Информационная безопасность как сервис

Безопасность почтовой переписки

15.06.2015

С момента своего появления более 50 лет назад электронная почта завоевала безумную популярность. Теперь это уже не просто способ обмена информацией между двумя людьми, находящимися в разных концах света. Электронная почта выросла до огромных корпоративных сервисов и теперь представляет собой лакомый кусочек для огромного числа злоумышленников.

Достоинствами электронной почты являются:
  • Легкие для восприятия и запоминания адреса;

  • Возможность передачи как текста, так произвольных файлов;

  • возможность использовать электронную почту на любом типе устройств;

  • высокая надёжность доставки сообщения.

Недостатки электронной почты:
  • Спам (массовые рекламные и вирусные рассылки);

  • Возможность перехватить и прочитать Ваши сообщения третьими лицами;

  • Ограничения на размер одного сообщения и на общий размер сообщений в почтовом ящике (персональные для пользователей).

Основным отличием и достоинством электронной почты от прочих систем передачи сообщений (например, служб мгновенных сообщений) ранее являлась возможность отложенной доставки сообщения, а также развитая (и запутанная, из-за длительного времени развития) система взаимодействия между независимыми почтовыми серверами (отказ одного сервера не приводил к неработоспособности всей системы).

Все вышеописанное справедливо для простых пользователей, но у корпоративных пользователей возникают новые потребности в качестве и возможностях сервиса электронной почты, которые необходимо рассмотреть.

В больших компаниях актуальна проблема сокрытия самой переписки от администраторов почтовых систем. Действительно, получается, что администратор почтовой системы становится заложником своих возможностей и обязанностей. Все мы люди, никто не застрахован от ошибок и соблазнов – посмотреть в почтовый ящик руководства, быть в курсе внутренних переписок и отношений в компании, узнать информацию о готовящихся сделках и раскрыть ее третьим лицам – вот распространённые типовые сценарии подрывной деятельности администраторов почтовых систем.

Казалось бы, решение данной проблемы лежит на поверхности: проведение расширенного аудита доступа к почтовым ящикам вкупе с организацией защиты самой переписки с использованием личных токенов. Но не все так просто. Такой вариант не всегда применим, потому что у администраторов, как правило, имеются привилегированные учетные записи, а значит, перезаписать журнал доступа к почтовому ящику опытному администратору не составит большого труда. Более того, для контроля самого журнала необходимо иметь отдельную систему и группу людей, независимых от администраторов, чтобы мониторить поступление данных в журнал, оценивать их достоверность и полноту.

В общем и целом аудит доступа к почтовому ящику - не самый лучший вариант. Тогда становится очевидным, что надо двигаться в сторону токенов. Но и тут есть масса недостатков. Например, как контролировать использование токенов в компании, где больше 1000 пользователей? А если они будут территориально распределены? Да еще и в нескольких странах? Но и это еще не все. А как быть, если зашифрованное сообщение нужно открыть VIP пользователю на телефоне или планшете? Да, можно импортировать сертификат, но опять же, как быть, если пользователей более 1000? А если это надо сделать быстро? Опять получается, что идея с токенами тоже не до конца рабочая. Более того, как быть, если надо отправить зашифрованную почту внешнему контрагенту? Как тогда управлять токенами и сертификатами? В любом случае решение получится очень громоздким и трудно управляемым. Самым сложным может оказаться то, что у потенциального внешнего контрагента будет использоваться своя криптосистема и остро встанет проблема совместимости. Поэтому идея с токенами обладает следующими недостатками:

  • трудность администрирования и контроля использования;

  • невозможность использования на любых типах устройств;

  • проблема совместимости с любой другой криптосистемой;

  • проблема совместимости токенов с различными «роботами» информационных систем внутри компании.

Основываясь на вышесказанном, можно фактически сформировать требования к криптосистеме, которая выведет сервис электронной почты внутри корпорации на новый уровень.

На рынке представлены различные системы, как правило, основанные на алгоритме PGP. У них есть свои плюсы и минусы, но только единицы могут удовлетворить всем требованиям и решить все возникающие проблемы.

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено