Er e-postene dine trygge?
Er e-postene dine trygge?
I dag blir kommunikasjon og datasystemer i økende grad truet av eksterne angrep, og selv om vi kanskje tror vi er trygge fordi vi tror vi har tatt nøyaktige forholdsregler, er vi ikke det. Nå fortsetter nyhetene i et uopphørlig tempo, 500 millioner kontoer hacket på Facebook, millioner av kontoer hacket på gmail, gratis eller andre tjenester, og vi forstår ikke at også vi, til tross for oss selv, ubevisst, er involvert og ofte bli et kjøretøy for spammere og kriminelle som bruker oss til formål som vi ikke en gang ønsker å vite. Ting blir veldig komplisert når vi snakker om postkasser som brukes av faglige og/eller arbeidsmessige årsaker, med tanke på at personverngarantisten har begynt å ilegge ganske strenge straffer som til og med kan få en bedrift i kne. Vi må beskytte oss selv og for å beskytte oss selv må vi tenke på hva som må gjøres oppstrøms, ikke når katastrofen har skjedd.
For de som bruker Gmail
Mange spør meg hvilken e-posttjeneste som er tryggest å bruke. Jeg må skuffe dem, det finnes ikke. Eller enda bedre, det er ikke det riktige spørsmålet. Det er betalte tjenester, gratistjenester og du må bli klar over hva du må gjøre for å være trygg eller i alle fall garantere kundene dine sikkerheten til dataene som er betrodd oss. En av de mest brukte plattformene selv av frilansere er GMAIL. Det er vanlig å motta en e-post fra regnskapsføreren din som heter studiocommercialista@gmail.com. Og det er også en ganske utbredt oppfatning at GMAIL er en av de sikreste posttjenestene i verden. Men det er det faktisk ikke.
Forresten, GMAIL som brukes i sin gratis konfigurasjon er ikke sikker fordi ingen e-post er 100 % sikker, men enda mer, en gratis tjeneste er nettopp gratis og har begrensninger, ja, den må ha begrensninger. Du bør lese tjenesteleverandøravtalen før du overlater kommunikasjonen din til tredjeparter. Når vi leser kontraktene, forstår vi at ansvaret som Google tar er svært få i tilfelle databrudd eller enda bedre, intet ansvar. Hvis de bryter seg inn i postkassen din og stjeler dataene som er lagret, sendt e-poster, mottatte e-poster, dette er dine problemer og hvis du ikke har tatt tilstrekkelige tiltak for å beskytte kundenes data, vil personverngarantisten be deg om å gjøre rede for det pr. ilegge bøter som kan gjøre mye skade.
Bruken av betalt GMAIL endrer seg mye. Google sier det selv. Det starter imidlertid fra en kostnad på 4.68 Euro per måned per postboks for å nå 15,60 per måned, og tilfeldigvis sier en av funksjonene som er fremhevet: "Administrasjon og sikkerhetskontroller".
Versjonen 15,60/måned hevder: "Avansert administrasjon og sikkerhetskontroller, inkludert Vault og avansert endepunktsadministrasjon". Fordi problemet ikke bare er sikkerheten til strukturen, understreker Google det faktum at det også er nødvendig å "utdanne" brukeren om behovet for å ta i bruk korrekt kontroll og sikkerhetstiltak på oppførselen hans fra verktøyene han bruker for å få tilgang til postkassene sine e-post, Android, IOS eller e-postklient som Thunderbird eller Outlook eller hva som helst.
Hvis vi da resonnerer med at kostnaden for tjenesten er uttrykt per boks, er det i tilfelle av et artikulert studio med flere personer lett å tenke seg at den samlede kostnaden for en god kommunikasjonsstruktur og forhold til omverdenen kan bli en betydelig belastning.
Alt dette betyr dette: vil du ha sikkerhet? betale og også salte og lære å oppføre seg ordentlig.
