Crittografia: considerare cinque punti chiave
Sono troppo poche le aziende che trasmettono i loro documenti aziendali riservati in forma criptata. Invece, vengono inviati come un normale allegato a un'e-mail e possono quindi diventare una facile preda. Chi vuole introdurre una soluzione di crittografia efficace deve tuttavia osservare alcuni punti chiave.
Nel mondo degli affari di oggi, il traffico di e-mail comporta numerosi rischi. Oggi le aziende possono proteggersi abbastanza bene dallo spam, ma è un po' più difficile prevenire l'intrusione e la diffusione di malware. Ciò richiede misure complesse. Secondo QSC AG, tuttavia, il pericolo maggiore deriva dal traffico di e-mail aziendali non criptate, perché nel tragitto dal mittente al destinatario chiunque può leggere le informazioni senza troppi sforzi. Se le aziende vogliono evitare che ciò accada, devono proteggere efficacemente le loro e-mail riservate. Il FTAPI Software GmbH, una società di QSC AG, cita cinque aspetti importanti:
1. I dati sensibili devono essere criptati: Le aziende hanno investito molto denaro in filtri antispam, protezioni antivirus e firewall per migliorare la loro sicurezza informatica. Tuttavia, l'invio di e-mail e i rischi associati sono ampiamente ignorati. Se i dati riservati - e questo riguarda circa due terzi di tutte le informazioni aziendali - cadono nelle mani sbagliate a causa di un furto, ciò si traduce rapidamente in un elevato danno materiale e spesso anche in un enorme danno di immagine per l'azienda. Una crittografia efficace dei dati end-to-end innalza le barriere e rende il tutto più difficile per gli aggressori.
2. La semplice crittografia del trasporto non è sufficiente: Quando si parla di crittografia del trasporto tramite HTTPS, le aziende devono stare all'erta. La protezione esiste quindi solo nel tragitto dal mittente ai server di un provider di posta elettronica. In questo caso, i dati sono in chiaro, almeno per un breve periodo, e c'è il rischio di furto o manipolazione. La crittografia del trasporto non è sufficiente per lo scambio di dati riservati. Deve essere integrata da procedure aggiuntive.
3. la crittografia end-to-end è essenziale: La vera crittografia end-to-end esiste solo se il mittente cripta i dati riservati sul suo dispositivo finale, questi rimangono invariati lungo tutto il percorso e solo il destinatario li riconverte in testo normale con la sua password. Un trasferimento crittografato di e-mail in combinazione con un antivirus non soddisfa questo requisito, perché richiede la decodifica dei dati sul server del provider di e-mail, creando una pericolosa falla nella sicurezza.
4. garantire la protezione dei dati secondo il principio della chiave pubblica-privata: Il principio delle chiavi pubbliche e private rappresenta un metodo efficace per proteggere i dati. I dati riservati vengono crittografati con chiavi pubbliche che il fornitore di una soluzione di crittografia conserva in una posizione centrale. Il mittente cripta con una chiave pubblica un'e-mail destinata a un partner commerciale, che decripta il messaggio con la sua chiave privata. Anche le chiavi private sono memorizzate in forma criptata e sono accessibili tramite una password che solo il rispettivo destinatario dell'e-mail conosce.
5. la soluzione di crittografia deve essere basata sulla "conoscenza zero": La crittografia end-to-end deve utilizzare il "principio della conoscenza zero". Gli esperti di sicurezza lo considerano un mezzo molto efficace contro la criminalità informatica. In questo caso, anche il fornitore di una soluzione di crittografia o di un servizio di cloud storage non ha accesso alla gestione delle chiavi. Non possono ottenere la chiave necessaria per la decodifica e ottenere così una visione dei dati dei clienti.