Przyspieszone pandemią upowszechnienie komunikacji elektronicznej nie idzie w parze z bezpieczeństwem danych. Choć w internecie i mediach dostępnych jest sporo specjalistycznych opracowań zagadnień związanych z cyberbezpieczeństwem i równie dużo informacji o wyciekach danych, nadal wielu prawników korzysta z bezpłatnych, w zasadzie niezabezpieczonych kont pocztowych czy słabo chronionych chmur, a wymieniając sprzęt ? nie niszczy trwale danych uprzednio na nim zapisanych.
Paweł Tomczyk
ekspert ds. bezpieczeństwa i cyberbezpieczeństwa, Sekkura
Fot. Archiwum P. Tomczyka/LinkedIn
Kamila Lewandowska-Winiarska
ekspert ds. marketingu i komunikacji, Sekkura
Fot. Archiwum K. Lewandowskiej/LinkedIn
Jeśli już decydujemy się na skrzynkę bezpłatną, warto zapoznać się z kilkoma parametrami, innymi niż tylko jej maksymalna pojemność. Według danych firmy Gemius udziały w polskim rynku dostawców poczty e-mail w 2019 r. kształtowały się następująco:
- Gmail (Google) ? 8,708 mln użytkowników,
- WP.pl ? 7,055 mln użytkowników,
- Onet.pl ? 4,342 mln użytkowników,
- O2.pl ? 2,834 mln użytkowników,
- Interia.pl ? 2,731 mln użytkowników,
- Gazeta.pl ? 0,274 mln użytkowników,
- Yahoo.com ? 0,182 mln użytkowników.
Jeśli chodzi o stopień bezpieczeństwa, to ranking wygląda podobnie do liczby użytkowników. Najbezpieczniejsze jest konto pocztowe Gmail. Umożliwia proste skonfigurowanie uwierzytelniania dwuetapowego, np. przy pomocy aplikacji Google Authenticator, ale również oferuje rozwiązania sprzętowe oraz kilka innych, zależnych od naszych preferencji, sposobów uwierzytelniania. Ponadto przechowuje adresy IP, z których nastąpiło logowanie na konto pocztowe. Charakteryzuje się też najlepszym filtrem antyspamowym i niestety całkowitym brakiem prywatności. Zakładając konto na Gmail, musimy pamiętać o ręcznym wyłączeniu wszystkich opcji umożliwiających zbieranie danych. Wedle oficjalnych źródeł (Google) tak, jest to wystarczające. Jako praktycy przyjmujemy, że wszystkie e-maile są analizowane przez tzw. robaki Google?a pod kątem wyszukiwania słów kluczowych, na których podstawie wyszukiwarka dostarcza użytkownikom spersonalizowane reklamy.
Jeśli rozpatrujemy bezpieczeństwo logowania, na drugim miejscu plasują się konta pocztowe oferowane przez serwisy WP.pl i O2.pl (od pewnego czasu to ten sam dostawca poczty). W ich przypadku logowanie jest również dwustopniowe i można je skonfigurować przy pomocy aplikacji 1login.
Nieco inna sytuacja dotyczy poczty oferowanej przez Onet.pl. Tu do potwierdzenia wiarygodności używany jest mechanizm reCAPTCHA. Nie daje on takiej pewności jak uwierzytelnianie dwustopniowe, ale z drugiej strony wymusza aktywność użytkownika lub osoby próbującej uzyskać dostęp przy każdym logowaniu. Po trzykrotnie źle podanym haśle możliwość logowania blokowana jest na ok. 15 min. Znane są jednak systemy, które umożliwiają obejście tego ograniczenia.
W przypadku konta pocztowego oferowanego przez portal Interia.pl użytkowników ratuje dobre (trudne do złamania) hasło oraz świadomość i uważność na phishing. Dodatkowo, zarówno korzystając z konta pocztowego w serwisie Interia, jak i kont oferowanych przez WP.pl/O2.pl oraz Onet.pl, musimy być przygotowani na zalewające nas reklamy.
Włamania na konta pocztowe
Najczęściej mamy do czynienia z tzw. phishingiem, czyli wyłudzaniem danych, w tym haseł. W wiadomości e-mail lub SMS jesteśmy proszeni o potwierdzenie hasła, loginu lub innych danych. Biorąc pod uwagę wzrost aktywności online ? nie tylko biznesowej, lecz także codziennej (jak przelewy czy zakupy) ? oraz coraz doskonalsze wiadomości, jeśli chodzi o treści i grafikę czy wiarygodnie wyglądające linki przekierowujące do fałszywych stron z formularzami, jest to obecnie jedna ze skuteczniejszych metod pozyskiwania danych. Jedynym remedium jest uważność i nieklikanie automatycznie w otrzymane wiadomości.
Dostęp do naszych kont pocztowych jest także możliwy, jeśli się z nich nie wylogujemy po zakończeniu pracy. Nie wszystkie programy pocztowe wylogowują nas automatycznie, niektóre dopiero po jakimś czasie, dlatego warto wyrobić w sobie ten nawyk. Konsekwencje jego braku mogą być szczególnie niebezpieczne, jeśli korzysta się z ogólnodostępnego urządzenia, dlatego najlepiej nigdy nie logować się do poczty na ogólnodostępnych komputerach.