For alle som bruker Microsoft Exchange
I utgangspunktet endres ingenting sammenlignet med GMAIL. Prinsippet er det samme, prisene er de samme og for eksempel den månedlige kostnaden på 12.50 dollar inkluderer også Office 365
Privacy Shield som lurer deg.
Privacy Shield, eller «privacy shield» mellom EU og USA, er en selvsertifiseringsmekanisme for selskaper etablert i USA som ønsker å motta personopplysninger fra EU. Spesielt forplikter selskapene seg til å respektere prinsippene som er inneholdt deri og å gi interesserte parter (dvs. alle emner hvis personopplysninger er overført fra EU) med tilstrekkelige beskyttelsesverktøy, med straff for eliminering fra listen over sertifiserte selskaper (“ Privacy Shield List”) av det amerikanske handelsdepartementet og mulige sanksjoner fra Federal Trade Commission. EU-kommisjonen har vurdert at systemet tilbyr et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres fra en person i EU til et selskap etablert i USA, og at skjoldet derfor utgjør en kilde til juridiske sikkerhetstiltak med hensyn til overføringer av aktuelle data.
EU-US Privacy Shield har vært i kraft siden 1. august 2016.
Skjoldet gjelder for alle kategorier av personopplysninger som overføres fra EU til USA, inkludert forretningsinformasjon, helse- eller menneskelige ressurser, forutsatt at det amerikanske selskapet som mottar slike data har selvsertifisert sin tilslutning til ordningen.
Dessverre er pakten brutt.
EU-domstolen undersøkte den første avgjørelsen (2010/87 om standard kontraktsbestemmelser) og fant at denne, selv om den er basert på kontraktsbestemmelser som som sådan ikke er i stand til å binde stater til å overholde dem, inneholder effektive mekanismer som i praksis tillater . , for å sikre at beskyttelsesnivået som kreves av unionsretten respekteres og at overføringer av personopplysninger, basert på disse klausulene, suspenderes eller forbudt i tilfelle brudd på disse klausulene eller umulighet å respektere dem.
Den andre avgjørelsen (2016/1250 om tilstrekkeligheten av beskyttelsen som tilbys av EU-USA-skjoldet) fastslår i stedet forrangen til behovene knyttet til nasjonal sikkerhet, allmennhetens interesse og overholdelse av amerikansk lovgivning, og gjør det dermed mulig å gripe inn i grunnleggende rettigheter til personer hvis data overføres til det tredjelandet.
I følge domstolen er begrensningene for beskyttelse av personopplysninger som følger av den interne lovgivningen i USA ikke utformet på en slik måte at de svarer til krav som i det vesentlige er tilsvarende de som kreves i EU-retten av proporsjonalitetsprinsippet og streng nødvendighet.
Så? Hva har Privacy Shield med e-postene mine å gjøre?
Oversatt, i et nøtteskall, betyr det at systemer som Gmail og Microsoft Exchange ikke er beskyttet av Privacy Shield og må tas i betraktning under revisjonen og Privacy By Design for å informere kundene sine med en korrekt DPA (Data Protection) Evaluering).
La oss oppsummere: Gmail p Microsoft Exchange ja, hvis betalt, til hvilken pris? Det avhenger av hvor mange e-postkontoer du vil bruke og om du vil bruke ditt eget bedriftsdomene. Og i alle fall utenfor Privacy Shield, som setter oss i fare i møte med et inngrep fra personverngarantisten, med straffer som kan bli betydelige.
Vel, vi skjønner det! Men hva har dette med sikkerheten til e-posten vår å gjøre? Rolig og kjølig, her kommer vi! Litt rolig!
Prinsippet om eierskap til personopplysninger
La oss etablere et fast punkt, og det er at personverngarantisten har etablert et prinsipp: Personopplysninger er ikke dine, men eies av personene som disse dataene refererer til.
På grunnlag av lovgivningen som regulerer denne rettigheten, kan derfor hver enkelt kreve at hans personopplysninger samles inn og behandles av tredjeparter kun i samsvar med reglene og prinsippene fastsatt av lovene om emnet, både i EU og av de enkelte nasjonalstatene . Formålet med lovgivningen er å gi den berørte parten myndighet til å disponere sine data, sikre at den enkelte har kontroll over all informasjon om hans privatliv, og samtidig gi ham verktøy for å beskytte denne informasjonen.
