligare med användning av molnsystem som hanteras av tredje part. Därför bör en bra SMTP-server och slughet i e-posthantering lösa 90 % av problemen för småföretag eller professionella aktiviteter. En bra partner som tillhandahåller en adekvat värdtjänst, en tekniker på plats som vet hur man installerar en e-postklient korrekt, ett bra backupsystem, en brandvägg och ett alltid uppdaterat antivirus, en router med grym kontroll över portar och ja kan nästan sova gott. Då kan vad som helst hända, märk väl, men i princip är det detta vi föreslår.
Du kanske också är intresserad av:
Video, l’ecosistema unico della foresta alpina del Lötschental
Il luogo ideale per studiare la crescita degli alberi a diverse altitudini nel Canton Vallese è raccontato in un filmato del WSL molto innovativo
Taam Ja' är det djupaste "blå hålet" i världen: upptäckten
Marint hålrum undersökt utanför Yucatanhalvön, hittat fyra gånger djupare än tidigare rekordstora sänkhål i Belize
I Brasilien det första mötet i världen mellan biosäkerhet och synkrotroner
I Campinas kommer ett laboratorium för maximal biologisk inneslutning på NB4-nivå att anslutas till ljuskällorna i en partikelaccelerator
I Alto Adige idag är EDIH NOI den nya referenspunkten för AI
I Bolzano kommer 4,6 miljoner euro från PNRR-fonden att tilldelas för tjänster till lokala företag inom området digitalisering av intelligens...
//