Bezpieczny e-mail? Wątpię...

Zbyt wiele rozwiązań, technologii i standardów utrudnia popularyzację bezpiecznych kanałów komunikacyjnych.

Zbyt wiele rozwiązań, technologii i standardów utrudnia popularyzację bezpiecznych kanałów komunikacyjnych.

Wykorzystywany powszechnie do dziś w wymianie informacji za pośrednictwem Internetu protokół SMTP powstał w 1982 r. Do dziś jednak problem bezpiecznej komunikacji w Internecie pozostaje nierozwiązany. Protokół SMTP został zaprojektowany i był początkowo wykorzystywany przez środowiska akademickie, gdzie poziom wzajemnego zaufania był stosunkowo wysoki i nie widać było potrzeby wprowadzania skomplikowanych zabezpieczeń, mechanizmów identyfikacji lub potwierdzania wiarygodności nadawcy/odbiorcy poczty elektronicznej. Ta wiara i zaufanie do innych już dawno znikła, gdy z Internetu zaczęły korzystać miliony, a nawet miliardy ludzi z najróżniejszych, często trudnych do zidentyfikowania środowisk, a poziom zaufania do użytkowników Internetu należy uznać za wątpliwy.

Choć już dość dawno pojawiły się koncepcje zabezpieczania i uwiarygodniania transmisji przy wykorzystaniu technik kryptograficznych, to jednak nawet nie koszty ich wdrożenia i utrudniona obsługa systemu, ale dodatkowe, często trudne do spełnienia wymagania na moc przetwarzania są największą barierą ich popularyzacji. Problemem jest też brak jednolitego standardu, i użytkownik musi sam wybierać spośród wielu specyfikacji, które zresztą oferują tylko częściowe zabezpieczenie. Można tu wymienić takie znane standardy jak SMTP/TLS (SMTP over Transport Layer Security), SPF (Sender Policy Framework), SMIME (Secure MIME), SIDF (Microsoft SenderID Framework), a także mechanizmy szyfrowania, jak PGP (Pretty Good Privacy), GnuPGP i wiele innych.

Niechęć, niewiedza, czy lekceważenie

90%

wszystkich infekcji powo-dują zagrożenia, rozprzes-trzeniające się za pośrednic-twem poczty elektronicznej.

Dwa podstawowe elementy, które leżą u źródeł problemów to brak standardowych, zintegrowanych mechanizmów autentykacji oraz szyfrowania. Autor e-maila może się podawać za kogo zechce, a treści z reguły są przesyłane jako otwarty tekst, podobnie jak w wypadku kartek pocztowych każdy kto uzyska do nich dostęp, może je nie tylko przeczytać, ale również zmodyfikować przekaz.

Większość użytkowników firmowych systemów poczty elektronicznej przyjmuje założenie, że skoro są one obsługiwane przez profesjonalny personel IT i należą do korporacyjnej infrastruktury IT, to poziom zabezpieczeń jest odpowiednio wysoki i swobodnie posługują się pocztą. Ale w większości przedsiębiorstw, nawet jeśli wdrożone zostały mechanizmy kontroli i zabezpieczania poczty elektronicznej, to z reguły funkcjonują one tylko w obszarze wewnętrznym, a listy wysyłane poza granice tego systemu IT są otwarte i dostępne dla każdego. W praktyce dwa najpopularniejsze rozwiązania, czyli SMTP/TLS i S/MIME są wykorzystywane do zabezpieczania tylko nikłego procentu wszystkich listów przesyłanych w Internecie.

Na razie wciąż nie widać alternatywy dla SMTP - protokołu, który z zasady nie udostępnia żadnych mechanizmów zabezpieczeń, a jednocześnie jest najpopularniejszym domyślnym protokołem, wykorzystywanym przez każdy system poczty elektronicznej.

Może wojsko przyjdzie na ratunek

Technologie wojskowe z reguły po pewnym czasie trafiają na rynek cywilny, często wnosząc nową jakość. Na razie trudno przewidzieć, czy będzie tak z systemami do bezpiecznego przesyłania e-maili, które to systemy dopiero zaczynają być stosowane na skalę masową w wojskowych instytucjach USA i Wlk. Brytanii, jako efekt programu TSCP (Transglobal Secure Collaboration Program).

TSCP to program budowy bezpiecznych kanałów telekomunikacyjnych, zainicjowany po 11 września 2001 r. przez brytyjskie ministerstwo obrony we współpracy z analogiczną instytucją w USA. Choć nie jest to program otwarty i całkowicie jawny, to mogą do niego przystępować organizacje, instytucje rządowe lub prywatne firmy, jeśli oczywiście uzyskają zgodę. Jego członkami są obecnie BAE Systems, Boeing, EADS, Lockheed Martin, Northrop Grumman, Rolls-Royce, Raytheon oraz trzy ministerstwa obrony USA, Wlk. Brytanii i Holandii. Roczna opłata członkowska wynosi 400 tys. USD.

Pierwszym publicznie ujawnionym ostatnio efektem działań TSCP jest publikacja specyfikacji, określającej wymagania dla systemu bezpiecznego przesyłania poczty elektronicznej. Nie jest to przypadek, bo - jak mówi dyrektor TSCP Wayne Grundy -"e-mail został uznany za tak ważny kanał wymiany informacji, że jego zabezpieczenie uznano za zadanie priorytetowe". W efekcie publikacji tej specyfikacji, praktycznie każdy producent może opracować własne rozwiązania sprzętowe lub programowe, licząc na potencjalne zamówienia, niekoniecznie ze sfery wojskowej.

Trzeba przyznać, że opracowanie systemu do bezpiecznego przesyłania e-maili zajęło TSCP wyjątkowo dużo czasu, bo blisko 7 lat. Ale kolejnych efektów można się spodziewać znacznie szybciej, bo już przed końcem tego roku gotowa ma być specyfikacja systemu do bezpiecznego i szczegółowo kontrolowanego współdzielenia dokumentów, która w następnej kolejności ma objąć również pliki projektowe CAD/CAM.

Ewolucja rynku zabezpieczania poczty

Choć najwięcej uwagi skupia problem masowego spamu, którego udział w poczcie elektronicznej przesyłanej na świecie sięga 90%, to wciąż nie należy lekceważyć zagrożenia, jakie niosą wirusy rozprzestrzeniane za pomocą poczty elektronicznej, choć średnio tylko jeden lub aż jeden e-mail na 100 zawiera tego typu szkodliwy kod. Sposoby zabezpieczania przed takimi zagrożeniami mogą być różne, ale według IDC, coraz więcej korporacji zaczyna skłaniać się do wykorzystania systemów zabezpieczeń Internetu i e-maili, składających się zarówno z wewnętrznych rozwiązań, jak i dodatkowych usług firm zewnętrznych, które np. filtrują spam lub komunikatory internetowe.

Jak wynika z raportu IDC, następuje wyraźne przesunięcie inwestycji w systemy do zabezpieczania kanałów telekomunikacyjnych z oprogramowania (w 2006 r. miało ono 60% udziału w sprzedaży) w kierunku urządzeń typu appliance i usług. Obecnie już 38% dużych firm, zatrudniających ponad 10 tys. pracowników i 25% mniejszych, korzysta z usług zewnętrznych firm, zapewniających im dodatkową ochronę kanałów komunikacyjnych. Zdaniem analityków IDC, tendencja ta będzie się pogłębiać i już w 2011 r. względne udziały w tym segmencie będą wynosiły: 35% urządzenia appliance, 35% oprogramowanie i 30% usługi.


TOP 200