Я часто и жестко критикую Google, но считаю, что компания совершенно права в своем стремлении шифровать сообщения электронной почты, покидающие пределы домена, чтобы защитить их содержимое при передаче по каналам связи. По мере все более широкого внедрения «облачных» служб увеличивается число сообщений, передаваемых по Интернету, и многие сообщения пересылаются в простом текстовом формате. Представители служб, названия которых состоят из трех букв, возможно, не будут тратить времени на их чтение, но кому-то другому они могут показаться интересными. В этой ситуации ваш долг — позаботиться о пользователях.
Такие крупные средства массовой информации, как «Вашингтон пост» (как житель Ирландии, я ежедневно читаю эту газету), с большим интересом восприняли недавнее объявление Google о намерении публично и сурово осуждать домены электронной почты, в которых не шифруются входящие и исходящие SMTP-соединения через протокол TLS. Компания стремится защитить почтовые сообщения в процессе передачи и помешать перехвату сообщений, обычно пересекающих границы между доменами Интернета.
Google организовала сайт, на котором можно ознакомиться с данными, собранными специалистами компании, и выяснить, какой процент трафика шифруется типичными доменами в процессе передачи. Данные интересные и наводят на размышления.
Я одобряю эту инициативу Google: несомненно, в интересах каждого из нас защитить конфиденциальность, отказавшись от передачи электронной почты открытым текстом. Конечно, некоторые опытные пользователи уже предприняли необходимые шаги для защиты конфиденциальности, шифруя текст сообщений с помощью PGP или S/MIME, но большинство просто не понимает, что чего-то недостает. Ведь поставщики «облачных» услуг уверяют нас, что электронная почта — типовая услуга.
Существует много причин, объясняющих, почему компании работают с почтовыми серверами без протокола TLS. Иногда это стоимость приобретения сертификатов, необходимых для использования TLS. Иногда почти забытые старые серверы остаются в неизменном состоянии, но используются приложениями или сотрудниками для передачи почтовых сообщений. А порой сказываются опасения, что применение TLS нарушит деловое взаимодействие между компаниями, так как другие администраторы не защищают свои домены.
В любом случае, разоблачения PRISM и последовавшие за ними дискуссии свидетельствуют о том, что настало время проверить, надежно ли защищена электронная почта компании, и выяснить причины обнаруженных пробелов. Exchange давно поддерживает «безопасность домена» для защиты SMTP-трафика между определенными доменами. Эта функция часто используется для безопасной передачи информации между партнерскими организациями. В более общем плане компания Microsoft усовершенствовала защиту в Exchange 2013, расширив применение протокола TLS для передачи сообщений: самозаверяющие сертификаты доступны для использования протоколом TLS на межсерверных соединениях; TLS применяется для защиты входящего трафика в Exchange, и Exchange автоматически пытается использовать TLS для исходящих SMTP-соединений. Такая же защита применяется в Exchange 2010, и протокол TLS может развертываться для SMTP-соединений Exchange 2007. Конечно, преимущества TLS полностью задействованы для защиты соединений в службе Exchange Online в Office 365.
Несмотря на достигнутые успехи, это лишь один шаг к защите конфиденциальности и безопасности электронной почты. Весь путь от клиента до конечного пункта доставки необходимо исследовать, чтобы определить уровень защиты содержимого сообщения. Требуется исследовать не только Exchange, Office 365 и Gmail. Каждое устройство, которое может принимать и инициировать SMTP-соединения от имени компании, должно быть проверено, как и клиенты, служащие для создания и чтения сообщений.
Возможно, ваша компания успешно пройдет проверку и выяснится, что все почтовые соединения надежно защищены. Но не исключено, что придется приложить немало труда и мириться с перерывами в работе, добиваясь приемлемого уровня защиты электронной почты. Конечно, «приемлемость» меняется от компании к компании и различна в разных отраслях и режимах применения нормативных актов. Имеет смысл задать некоторые вопросы, например, можно ли пересылать важную информацию по электронной почте и быть уверенным, что сообщения не будут перехвачены и прочитаны посторонними?
Новые технологии, такие как защита от утечки данных, помогут пользователям безопасно обращаться с конфиденциальной информацией, в частности, о кредитных картах. Но в действительности в сообщениях электронной почты передается гораздо больше конфиденциальной информации, чем считают руководители многих компаний.
Исследование исходящих SMTP-соединений с помощью анализатора сетевых протоколов, такого как WireShark, может помочь выяснить, как много конфиденциальной информации проходит через электронную почту. Возможно, ошеломляющий результат поможет вам сделать шаги в верном направлении. Не исключено даже, что ваша компания будет удалена из черного списка незашифрованных доменов электронной почты Google.