E-mailovou schránku premiéra Bohuslava Sobotky napadli hackeři a v této souvislosti se často otevírají otázky toho, jak chránit soukromá data. Podle Ing. Vladimíra Lazeckého, který přednáší na Slezské univerzitě v Opavě a CEVRO institutu v Praze, je jedinou skutečnou ochranou šifrování.

„…je to důvěrné, pošlete mi to raději na soukromý mail…“

Při své bezpečnostní praxi se s touto prosbou setkáváme velice často. Nejčastěji při sjednávání realizace penetračních testů (testy zabezpečení firmy) a zasílání výsledků testování. Manažeři chtějí testování utajit před svými „ajťáky“, pokud by se o testu dozvěděli, test by postrádal smysl. Manažeři si jsou vědomi, že administrátoři mohou (ale ne vždy tomu tak je) mít přístup k firemní mailové komunikaci, proto volí cestu pomocí „soukromého mailu“. Tu ovšem jako profesionálové neakceptujeme a manažery nutíme k šifrování.

[ctete]41771[/ctete]

Je používání soukromé mailové schránky na některém z veřejných serverů opravdu zárukou soukromí a důvěrnosti? Nebo pouhou iluzí?

V mailových schránkách freemailových serverů můžeme najít ledasco, nejen komunikaci politiků, ale i často vysoce důvěrné informace, které jsou předmětem obchodního tajemství, scany dokladů, občanské průkazy nevyjímaje, vysoce citlivé osobní údaje – setkali jsme se i se zaslanými chorobopisy.

V čem je problém těchto freemailových služeb, jsou to skutečně jen snadno prolomitelná hesla, nebo možnost získat přístupové údaje pomocí lehce zjistitelné správné odpovědi na bezpečnostní otázku? Ano, vše výše uvedené je problém. Pokud používám triviální heslo, navíc stejné pro přístup k více informačním systémům, nemohu se pak divit, když si někdo dá tu práci a přístup prolomí.

Ale to není vše. Je třeba si uvědomit, že nic na světě není zadarmo a ani služba volných mailových serverů ne. Čím za používání platíme, se dočteme obvykle v podmínkách užití služby. Pokud si tedy najdeme čas a přečteme si je. Tak například ve smluvních podmínkách společnosti Google najdete, mimo jiné ZDE.

Existuje tedy vůbec cesta, jak komunikovat elektronickou poštou bezpečně a tak, aby se k jejímu obsahu dostal pouze příjemce?

Ano, existuje, třebaže s jistými limity. Řešením je používat šifrování zpráv. I zde se ale skrývá mnoho bezpečnostních rizik. Pro uživatele je důležité vědět, kdo má pod kontrolou šifrovací klíče a kde se šifrování odehrává. Svůj dešifrovací klíč musí mít pod přímou kontrolou uživatel, nejlépe na externím tokenu mimo svůj počítač (hardwarový elektronický klíč). Stejně tak se zprávy musí šifrovat a dešifrovat přinejmenším na počítači uživatele, ne u poskytovatele služby.

[ctete]41600[/ctete]

Co ale uživatel ovlivní jen velice obtížně, je chování příjemce zprávy. U elektronické zprávy existují jen velmi omezené možnosti, jak znemožnit příjemci zprávy její zkopírování, přeposlání či modifikaci. Na trhu existuje několik technologií, které tyto prostředky obsahují, ale opět je třeba se ptát, na jakých principech jsou založeny. Existují například různé aplikace na odesílání zpráv, jako třeba Viber, kde odesílatel odešle příjemci zprávu, ten ji sice smaže ve svém zařízení, ale tato zpráva stejně zůstane v centrálním úložišti, kde se k ní teoreticky někdo může dostat. A to je pro obě strany riziko. Jediné řešení je posílat zprávy zašifrované a k nim posílat jeden nebo dva klíče. Teprve když odesílatel zničí dešifrovací klíč, stává se zpráva opravdu vymazanou, už si ji nikdo nepřečte.