Og for presisjonens skyld:
-
Enhver har rett til beskyttelse av personopplysninger om ham.
-
Slike data må behandles rettferdig, for spesifikke formål og på grunnlag av samtykke fra den registrerte eller et annet legitimt grunnlag etablert ved lov. Ethvert individ har rett til å få tilgang til opplysningene som samles inn om ham og til å få rettet dem.
-
Overholdelse av disse reglene er underlagt kontroll av en uavhengig myndighet.
På bakgrunn av det som er skrevet ovenfor, blir det tydelig hvordan sikkerheten til ens IT og eksterne kommunikasjonssystemer er et svært hett tema som forplikter oss alle til å reflektere over hvordan vi er vant til å styre forretningsprosessene våre.
Riktig oppførsel for å være tryggere
Det første vi må huske er at den første løsningen er vår oppførsel. Hva er riktig atferd å ta i bruk? Jeg lister opp flere. Når man jobber med samarbeidspartnere og ansatte hender det dessverre at ikke alle tar riktig og lik oppførsel, noen rømmer alltid fra «gjerdet» og man må være veldig forsiktig. Men hvis du begynner å forstå at personopplysningene som brukes i kommunikasjon er eiendommen til de respektive personene som disse dataene refererer til, er det lettere å fremkalle ansvarlig og hensynsfull oppførsel og å unngå mange problemer.
- Ikke åpne vedlegg uten å sjekke avsenderen av e-posten.
- Ikke bruk automatisk festeåpning.
- Sjekk alltid avsenderen av den mottatte e-posten
- Bruk alle feltene i e-posten riktig
- Bruk "Emne"-feltet riktig og beskriv kort og korrekt emnet for e-posten. Det er nyttig for de som mottar e-posten fordi de umiddelbart legger merke til om e-posten er skrevet spesielt for dem og den er nyttig for å søke i de tusenvis av e-poster som vi arkiverer hver uke når vi skal finne noe spesifikt.
- Bruk KUN ÉN mottaker per e-post i "Til:"-feltet. Hvis vi trenger å sette inn flere mottakere, legger vi i så fall adressen vår i "Til:"-feltet og i "CCn:"-feltet (Hidden Carbon Copy) adressene til alle de andre mottakerne. Dette beskytter personvernet til mottakerne som vil motta e-posten adressert til "Udisclosed Mottaker" og vil ikke finne postkassen hans spammet overalt.
- Unngå å lage ubegrensede avspillinger av meldinger ved å bruke postkassen som en chat.
- Unngå å sende tunge vedlegg og send evt. zippede vedlegg.
- Ikke fyll e-poster med bilder nederst med logoer, signaturer, sosiale medier-ikoner eller noe annet. Mange har blokkert automatisk visning av bilder og resultatet du får er bare forvirring og rot.
- Ikke åpne mistenkelige e-poster.
- Endre postkassepassordet ditt minst en gang hver tredje måned og bruk komplekse strenger. Hvis du ikke vil huske spesialtegn, store og små bokstaver, foreslår vi at du bruker hele setninger som du lett kan huske som: "i går-hunden-knekt-spilte-med-frisbee". Du får fortsatt et utmerket resultat. Enklere passord hackes enkelt med noen få brute-force operasjoner, og derfra er skaden gjort.
- Ikke bruk jobbe-e-posten din for sosiale profiler, noensinne!
- Der det er mulig, bruk alltid dobbel autentisering.
- Det har ingenting med sikkerhet å gjøre, men vennligst IKKE BRUK STORE STORE BOKSTAVER. Den store bokstaven betyr SKREK og er blodig ekkel og frekk.
- Lag en daglig sikkerhetskopi av e-posten din, ikke la all kommunikasjon ligge på serveren, det er en praksis som ikke bare frarådes, men som blir sterkt straffet av personverngarantisten.
