Bezpieczeństwo korespondencji i komunikacji pomiędzy klientem a firmą najsłabszym ogniwem łańcucha zabezpieczeń.

W ciągu ostatnich dwóch lat nastąpił przełom w świadomości wielu użytkowników internetu – przełom związany z kwestią prywatności w codziennej korespondencji i komunikacji, również tej związanej z wrażliwymi dla nas usługami jakimi są systemy zabezpieczeń i chroniące nas i nasze dane systemy IT. Wielu z nas zastanawia się co w tej materii może zrobić aby uniemożliwić osobom trzecim monitorowanie naszej codziennej korespondencji, i wgląd w wrażliwe dla nas dane.

Zaszyfrowane wiadomości e-mail w rzeczywistości istnieją od 1980 roku, ale korzystanie z nich przez przeciętnego użytkownika bywa zbyt skomplikowane. Gdy nie tak dawno znany wszystkim Edward Snowden poprosił pewnego reportera o korzystanie z zaszyfrowanych wiadomości end-to-end, aby podzielić się z nim szczegółami programu nadzoru NSA reporter nie potrafił użyć tej formy komunikacji. Przypuszczamy że wielu z Państwa również miało by ten problem.

Na co dzień do połączeń z newralgicznymi systemami korzystamy z szyfrowania danych w przeglądarkach, na trasie komputer – serwer. W czasie, gdy dane wychodzą z serwera są już zaszyfrowane, więc jeśli ktoś je przechwyci bez znajomości klucza szyfrowania nie jest w stanie ich odczytać. Problem pojawia się gdy korzystamy z podstawionego klucza (MITM – Man in the middle) lub ktoś uzyska fizyczny dostęp do serwera lub naszego komputera, urządzenia mobilnego gdzie dane nie są już przechowywane w postaci zaszyfrowanej jak to zwykle ma miejsce.

Rozwiązaniem jest szyfrowanie danych na komputerze i na serwerach, co w przypadku włamania uniemożliwi podejrzenie oryginalnej wiadomości lub treści komunikacji bez znajomości klucza. Ważna jest również lokalizacja serwera który musi „stać” fizycznie w miejscu bezpiecznym do którego tylko my mamy dostęp. Oczywiście w typowych warunkach nie umieścimy serwerów z naszymi usługami w bunkrze w Szwajcarii, ale nie może być to czysto przypadkowe miejsce nad którym nie mamy nadzoru.

Wiele firm oferując bezpieczeństwo swoim klientom zapomina o tak ważnej kwestii jak bezpieczeństwo komunikacji. Nie stosując zasady ograniczonego zaufania firmy korzystają z darmowych kont email, czy umieszczają swoje usługi na tanich zagranicznych hostingach do których notorycznie są dokonywane włamania. Większość wspomnianych dostawców usług chat (opartych o protokoły jabber czy gg) i usług email wykorzystywanych podczas codziennej pracy  zarabia poprzez skanowanie wiadomości e-mail i komunikacji chat, a następnie karmienie nas personalizowanymi reklamami zależnymi od tego, co piszemy na dany temat. Głównym założeniem tych usług jest aby część ich podstawowej struktury umożliwiała wewnętrznym mechanizmom czytanie e-maili i korzystanie z danych. Metadanych tak chętnie zbieranych w dzisiejszych czasach i przetwarzanych w ramach tzw. Big Data, które doczekało się już nawet własnej dziedziny i specjalizacji. Takie podejście nie gwarantuje bezpieczeństwa komunikacji i naraża klientów nieświadomych niebezpieczeństwa firm na wyciek wrażliwych danych jakimi są loginy i hasła do ich rozmaitych usług związanych z systemami zabezpieczeń.

Z takich usług niestety korzystamy coraz częściej i nie zdajmy sobie sprawy z tego jak wrażliwe dane przechowują. Zawierają dane konfiguracyjne systemów sygnalizacji włamania i napadu trzymane w chmurze (przykład: systemy alarmowe pewnego czeskiego producenta), nagrania i obrazy przechowywane w dedykowanych hostingach Cloud wielu rozmaitych systemów monitoringu wizyjnego z których tak często i chętnie korzystają klienci (marketowe kamery i rejestratory IP z obsługą chmury) z racji tego że są darmowe, dane systemów inteligentnego budynku zarządzane poprzez usługi w Chmurze. Takich wrażliwych systemów jest wiele a kluczem do nich są niejednokrotnie nasze skrzynki email do których zbyt wielu osobom dajemy dostęp.

Idealnym rozwiązaniem było by aby zarówno klient jak i firma która go obsługuje posiadali własne serwery w bezpiecznej lokalizacji fizycznej, z zaszyfrowanymi nośnikami danych, i komunikujące się poprzez szyfrowane połączenie, a komunikacja odbywała się przy wykorzystaniu kluczy PGP pozwalających szyfrować i deszyfrować przesyłane wiadomości, komunikaty, pliki i podpisywać je cyfrowo, oraz weryfikować autentyczność nadawcy (pod warunkiem, że ten także korzysta z PGP) przy równoczesnym bezpiecznym zarządzaniu kluczami, gdzie weryfikacja kluczy opiera się o sieć zaufania (web of trust).

Przykład zaszyfrowanej wiadomości którą może odczytać wyłącznie adresat i nadawca, po podaniu znanego tylko jemu klucza. Taka forma komunikacji pozwala również stwierdzić czy nadawca wiadomości jest faktycznie tym za kogo się podaje.

Niestety jest to rozwiązanie wymagające od obydwu stron ogromnej wiedzy i pewnego nakładu środków aby utrzymać taką infrastrukturę. Taki stan rzeczy skłonił nad do stworzenia własnego systemu umożliwiającego w miarę bezpieczną komunikację pomiędzy nami i współpracującymi z nami klientami. Systemu który opiera się o szereg rozwiązań mających na celu chronić wrażliwe dane przesyłane pomiędzy nami.

Zachęcamy Państwa do przemyślenia czy obecna współpraca z wieloma firmami nie dbającymi o kwestie bezpieczeństwa i poufności korespondencji nie przekłada się na straty i szkody generowane poprzez incydenty sieciowe związane z naruszeniem bezpieczeństwa z którymi tak często mamy do czynienia. Szkody których efektem jest często wyciek cennych informacji handlowych, wyciek loginów i haseł do wrażliwych usług, obniżenie poziomu bezpieczeństwa systemów które chronią nasze mienie, życie i dane.

Osoby ceniące bezpieczeństwo i poufność zapraszamy do współpracy i korzystania w ramach współpracy ze stworzonej na potrzeby bezpiecznej komunikacji naszej własnej infrastruktury, oraz zachęcamy do konsultacji dotyczących aktualnie wykorzystywanych rozwiązań w miejscach gdzie przetwarzane są Państwa wrażliwe dane.