studiodegrazia@pec.it
+3473822130
studio@degrazia.info

Sicurezza in pillole: Uso delle mail aziendali

Created with Sketch.

Tutti usiamo le email per comunicare, come una volta usavamo le “lettere” con francobollo. Le lettere, però, potevano essere chiuse, e assicuravano una certa riservatezza. Le email sono considerate “corrispondenza aperta”, e già questo dovrebbe farvi riflettere. Tralasciando le abitudini social nel privato (in cui ognuno si gestisca come vuole), se parliamo di informazioni aziendali il discorso cambia, e diventa necessario rendersi conto degli strumenti che stiamo usando (Accountability).

Lo strumento e-mail è nato in un mondo antico in cui erano tutti amici o colleghi, ognuno era chi diceva di essere, ci si conosceva come in un grande club e ci si fidava uno dell’altro. Oggi la situazione è un po’ diversa, basti pensare allo spam quotidiano, o alle sempre nuove tecniche di phishing (presumo che sappiate di cosa sto parlando, altrimenti potete fare un giro veloce su wikipedia – vedi link sotto – e poi tornare qui).

Ogni mail che ricevete, anche da un mittente conosciuto, va esaminata almeno per qualche secondo: il mittente, nella mail, ha improvvisamente cambiato la solita sintassi? Ci sono strani errori ortografici? Mi sta parlando di cose di cui non mi ha mai parlato e con un tono diverso dal solito? Ha inserito immagini fuori contesto? Mi sta chiedendo dati non necessari nel nostro normale rapporto? Mi sta chiedendo di andare su un sito? Ci sono degli allegati?
Sono sicuro che a chiunque sia successo qualcosa del genere, e qualcuno, seguendo le richieste, si sarà ritrovato con il PC impazzito.

La vecchia versione di SMTP, il protocollo usato per spedire le mail, non richiede password e spedisce tutto in chiaro. Col tempo, questa metodologia è stata sfruttata da malintenzionati fare spam o spoofing (cioè mentire su chi sia il mittente), portando all’utilizzo del Secure SMTP, in cui si deve dare prova della propria identità (tramite l’autenticazione) prima di poter spedire una mail. Agli spammer non bastava più accedere ad un server smtp, ma dovevano procurarsi anche user+password, magari tramite uno spyware, o un attacco a forza bruta.
Tenete presente anche un’altra cosa, per quanto riguarda le mail inviate: gran parte degli utenti ancora utilizzano nei client di posta la porta 25 del server smtp, cioè la vecchia versione. Se nella mail che spedite annunciate la prossima riunione oppure ordinate una scorta di toner, non ci sono grossi problemi (o sì?), ma se usate la vostra posta elettronica per trasferire informazioni aziendali, soprattutto se riservate, non è questo il metodo più sicuro.

Come fare, allora? Tenendo la comodità del canale, blindiamo il messaggio. Andiamo in autostrada, ma invece di usare una decappottabile, usiamo un furgone blindato.

Utilizzando un software di crittografia (come PGP, per esempio, ma lo fanno anche siti online) solo il destinario potrà decrittare il testo e leggerne il contenuto, grazie allo scambio delle chiavi pubbliche o di una password già concordata. Anche se un malintenzionato intercetterà la mail, avrà grosse difficoltà a leggerne il contenuto (volete la sicurezza al 100%? Mah, non credo esista… ce la giochiamo sempre sulle probabilità).
Ricordate, inoltre, che se la vostra azienda utilizza le email per trasmettere abitualmente informazioni riservate, questo aumenta di molto la probabilità che qualcuno cerchi di intercettare i messaggi (obbiettivo pagante).

Roberto Carzedda – DPO Certified Iso – i4sec Team

Link utili:
https://guide.hosting.aruba.it/email/sicurezza-email/identificazione-del-reale-mittente-di-una-email.aspx
https://it.wikipedia.org/wiki/Pretty_Good_Privacy
https://it.wikipedia.org/wiki/Spam
https://it.wikipedia.org/wiki/Phishing
https://it.wikipedia.org/wiki/Spoofing