Dette ser ut til å være trivielle anbefalinger, men ironisk nok stoler hackere og spammere på brukernes uforsiktighet. Vi vet, de er virkelig banale, og du har hørt, sagt, hakket tusenvis av ganger, men det er tydeligvis ikke nok!
Gmail nei, Microsoft Exchange nei, hva skal jeg gjøre?
Gitt at vi ikke har sagt nei, men ganske enkelt har gjort deg oppmerksom på risikoen du løper, finnes det imidlertid praktiske, interessante løsninger som holder deg trygg, forutsatt og ikke gitt at oppførselen til enkeltpersoner da reflekterer minimumsunionen som er nødvendig for å unngå å ødelegge alt. Videre, gitt at vi ikke har sagt at du ikke kan bruke GMAIL eller Microsoft Exchange, men at for å gjøre det må du være GDPR-kompatibel, la oss prøve å gi andre svar også.
Alternativer til Gmail og Microsoft Exchange:
ProtonMail
Sveits-basert, GDPR-kompatibel plattform som bruker ende-til-ende-kryptering. Veldig god service, ekstremt trygt, men ikke billig. For å fortelle sannheten, kommersielt sett har de ikke oppnådd suksessen de fortjente og har holdt seg litt "på spill" selv om teknologisk sett er tjenesten upåklagelig.
Fast Mail
Fast Mail er et gyldig alternativ til Gmail, veldig funksjonelt og komplett med en overkommelig pris, men det er nødvendig å verifisere samsvar knyttet til GDPR siden det i alle fall er en amerikansk plattform.
QBOX Mail
Et veldig gyldig alternativ, alt italiensk og GDPR-kompatibelt. Enterprise-versjonen koster 3.60 euro per postboks og 1 euro for hver 25 GB ekstra plass. Vi kan bare anbefale det på det varmeste. Etter vår mening er det en av de mest interessante løsningene.
Det er mange andre nettskyposttjenesteleverandører også, det er en verden som kan utforskes. Men for ikke å gi overflod av informasjon, stopper vi her.
Eid SMTP-server eller e-postserver.
Hvor mange av dere har et nettsted og et domene og drar nytte av e-postserveren integrert i din egen webserver der siden er vert? Det er en av de hyppigste situasjonene.
Leverandørens SMTP-server
SMTP-serverne til etablerte leverandører er også anerkjent som pålitelige av andre leverandører. Spamfiltrene deres anses også for å være spesielt effektive på grunn av den store datamengden de behandler. Men ved gratistilbud er det vanligvis strenge begrensninger når det gjelder antall e-poster per dag, størrelsen på vedleggene og lagringsplassen til postkassen.
Tilbudene presenteres på flere sider:
Internett-leverandører: Internett-leverandører (ISP-er) som IONOS tilbyr ofte en e-postadresse for en Internett-tilkobling som selskapets SMTP-postservere kan nås med.
E-postleverandør: Den mest typiske måten for enkeltpersoner å sende e-post til venner og familie på er å bruke nettpostapplikasjonen til en gratis e-postleverandør som Gmail, Yahoo eller Libero. Det eneste kravet er en e-postadresse som samsvarer med domenet, som leverandørens SMTP-server kan brukes med til personlig korrespondanse. Alt du trenger å gjøre er å konfigurere postboksen for riktig SMTP-serveradresse. Nedenfor finner du en oversikt over de mest populære leverandørene og deres adresser.
Hosting-tjenesteleverandører: Mange hosting-pakker, som de fra IONOS, inneholder som standard en SMTP-server, som kan brukes til å håndtere intern og ekstern bedriftsposttrafikk.
Spesialiserte leverandører: noen selskaper har spesialisert seg på å leie SMTP-servere, blant dem er for eksempel Amazon SES og SparkPost, som tillater utleie av nødvendig maskinvare.
