Небяспечна адпраўляць банкаўскую інфармацыю па электроннай пошце без дадатковага шыфравання. Вы ніколі не павінны адпраўляць канфідэнцыйную асабістую інфармацыю без дадатковага шыфравання.

Прывітанне, я Аарон, спецыяліст па інфармацыйнай бяспецы з амаль дваццацігадовым вопытам забеспячэння бяспекі людзей і іх інфармацыі ў Інтэрнэце. Я выкарыстоўваю электронную пошту для многіх рэчаў, уключаючы адпраўку канфідэнцыйных даных, але раблю гэта бяспечна і бяспечна.

У гэтым артыкуле я растлумачу, чаму гэта жудасная ідэя адпраўляць канфідэнцыяльную інфармацыю ў незашыфраваным выглядзе, што вы можаце зрабіць, каб зрабіць гэта больш бяспечным, і альтэрнатывы для перадачы гэтых даных.

Ключавыя высновы

• Электронныя лісты не зашыфраваны, яны проста адрасаваны камусьці.
• Калі вы дасылаеце інфармацыю ў незашыфраваным выглядзе і электронны ліст адкрывае нехта, хто не з'яўляецца прызначаным атрымальнікам, тады чалавек, які чытае электронны ліст, будзе мець вашу інфармацыю.
• Ёсць мноства варыянтаў бяспечнай адпраўкі інфармацыі.
• Заўсёды ацэньвайце, чаму вам трэба адправіць канфідэнцыяльную інфармацыю і як гэта зрабіць, перш чым вы гэта зробіце.

Чаму дрэнная ідэя адпраўляць канфідэнцыяльную інфармацыю ў незашыфраваным выглядзе

Як асноватворным пытаннем, давайце абмяркуем, як працуе электронная пошта, што падкрэсліць, чаму гэта дрэнная ідэя, каб адправіць канфідэнцыяльную інфармацыю, напрыклад банкаўскую інфармацыю.

Калі вы набіраеце электронны ліст, ён набіраецца ў выглядзе тэксту, які чытаецца чалавекам, або адкрытага тэксту . Гэта мае сэнс, як яшчэ вы даведаецеся, штоты друкуеш?

Затым вы націскаеце кнопку "Адправіць", і ваш правайдэр электроннай пошты звычайна заварочвае электронны ліст у чысты тэкст у форму шыфравання, званую шыфраваннем бяспекі транспартнага ўзроўню (TLS) . Такое шыфраванне выкарыстоўвае сертыфікат для стварэння праверанага і бяспечнага злучэння. Аднак сама электронная пошта ніколі не шыфруецца – яна заўсёды захоўваецца ў адкрытым тэксце.

Існуе некалькі спосабаў ініцыяваць так званую атаку Man In The Middle Attack , якая ўплывае на шыфраванне TLS. Атака "Чалавек у сярэдзіне" - гэта сітуацыя, калі нехта выдае сябе за законнага атрымальніка інтэрнэт-трафіку, запісвае гэтую інфармацыю, а затым перадае сувязь. Для канчатковых карыстальнікаў гэта можа выглядаць як надзейнае злучэнне.

Ёсць нават шэраг законных службаў, якія робяць гэта. Напрыклад, калі вы працуеце ў буйной карпарацыі, вельмі верагодна, што яны расшыфруюць усё шыфраванне TLS на сваіх брандмаўэрах, каб вызначыць, ці адпраўляюцца іх канфідэнцыяльныя даныя ў іншае месца. Гэта асноўная частка большасці рашэнняў па прадухіленні страты даных (DLP).

Такім чынам, калі вы адпраўляеце што-небудзь па электроннай пошце, вельмі верагодна, што нехта, хто не з'яўляецца прамым атрымальнікам, можа атрымаць доступ да тэксту вашага электронная пошта. Калі вы адпраўляеце па электроннай пошце канфідэнцыяльную асабістую інфармацыю, напрыклад вашу банкаўскую інфармацыю, кожны, хто мае доступ да электроннай пошты, можа прачытаць гэтую інфармацыю. Калі вы клапоціцеся пра канфідэнцыяльнасць гэтай інфармацыі, вы не хочаце адпраўляць яе па электроннай пошцеадкрытым тэкстам.

Як не рабіць электронную пошту адкрытым тэкстам?

Ёсць некалькі спосабаў перадачы канфідэнцыйнай інфармацыі, якая не знаходзіцца ў адкрытым тэксце. Яны могуць дадаць складанасці таму, што вы спрабуеце зрабіць. Ці лічыце вы, што дадатковая складанасць каштоўная, вырашаць вам, зыходзячы з тыпу даных, якія вы адпраўляеце, і рызык злоўжывання гэтай інфармацыяй.

Ці ёсць у вашага атрымальніка вэб-партал або дадатак?

Калі вас просяць перадаць канфідэнцыяльную інфармацыю, і вы дастаткова давяраеце атрымальніку, каб адправіць інфармацыю, спытайце ў яго, ці ёсць у яго бяспечны вэб-партал або вэб-прыкладанне для загрузкі інфармацыі.

