Bezpieczny e-mail? Wątpię...
- 25.03.2008
Zbyt wiele rozwiązań, technologii i standardów utrudnia popularyzację bezpiecznych kanałów komunikacyjnych.
Zbyt wiele rozwiązań, technologii i standardów utrudnia popularyzację bezpiecznych kanałów komunikacyjnych.
Wykorzystywany powszechnie do dziś w wymianie informacji za pośrednictwem Internetu protokół SMTP powstał w 1982 r. Do dziś jednak problem bezpiecznej komunikacji w Internecie pozostaje nierozwiązany. Protokół SMTP został zaprojektowany i był początkowo wykorzystywany przez środowiska akademickie, gdzie poziom wzajemnego zaufania był stosunkowo wysoki i nie widać było potrzeby wprowadzania skomplikowanych zabezpieczeń, mechanizmów identyfikacji lub potwierdzania wiarygodności nadawcy/odbiorcy poczty elektronicznej. Ta wiara i zaufanie do innych już dawno znikła, gdy z Internetu zaczęły korzystać miliony, a nawet miliardy ludzi z najróżniejszych, często trudnych do zidentyfikowania środowisk, a poziom zaufania do użytkowników Internetu należy uznać za wątpliwy.
Choć już dość dawno pojawiły się koncepcje zabezpieczania i uwiarygodniania transmisji przy wykorzystaniu technik kryptograficznych, to jednak nawet nie koszty ich wdrożenia i utrudniona obsługa systemu, ale dodatkowe, często trudne do spełnienia wymagania na moc przetwarzania są największą barierą ich popularyzacji. Problemem jest też brak jednolitego standardu, i użytkownik musi sam wybierać spośród wielu specyfikacji, które zresztą oferują tylko częściowe zabezpieczenie. Można tu wymienić takie znane standardy jak SMTP/TLS (SMTP over Transport Layer Security), SPF (Sender Policy Framework), SMIME (Secure MIME), SIDF (Microsoft SenderID Framework), a także mechanizmy szyfrowania, jak PGP (Pretty Good Privacy), GnuPGP i wiele innych.
Niechęć, niewiedza, czy lekceważenie
wszystkich infekcji powo-dują zagrożenia, rozprzes-trzeniające się za pośrednic-twem poczty elektronicznej.
Większość użytkowników firmowych systemów poczty elektronicznej przyjmuje założenie, że skoro są one obsługiwane przez profesjonalny personel IT i należą do korporacyjnej infrastruktury IT, to poziom zabezpieczeń jest odpowiednio wysoki i swobodnie posługują się pocztą. Ale w większości przedsiębiorstw, nawet jeśli wdrożone zostały mechanizmy kontroli i zabezpieczania poczty elektronicznej, to z reguły funkcjonują one tylko w obszarze wewnętrznym, a listy wysyłane poza granice tego systemu IT są otwarte i dostępne dla każdego. W praktyce dwa najpopularniejsze rozwiązania, czyli SMTP/TLS i S/MIME są wykorzystywane do zabezpieczania tylko nikłego procentu wszystkich listów przesyłanych w Internecie.
Na razie wciąż nie widać alternatywy dla SMTP - protokołu, który z zasady nie udostępnia żadnych mechanizmów zabezpieczeń, a jednocześnie jest najpopularniejszym domyślnym protokołem, wykorzystywanym przez każdy system poczty elektronicznej.
Może wojsko przyjdzie na ratunek
Technologie wojskowe z reguły po pewnym czasie trafiają na rynek cywilny, często wnosząc nową jakość. Na razie trudno przewidzieć, czy będzie tak z systemami do bezpiecznego przesyłania e-maili, które to systemy dopiero zaczynają być stosowane na skalę masową w wojskowych instytucjach USA i Wlk. Brytanii, jako efekt programu TSCP (Transglobal Secure Collaboration Program).
TSCP to program budowy bezpiecznych kanałów telekomunikacyjnych, zainicjowany po 11 września 2001 r. przez brytyjskie ministerstwo obrony we współpracy z analogiczną instytucją w USA. Choć nie jest to program otwarty i całkowicie jawny, to mogą do niego przystępować organizacje, instytucje rządowe lub prywatne firmy, jeśli oczywiście uzyskają zgodę. Jego członkami są obecnie BAE Systems, Boeing, EADS, Lockheed Martin, Northrop Grumman, Rolls-Royce, Raytheon oraz trzy ministerstwa obrony USA, Wlk. Brytanii i Holandii. Roczna opłata członkowska wynosi 400 tys. USD.
Pierwszym publicznie ujawnionym ostatnio efektem działań TSCP jest publikacja specyfikacji, określającej wymagania dla systemu bezpiecznego przesyłania poczty elektronicznej. Nie jest to przypadek, bo - jak mówi dyrektor TSCP Wayne Grundy -"e-mail został uznany za tak ważny kanał wymiany informacji, że jego zabezpieczenie uznano za zadanie priorytetowe". W efekcie publikacji tej specyfikacji, praktycznie każdy producent może opracować własne rozwiązania sprzętowe lub programowe, licząc na potencjalne zamówienia, niekoniecznie ze sfery wojskowej.
Trzeba przyznać, że opracowanie systemu do bezpiecznego przesyłania e-maili zajęło TSCP wyjątkowo dużo czasu, bo blisko 7 lat. Ale kolejnych efektów można się spodziewać znacznie szybciej, bo już przed końcem tego roku gotowa ma być specyfikacja systemu do bezpiecznego i szczegółowo kontrolowanego współdzielenia dokumentów, która w następnej kolejności ma objąć również pliki projektowe CAD/CAM.
Choć najwięcej uwagi skupia problem masowego spamu, którego udział w poczcie elektronicznej przesyłanej na świecie sięga 90%, to wciąż nie należy lekceważyć zagrożenia, jakie niosą wirusy rozprzestrzeniane za pomocą poczty elektronicznej, choć średnio tylko jeden lub aż jeden e-mail na 100 zawiera tego typu szkodliwy kod. Sposoby zabezpieczania przed takimi zagrożeniami mogą być różne, ale według IDC, coraz więcej korporacji zaczyna skłaniać się do wykorzystania systemów zabezpieczeń Internetu i e-maili, składających się zarówno z wewnętrznych rozwiązań, jak i dodatkowych usług firm zewnętrznych, które np. filtrują spam lub komunikatory internetowe.
Jak wynika z raportu IDC, następuje wyraźne przesunięcie inwestycji w systemy do zabezpieczania kanałów telekomunikacyjnych z oprogramowania (w 2006 r. miało ono 60% udziału w sprzedaży) w kierunku urządzeń typu appliance i usług. Obecnie już 38% dużych firm, zatrudniających ponad 10 tys. pracowników i 25% mniejszych, korzysta z usług zewnętrznych firm, zapewniających im dodatkową ochronę kanałów komunikacyjnych. Zdaniem analityków IDC, tendencja ta będzie się pogłębiać i już w 2011 r. względne udziały w tym segmencie będą wynosiły: 35% urządzenia appliance, 35% oprogramowanie i 30% usługi.