Vi fraråder på det sterkeste denne løsningen
Egen SMTP-server
Med litt grunnleggende teknisk kunnskap kan du sette opp din egen SMTP-server. For eksempel kan en Raspberry Pi settes opp med riktig programvare som maskinvaregrunnlag.
Fordelene er åpenbare: ingen leverandørrestriksjoner på bruk, full kontroll over alle innstillinger og uavhengig databehandling. I tillegg er det å ha din egen server ideelt for å gjøre deg kjent med den tekniske mekanikken til e-posttrafikk. Men det er også ulemper: På grunn av den dynamiske IP-adressen som er særegen for private Internett-tilganger, blir private SMTP-servere ofte klassifisert som spam av store e-postleverandører. Et problem som kun kan løses med noen få oppussingstiltak og/eller merkostnader. Men hvis du kun ønsker å sende dine e-poster til en annen privat klient, er en egen SMTP-server uansett et godt alternativ. Det er derfor nødvendig å ha en fast IP.
Eh, men de er ikke roser og blomster. Å bringe en SMTP-server inn i hjemmet ditt eller bruke den som er knyttet til hosting av nettstedet ditt, har konsekvenser som til og med kan være alvorlige hvis du ikke klarer å håndtere problemene.
Eid SMTP-server eller e-postserver.
Hvor mange av dere har et nettsted og et domene og drar nytte av e-postserveren integrert i din egen webserver der siden er vert? Det er en av de hyppigste situasjonene.
Når du administrerer din egen SMTP-server for mottak og sending av korrespondanse, må du ta hensyn til noen aspekter som også kan være ubehagelige:
Systemets oppetid. Vanligvis har ikke de forskjellige ISP-leverandørene, spesielt de "lavpris", som Aruba eller Register en SLA og garanterer ikke oppetid. Det betyr at i løpet av 365 dager i året er det mulig at hostingen din og dermed domenet ditt ikke er tilgjengelig, at de sendte e-postene ikke går ut eller at de som skal mottas ikke kommer frem til destinasjonen. Hvis DNS-en ikke er tilgjengelig, er e-postsystemet fullstendig slått av. Det eksisterer vertsleverandører som skriftlig garanterer, ved kontrakt, en oppetid som er større enn 99.99 % av tiden over et år, men tjenesten begynner å koste. Vi tilbyr en SLA på 99.99 %, og faktisk er kostnadene for hostingen vår ikke sammenlignbare med Aruba.
Redundansen. En SMTP-server koblet til vertsplassen din er vanligvis plassert på et sted, som er en server-farm, hvis det eksploderer, som nylig skjedde med OVH eller med Aruba i den siste tiden, både nettstedet og hele IT-strukturen for sending og mottak av e-poster kan gå til ramengo. Derfor å kunne regne med en overflødig struktur der, ved sammenbrudd eller nedleggelse av datasystemet mitt, en parallell struktur umiddelbart kan settes i drift. Vi kunne åpnet et eget kapittel om redundans og gått inn i de minste detaljene, men dette er ikke stedet å gjøre det. la oss si at redundans er definert som et system som er i stand til å duplisere visse funksjoner og derfor garanterer kontinuiteten til tjenestene i tilfelle feil.
Fordelene ved å bruke en proprietær SMTP-server. Jeg prøver å liste dem opp:
- Evne til å administrere flere e-postkontoer uten å øke kostnadene
- Mulighet til autonomt å administrere dine egne sende-/mottakspolicyer
- Mulighet for internt å opprettholde et oppdatert arkiv over ens post og trafikken av kommunikasjon med omverdenen
- Mulighet for å navngi/gi nytt navn til postkassene dine selvstendig og uten ekstern intervensjon
- Mulighet for å etablere (avhengig av valgt leverandør) adresser og/eller IP-er som skal svartelistes eller hvitelistes.
- Evne til uavhengig å etablere anti-spam retningslinjer
- Evne til uavhengig å etablere merkingene, DKIM, SPF og DMARC som er de som mange glemmer og er hovedårsaken til svartelisting av domenet ditt.