Podobnie sytuacja wygląda w przypadku korzystania z niezabezpieczonych, ogólnodostępnych sieci Wi-Fi, w których przypadku hakerom szczególnie łatwo jest przechwycić loginy i hasła. Najlepiej korzystać tylko z zaufanych sieci, zabezpieczonych hasłem lub dla większej ochrony połączyć się przez wirtualną sieć prywatną (VPN).
Pamiętajmy, że spamerzy zbierają adresy e-mail. Jeśli więc nasz adres zostanie podany w ogólnodostępnych miejscach w sieci ? na przykład na blogach czy w ogłoszeniach o pracę, częstotliwość otrzymywania spamu,
w tym wiadomości, których celem jest wyłudzanie naszych danych ? wzrasta. Najlepszym rozwiązaniem jest używanie tak zwanego spam konta, dowolnego, bezpłatnego konta pocztowego, które możemy podawać w celu uzyskania dostępu do materiału ?za podaniem e-maila? lub do rejestracji na forach czy pozostawiania komentarza na blogach.
Przechwytywanie wiadomości e-mail w trakcie przesyłania ? szyfrowanie
Używana infrastruktura wiadomości z założenia nie jest bezpieczna. Chociaż większość ludzi używających poczty elektronicznej łączy się ze swoimi serwerami pocztowymi, używając bezpiecznego połączenia (SSL), niektóre serwery pozwalają na niezabezpieczony dostęp. Ponadto, gdy wiadomość od nadawcy do odbiorcy przechodzi przez tor transmisyjny serwera, połączenia pomiędzy serwerami nie muszą być bezpieczne. Oznacza to, że w trakcie transmisji istnieje możliwość przechwycenia i przeczytania wiadomości przez osoby trzecie. Aby temu zapobiec, warto szyfrować wysyłane wiadomości e-mail.
Jak to zrobić? Rozwiązań jest kilka. Jednym z wartych uwagi jest zarejestrowany w Szwajcarii system ProtonMail, którego wszystkie serwery zlokalizowane są również w tym kraju i podlegają dość surowemu prawu ochrony danych. Do zabezpieczenia wiadomości używane jest szyfrowanie end-to-end po stronie klienta, co oznacza, że nawet właściciele serwisu nie są w stanie odszyfrować i przeczytać wiadomości ani przekazać ich stronom trzecim. Samo założenie bezpiecznego konta e-mail nie wymaga podawania żadnych danych osobowych, a system może być używany na dowolnym urządzeniu, bez instalacji oprogramowania. Bezpieczne konta ProtonMail są w pełni kompatybilne
z innymi dostawcami poczty e-mail. Zaletą tego rozwiązania jest bezpieczna komunikacja nawet z użytkownikami spoza systemu dzięki zastosowaniu tzw. szyfrowania symetrycznego. Osoba nieposiadająca konta ProtonMail otrzymuje odnośnik do zaszyfrowanej wiadomości, która może zostać odszyfrowana jedynie przy użyciu ustalonego wcześniej hasła. Możliwe jest również wysyłanie zwykłych, niezaszyfrowanych wiadomości do adresatów kont Gmail, Yahoo, Outlook i innych. Odpłatna wersja ProtonMail oferuje większą powierzchnię dyskową na e-maile.
Na nieco innej zasadzie działa polski produkt Cypherdog, który zawiera cztery funkcjonalności ? pozwala na wysyłanie zaszyfrowanych plików dowolnej wielkości, szyfrowanie lokalne plików i folderów, szyfrowany synchronizowany storage w chmurze oraz bezpieczny komunikator tekstowy i głosowy. Rozwiązanie składa się z aplikacji desktopowej ? do wysyłania i odbierania plików na komputerze osobistym (notebooku albo desktopie), połączonym z komunikatorem pracującym pod kontrolą Windows, Linux albo iOS. Oprócz tego do dyspozycji jest także komunikator mobilny, który występuje w wersji Android i iOS. Jedną z najistotniejszych gwarancji bezpieczeństwa rozwiązania jest brak tzw. zaufanej trzeciej strony (Google, Microsoft, Facebook, teleoperator czy też wystawca certyfikatu bezpieczeństwa) oraz stosowanie klucza prywatnego do szyfrowania, do którego dostęp ma tylko użytkownik narzędzia.
Wiadomości e-mail można również szyfrować bezpośrednio w programie pocztowym, jak na przykład ThunderBird. Wymaga to doinstalowania dodatku Enigmail oraz GPG?GNU Privacy Guard, bezpłatnej aplikacja implementującej tzw. PGP. Co ważne, począwszy od wersji 78 Thunderbird, zawiera ona wbudowaną technologię szyfrowania OpenPGP, więc dodatek Enigmail nie jest już potrzebny. Do szyfrowania wiadomości używany jest system kryptografii asymetrycznej, w którym każdy uczestnik ma dwa różne klucze: publiczny i prywatny. Gdy ktoś chce przesłać zaszyfrowaną wiadomość, musi użyć swojego klucza publicznego, by wygenerować algorytm szyfrujący. Odbiorca wiadomości, by ją odszyfrować, musi użyć swojego klucza prywatnego. Kluczami publicznymi można wymienić się na kilka sposobów, np. przez skanowanie wygenerowanego kodu QR lub wysyłając taki klucz e-mailem.