Nechráněné firemní e-maily jsou jako dokořán otevřené dveře pro konkurenci
O ochraně a bezpečnosti informací si lidé rádi povídají, ale praktické rozhodnutí o realizaci zabezpečení často odkládají na neurčito. Ono „neurčito“ se však mění v urgentní prosbu o pomoc v případě, kdy se něco stane.
Jeden příklad z praxe. Šlo o společnost, která byla ve svém podnikání velice úspěšná.
Měla inovativní výrobky a prodávala je za dobrou cenu. Způsob kalkulace ceny a podstatná část technologického know-how patřily mezi cenné a chráněné interní informace, které nebyly dostupné všem zaměstnancům. Nebyly ale zároveň nijak speciálně chráněny. Pokud by někdo tyto informace získal a předal je (například) konkurenci, nebyl problém poměrně rychle rozběhnout výrobu vlastního stejně kvalitního a cenově o trochu výhodnějšího produktu. To se také stalo. Někdo ze zaměstnanců jednoduše předal citlivé a důležité informace konkurenci. Trvalo poměrně dlouho, než management zjistil, že se něco děje. Že přichází o klíčové zákazníky, protože mu je přetahuje konkurence nižší cenou. V tomto okamžiku si vedení firmy uvědomilo, že investice do ochrany informací nejsou vyhozené peníze, ale jde o eliminaci reálných rizik vzniku nemalých škod.
Milionové ztráty Příčin, proč se to mohlo stát, je více, rád bych se pozastavil nad jednou z nich. Informace o technologii, kalkulacích, výkresová dokumentace – to vše byly soubory, ke kterým byl v informačních systémech zřízen omezený přístup. Mohli se k nim dostat opravdu pouze ti zaměstnanci, kteří je potřebovali ke své práci. Ale tito zaměstnanci informace nezneužili. Jak to však obvykle bývá, většina těchto citlivých informací putovala e-mailovou komunikací, interně i vně společnosti. A zde byl skryt klíčový problém: někteří zaměstnanci se jednoduše a bez většího úsilí dokázali k e-mailové komunikaci dostat a pak si jen skládali mozaiku informací, kterou následně využili. Vzniklá škoda byla v řádu jednotek milionů.
Ochrana či bezpečnost informací je komplexní a složitý problém, který není řešitelný jednoduše. Řešení se nedá koupit jako produkt. Vždy jde o promyšlený systém organizačních, právních a technických opatření. Dovolím si však tuto komplexnost opustit a zaměřit se pouze na problematiku e-mailové komunikace. Bez ní si dnes nedokážeme představit pracovní život. Maily rozdáváme a přijímáme úkoly, zasíláme nabídky, sjednáváme smlouvy, posíláme kopie dokladů. Mail nám velmi usnadňuje život.
Málokdo ale ví, že e-mailová komunikace nebyla navržena primárně jako bezpečný způsob komunikace. Nemá tedy v sobě sama nástroje, které by zajišťovaly autenticitu a důvěrnost. Jinak řečeno, jako příjemce e-mailu se nemohu spolehnout na to, že odesílatelem je skutečně ten subjekt, který je takto uveden v hlavičce zprávy. Nemohu se ani spolehnout na to, že mail si nikdo cestou nepřečte či nezmění. Možným přirovnáním je obdoba e-mailu s korespondenčním lístkem.
Pokud si chcete udělat drsný test toho, kdo všechno si ve vaší společnosti čte vaše e-maily, rozešlete v rámci managementu e-mail s názvem Plán personálních změn na rok 2015 s fiktivním návrhem a pozorujte, co nastane. Pokud je nutné pomocí e-mailů komunikovat cenné informace, jejich důvěrnost je nutné zajistit „navíc“. Technologií a produktů k tomu je na trhu mnoho.
Většinou využívají různých šifrovacích algoritmů. Zde ale laik naráží na velký problém.
Aby ochrana jeho e-mailové komunikace dávala smysl, musí alespoň trochu pochopit, jak to funguje. Ono totiž není šifrování jako šifrování.
Většina dnes používaných šifrovacích algoritmů je obtížně prolomitelná. Toho také producenti šifrovacích produktů využívají ve své reklamě a říkají v podstatě pravdu. Také poskytovatelé veřejných e-mailových služeb však deklarují, že používají šifrování, a také mají v podstatě pravdu.
KDo Má KlÍČ?
Problém je jinde. Představte si odeslání důvěrné listiny klasickou listovní poštovní službou. Listinu rozhodně do obálky vkládáte sami a obálku pečetíte, aby bylo možné rozpoznat její rozlepení. Rozhodně nepostupujete tak, že nalepíte známku přímo na listinu a tu odešlete nebo předáte listinu pracovnici pošty, která ji sama zalepí a odešle.
V elektronickém světě je tou zprávou v obálce šifrovaná e-mailová zpráva. A to šifrovaná tak, aby ji rozšifrovat mohl jen subjekt, kterému je určena. Tedy tak, aby kdokoli cizí, kdo si ji zkopíruje, si ji nikdy nepřečetl. Obálkou je šifrovací klíč – lze si jej představit jako řetězec znaků, pomocí kterého se zpráva šifruje či dešifruje. Je zřejmé, že ten, kdo má klíč ke zprávě, má obsah zprávy. Proto se vždy, když vám někdo nabízí šifrování či vysvětluje, jak vaše e-maily šifruje, ptejte: Kde je klíč? Mám ho opravdu k dispozici pouze já? Kde se šifruje, na mém počítači mým klíčem, či někde v internetu klíčem někoho jiného?
Aby mělo šifrování smysl, vždy musíte mít svůj klíč pod svou kontrolou a ideálně jinde, než kde máte uložena data. Nehrozí vám tak riziko, že krádeží či prolomením ochrany počítače se útočník dostane rovnou i k důvěrným datům. Technologie na ochranu e-mailové komunikace jsou k dispozici mnoho let a nejsou drahé. Proč nejsou plošně rozšířeny a tak málo se používají?
Nabízím jeden možný pohled. Je velkým dluhem IT odborníků, že nedovedou lidským a laickým způsobem vysvětlit základní principy fungování IT technologií a nedokážou technologie vytvořit tak, aby byly jednoduše pochopitelné a uživatelsky přívětivé. Uživatel používá počítač a maily jako pracovní nástroj, který mu má zefektivnit práci, ne komplikovat život. Bezpečnostní experti namítnou, že bezpečnost je obvykle na úkor uživatelského komfortu, a budou mít pravdu. Přesto si však myslím, že cesta existuje a je v jednoduchosti a pochopitelnosti. Myslím, že ti tvůrci technologií, kteří si tento problém uvědomí, budou velmi úspěšní. ?
Pokud si chcete udělat drsný test toho, kdo všechno si ve vaší společnosti čte vaše e-maily, rozešlete v rámci managementu e-mail s názvem Plán personálních změn na rok 2015 s fiktivním návrhem a pozorujte, co nastane
O autorovi| VLADIMÍR LAZECKÝ • bezpečnostní expert a spolumajitel firmy na šifrování dat myTalkey