Ulemper ved å bruke en proprietær SMTP-server
Ulempene er utallige, spesielt hvis strukturen din ikke er forberedt og det ikke er tilstrekkelig bevissthet om risikoen du løper ved å bringe en e-postserver hjem til deg. Tekniske, juridiske og operasjonelle problemer kan også motvirke denne veien, mye avhenger først og fremst av nivået på teknologisk kultur som er tilstede i ens struktur.
- Manglende evne til å holde deg selv skadesløs ettersom alt ansvar for å administrere og arkivere e-postmeldinger tynger strukturen din.
- Eksponering for alle typer angrep og behovet for å iverksette alle tiltak for å begrense eller avbryte dem.
- Mulighet for å ha øyeblikk av "mørke" der serveren bremses av andre operasjoner eller til og med ikke er i stand til å utføre sine funksjoner.
- Trenger å implementere en voldsom anti-virus og anti-spam kontroll policy (for å si sannheten, dette gjelder litt for alle i dag)
- Behov for en systematisk og effektiv sikkerhetskopieringspolicy (dette gjelder for alt i dag, nå).
Det er også sant at mange "profesjonelle" leverandører gjør tilgjengelige beskyttede, sertifiserte eller i alle fall nesten sårbarhetsfrie SMTP-servere, og derfor oppstår farene utelukkende og utelukkende fra operatørens uoppmerksomhet eller fra hans hensynsløshet og uansvarlighet, men la oss si at hosting av plassert på samme struktur der webserveren er vert, er kanskje ikke alltid en korrekt policy, tvert imot.
konklusjon
Ok, fint, men avslutningsvis? Hva skal man velge?
Det er ikke noe enkelt svar, det avhenger av omstendighetene og også av operasjonen. Vi anbefaler å bruke en sky-postserver når bedriftsstrukturen er liten eller mikroskopisk og en SMTP-server når strukturen krever å ha minst et dusin postbokser hvis ikke 20. Mer av kostnadsgrunner enn noe annet fordi å ha en SMTP-server hostet i en safe , effektiv struktur som korrekt merker serverne og bruker gyldige og korrekte sikkerhetsprotokoller, den har alltid en diskret fordel fremfor alt.Det er sant at potensielle problemer bringes innenfor som man gjerne vil forbli utenfor. Selv i forhold til GDPR, hvis det på den ene siden vil være nødvendig å vedta en korrekt personvernpolicy, er det også sant at i tilfelle et databrudd kan konsekvensene bli mye mer alvorlige med bruk av skysystemer som administreres av tredjeparter. Derfor bør en god SMTP-server og klokskap i e-postbehandling løse 90 % av problemene for små bedrifter eller profesjonelle aktiviteter. En god partner som leverer en adekvat hostingtjeneste, en tekniker på stedet som vet hvordan man installerer en e-postklient riktig, et godt backupsystem, en brannmur og et alltid oppdatert antivirus, en ruter med voldsom kontroll over porter og ja kan nesten sove rolig. Da kan alt skje, vel å merke, men i prinsippet er det dette vi foreslår.
Du kan også være interessert i:
Østerrike, Tyskland og Sveits for "mer innovative" godsjernbaner
DACH-ministrene Leonore Gewessler, Volker Wissing og Albert Rösti: introduksjonen av digital automatisk sammenkobling er et nøkkelelement
Overtalelse eller manipulasjon? Genesis og historisk virkning av PR
Dette er hvordan Public Relations, fra den sofistiske dialogen i antikkens Hellas til dagens digitale tidsalder, fortsetter å tilby kontinuerlig innovasjon
Unge mennesker og kryptovalutaer: hvordan finne ut mer om Bitcoin...
Å introdusere barn til digitale valutaer og Blockchain kan være en spennende oppgave, gitt deres tilhørighet til teknologi og innovasjon
«Pasienten i sentrum»: et stort håp og et møte i Senatet
Temaet om betydningen av innovasjon innen medisinsk utstyr for europeisk helsevesen vil bli utforsket 15. mai i Roma av eksperter og politikere
//