Ці можа ваш атрымальнік забяспечыць бяспечную электронную пошту?

Калі ваш атрымальнік не мае абароненага вэб-партала або вэб-праграмы для атрымання канфідэнцыйнай інфармацыі, у яго можа быць абароненая платформа электроннай пошты, такая як Proofpoint, Mimecast або Zix. Гэтыя бяспечныя платформы выкарыстоўваюць зашыфраваны сервер для захоўвання даных, а затым адпраўляюць спасылкі на інфармацыю па электроннай пошце. Гэтыя спасылкі патрабуюць наладжвання імя карыстальніка і пароля на сервер, звязаны з вашым адрасам электроннай пошты.

Калі не, магчыма, вам спатрэбіцца сціснуць яго

Калі ваш атрымальнік не можа гарантаваць бяспечную перадачу, вам можа спатрэбіцца ўзяць справу ў свае рукі. Самы просты спосаб зрабіць гэта - выкарыстаць такую ​​праграму, як WinRAR або 7zip, каб заархіваваць файл і абараніць яго паролем.

Для гэтага спампуйце і ўсталюйце праграму для архіваваннявыбар. Я выкарыстоўваю 7zip.

Крок 1: пстрыкніце правай кнопкай мышы на файле, які вы хочаце сціснуць у zip-архіў. Пстрыкніце левай кнопкай мышы меню 7-zip.

Крок 2: Пстрыкніце левай кнопкай мышы Дадаць у архіў.

Крок 3: Увядзіце пароль і націсніце OK.

Падумайце, чаму вы дзеліцеся інфармацыяй

У звычайным паўсядзённым жыцці вам не трэба будзе дзяліцца сваёй банкаўскай інфармацыяй або падобнымі канфідэнцыяльнымі дадзенымі. Часам змякчаючыя абставіны могуць выклікаць абмен гэтай інфармацыяй.

Калі вас просяць падзяліцца такой інфармацыяй, ацаніце абставіны, звязаныя з гэтым. Вы размаўляеце з надзейнай крыніцай, з якой вы павінны дзяліцца дадзенымі? Ці вы рэагуеце на «надзвычайную сітуацыю», калі вас прымушаюць хутка даць вашу інфармацыю?

Давярайце сваім інстынктам: калі вы турбуецеся аб абмене канфідэнцыйнай інфармацыяй, то вам не варта дзяліцца канфідэнцыяльнай інфармацыяй .

Любая законная арганізацыя, якая законна запытвае інфармацыю, будзе працаваць з вамі, каб забяспечыць бяспечную перадачу гэтай інфармацыі. Той, хто адмаўляецца дапамагчы вам пацвердзіць сваю патрэбу ў вашай інфармацыі і дапамагчы вам яе бяспечна перадаць, верагодна, нелегітымны.

Часта задаюць пытанні

Давайце разгледзім некаторыя распаўсюджаныя пытанні аб абмене канфідэнцыйнай інфармацыяй у інтэрнэце.

Ці бяспечна адпраўляць банкаўскую інфармацыю па SMS?

Не. Ніхто на законных падставах не будзе прасіць у вас вашбанкаўская інфармацыя ў тэкставым выглядзе. Акрамя таго, у той час як аператары сотавай сувязі забяспечваюць зашыфраваныя сотавыя злучэнні, можна перахопліваць інфармацыю, і ўся інфармацыя адпраўляецца праз адкрыты тэкст (падобна электроннай пошце).

Ці бяспечна адпраўляць банкаўскую інфармацыю праз WhatsApp?

Не. Ніхто не будзе на законных падставах запытваць у вас вашу банкаўскую інфармацыю праз WhatsApp. З улікам сказанага, WhatsApp мае шыфраванне "кропка-кропка", таму, калі вы адправіце сваю інфармацыю (чаго не варта рабіць), малаверагодна, што нехта іншы зможа праглядзець гэтую інфармацыю.

Ці бяспечна адпраўляць банкаўскую інфармацыю праз Messenger?

Не. Ніхто не будзе на законных падставах запытваць у вас вашу банкаўскую інфармацыю праз Messenger. Нягледзячы на ​​тое, што Messenger забяспечвае зашыфраваную перадачу, Meta пабудавала свой бізнес вакол продажу інфармацыі сваіх карыстальнікаў. Яго дзелавая практыка павінна прымусіць карыстальнікаў сур'ёзна сумнявацца ў пачуцці прыватнасці пры выкарыстанні любых сэрвісаў на платформе Meta.

Выснова

Небяспечна адпраўляць банкаўскую інфармацыю па электроннай пошце. Калі вы лічыце, што вам трэба, прыміце меры, каб пацвердзіць законнасць запыту і абараніць інфармацыю, каб яна не была страчана або скрадзена.

Якія яшчэ крокі вы робіце для абароны інфармацыі, якую адпраўляеце па электроннай пошце? Дайце нам ведаць у каментарах!