Codziennie z naszego konta wysyłamy w świat internetu dziesiątki wiadomości, które mijają się po drodze z nie mniejszą (a często – co gorsza – dużo większą) liczbą innych e-maili podążających do nas.
Prawnicy wiedzą najlepiej, ile takich wiadomości zawiera dane szczególnie wrażliwe, np. dotyczące spraw ich klientów lub samej kancelarii. Nie każdy zdaje sobie jednak sprawę z tego, że korespondencja elektroniczna może nie zapewniać podstawowych wyznaczników bezpieczeństwa, czyli poufności, integralności i autentyczności.
Najbardziej popularne protokoły komunikacji wykorzystywane do dzisiaj przez e-mail (SMTP i POP3/IMAP) zostały stworzone kilkadziesiąt lat temu i w zasadzie nie zmieniły się od lat 80. XX w. Tak jak wtedy, tak i dzisiaj nasze wiadomości są przesyłane zatem w trybie tekstowym i bez żadnego szyfrowania. Oznacza to, że osoba, która przechwyci w sieci taką komunikację, będzie mogła bezpośrednio odczytać treść wiadomości i przejrzeć pliki załączników. A przechwycić e-mail może potencjalnie każdy atakujący (lub wirus), któremu uda się uzyskać dostęp do sieci wewnętrznej kancelarii. Z racji łatwości przeprowadzenia takiego ataku, a zarazem możliwości uzyskania dostępu do naprawdę cennych danych, jest to jeden z pierwszych kroków, które wykona potencjalny haker.
Trzeba mieć zatem świadomość, że przesyłanie danych i dokumentów zawierających informacje poufne wymaga zastosowania dodatkowych środków bezpieczeństwa. Przede wszystkim zalecam sprawdzenie (pomoc informatyka może być tutaj nieodzowna) możliwości wykorzystania protokołów szyfrowanych (IMAPS, SMTPS) do połączeń z serwerem pocztowym. Szyfrowanie użyte w tych połączeniach oparte jest na tej samej zasadzie, która wykorzystywana jest w bezpiecznym dostępie do stron WWW (HTTPS). Próba odszyfrowania takiego ruchu przez atakującego jest możliwa, ale wiązałaby się z wyświetleniem w programie pocztowym komunikatu o niepoprawnym certyfikacie zabezpieczającym – a to powinno zobligować użytkownika do kontaktu z administratorem.
Bardziej zaawansowaną metodą jest skorzystanie z szyfrowania z wykorzystaniem kluczy prywatnych i publicznych (PGP lub GPG). Zalecane jest ono zwłaszcza w sytuacjach, gdy odbiorcami naszych poufnych wiadomości jest stała grupa osób. Odbiorca bowiem w celu odszyfrowania wiadomości musi posiadać udostępniony mu wcześniej nasz klucz publiczny. Jest to rozwiązanie bardzo bezpieczne, ale nie wszystkie programy pocztowe umożliwiają łatwą obsługę kluczy PGP/GPG.
Najprostszym, a bardzo skutecznym rozwiązaniem jest przesyłanie wszystkich wrażliwych danych wyłącznie w postaci zaszyfrowanych załączników. Niektóre formaty plików (np. PDF) umożliwiają bezpośrednią ochronę zawartości za pomocą hasła, pozostałe najlepiej przesyłać w postaci pliku archiwum (np. ZIP lub RAR) skompresowanego z użyciem bezpiecznego hasła. Hasło dostępu do plików należy wtedy przekazać odbiorcy w inny sposób, np. za pośrednictwem wiadomości SMS. W tej sytuacji bezpieczeństwo danych w pliku załącznika zależy bezpośrednio od siły hasła użytego do szyfrowania. Ale to już temat, do którego powrócę niebawem...