Использование электронной почты для конфиденциального обмена информацией
Не любого легко убедить, что сообщения электронной почты являются электронным эквивалентом почтовых открыток. Информация, которая передается через Internet, проходит в виде читабельных байтов, доступных каждому, кто может их считать. Поскольку трафик проходит от одной сети к другой, вероятность того, что кто-нибудь прочитает сообщение, увеличивается. Кроме того, если сообщение по ошибке попадает не в тот почтовый ящик, то можно непреднамеренно раскрыть информацию, которую раскрывать нельзя.
После того, как сообщение покидает систему, отправитель не может контролировать, кто может прочитать сообщение, и даже не знает, попало ли оно по назначению. По этой причине некоторые организации создают правила, которые не разрешают отправлять по электронной почте конфиденциальную или патентованную информацию. В других организациях принимают правила, разрешающие пользователям пересылать конфиденциальную информацию только внутри организации, но запрещающие отправлять такую информацию сторонним пользователям.
Шифрование электронной почты
Третьим вариантом является разработка правила, требующего шифровать перед отправлением конфиденциальную и патентованную информацию. Зашифрованное сообщение может быть прочитано только тем получателем, кому оно предназначено. Однако, использовать шифрование и оперировать им нужно обдуманно. Существует много вопросов, таких как распределение ключей, возврат ключей и ограничение пересылки ключей, которые выходят за рамки правил работы с электронной почтой. Несмотря на то, что правила шифрования будут рассмотрены позже (см. главу 9 "Шифрование"), в правила безопасности электронной почты можно включить формулировку, подобную следующей.
Патентованная информация, отправляемая сторонним пользователям, должна шифроваться перед отправлением. Использовать шифрование нужно, руководствуясь действующими в организации правилами шифрования информации.
Цифровая подпись электронной почты
Еще одна особенность в использовании электронной почты заключается в том, что сообщение может быть сформировано, не показывая реального отправителя. Это называется спуфингом или имитацией соединения. Несмотря на то, что он используется теми, кто отправляет по собственной инициативе большое количество незатребованных сообщений (широковещательная рассылка сообщений), этот метод можно также использовать в качестве средства промышленного шпионажа. По такому сценарию сообщения отправляются пользователям организации так, будто они приходят из знакомого источника, пытаясь спровоцировать пользователей на отправку в ответ патентованной информации.
Пользователи могут установить контакт с подозрительным адресатом, запрашивающим информацию, чтобы убедиться в том, что запрос отправлен именно этим пользователем. Но культура электронной почты настолько доверительна, что такую операцию выполняют очень редко. Единственный способ гарантировать, что сообщение является корректным запросом, – сопроводить сообщение цифровой подписью. Цифровые подписи являются составной частью системы шифрования, которая использует криптографические алгоритмы для создания числовой величины, уникальной для вашего сообщения. Как и шифрование, правила управления цифровыми подписями лучше ввести в документы правил шифрования. Опять-таки, можно вставить дежурную формулировку в правила безопасности.
Любой запрос на патентованную информацию должен сопровождаться цифровой подписью, и зта подпись должна сверяться.
Пользователи, пересылающие патентованную или секретную информацию, должны "подписывать" сообщения цифровой подписью, чтобы продемонстрировать получателю, что сообщение, легитимно и зарегистрировано.
Использование цифровой подписи должно осуществляться в соответствии с принятыми в организации правилами шифрования.