Zabezpečte svůj základní komunikační prostředek

23. 10. 2023 | Jindřich Zechmeister

Říjen je vyhrazen kybernetické bezpečnosti, a to je ideální doba k zamyšlení nad tím, jak můžete zabezpečit svou běžnou pracovní komunikaci. Jedním z nejčastěji přehlížených rizik je elektronická pošta, kterou používáme denně k výměně citlivých informací. Tento článek vám nabídne rady, jak toto zabezpečení implementovat ve vaší firmě s minimálním úsilím.

E-maily: Padesát let stará technologie v éře kvantových počítačů

Je pozoruhodné, že první e-mail byl odeslán v síti ARPANET již v roce 1971. Tehdy nikdo nemohl tušit, že se stane hlavním prostředkem komunikace na desítky let dopředu a že se každodenně budeme potýkat s miliardami nevyžádaných zpráv.

Málokdo si uvědomuje, jak primitivní e-mailová komunikace je. Odesílatel může nastavit libovolnou adresu a jméno, a dál záleží jen na poštovních serverech, zda takovou zprávu odešlou a přijmou. E-mailová zpráva putuje internetem jako korespondenční lístek bez obálky, který si může přečíst každý, kdo ho dostane do rukou. Bez šifrovaného spojení lze přenášený obsah snadno číst. To může být problematické i po doručení zpráv na server příjemce, protože se stále jedná pouze o text.

Při odesílání e-mailu tedy odevzdáváte informace internetu a jen doufáte, že k nim nikdo nedostane a nezneužije je. Co kdyby bylo možné "zapečetit" zprávu vlastním elektronickým podpisem a tak mít jistotu, že ji přečte jen příjemce? Naštěstí elektronický podpis nabízí tuto možnost, a to jak pro podepisování, tak pro šifrování zpráv.

Sofistikované útoky prostřednictvím e-mailu

Odborníci z IT oddělení pečlivě pracují na boji s nevyžádanou poštou a podvodnými e-maily. Používají stále sofistikovanější nástroje jako SPF, DMARC nebo DKIM, které mají za úkol chránit e-mailovou komunikaci před paděláním odesilatele. Na druhou stranu, i "špatní hráči" mají přístup k těmto nástrojům a jejich podvodné zprávy se snaží co nejvěrohodněji vypadat. Útočníci neustále bojují s administrátory e-mailových serverů, kteří se snaží tyto zprávy identifikovat a odmítnout, ale tento zápas nikdy nekončí a některá podvodná zpráva vždy dorazí až k příjemci.

Nevyžádaná pošta už není jen záležitostí otravných reklamních e-mailů a vzkazů od "nigerijských princů v exilu", kteří slibují převod milionů dolarů (což už jen pobaví). Velká část nevyžádaných zpráv se snaží proniknout do firem prostřednictvím nepozorných zaměstnanců a způsobit škodu.

Jistě jste už obdrželi tzv. sextorsion e-mail, ve kterém vás vyhrožují zveřejněním kompromitujících informací či fotografií, získaných pomocí vaší webové kamery. Vyděrači chtějí samozřejmě peníze za mlčení. Vzpomeňte si také na falešné faktury, neexistující příkazy k exekuci či podvodné e-maily, údajně od policie (jak české, tak evropské). Tyto triky už ale dnes příliš nefungují.

Útočníci se nyní soustředí na konkrétní zaměstnance prostřednictvím tzv. spear phishingu. Například se účetnímu ve firmě může dostat falešná žádost o platbu, vystavená jménem ředitele. Nebo mohou v e-mailu pro platbu změnit číslo účtu. Bez elektronického podpisu byste nemuseli vědět, že se něco změnilo, ani byste neměli stoprocentní jistotu odesilatele.

Získejte znovu důvěru v e-mail díky elektronickému podpisu

Elektronický podpis poskytuje tři důležité garance: identitu odesílatele, původ a čas odeslání zprávy a záruku, že zpráva nebyla od odeslání změněna. Pro dosažení tohoto všeho je třeba mít digitální osobní certifikát S/MIME. S ním můžete zprávy i šifrovat, takže je čitelná jen pro příjemce a odesílatele. Podepisování zpráv probíhá automaticky a je podporováno všemi běžnými poštovními klienty (Outlook, Thunderbird, atd.).

Někteří zkušení uživatelé mohou namítnout, že získání S/MIME certifikátu a jeho nastavení na počítači může být složité. A ti nejzkušenější by možná poznamenali, že pro šifrování zpráv musí nejprve vyměnit certifikáty s příjemcem. Obojí je pravda, ale tyto problémy lze snadno vyřešit. Stačí zavést elektronický podpis ve firmě plošně a proces automatizovat.

Automatizace všeho je naše silná stránka

Nasazení S/MIME certifikátů po jednom je náročné, protože vyžaduje nastavení v počítači každého zaměstnance, což by bylo časově náročné. Celý proces od vydání podpisového certifikátu, přes jeho distribuci až po instalaci do poštovního klienta dokážeme automatizovat, stejně jako životní cyklus TLS certifikátů pro webové stránky.

Služba KeyTalk Secure Email umí vydávat, distribuovat a nastavovat certifikáty uživatelům pro jejich Outlook nebo mobilní zařízení. Vydání je zajištěno přes API certifikačních autorit, které získávají informace o uživatelích z Active Directory a tam také KeyTalk nahraje vydaný certifikát. KeyTalk klient pak S/MIME certifikát nastaví pro podepisování v poštovním klientovi zaměstnance, který nemusí vůbec nic dělat.

KeyTalk server může být nasazen ve vaší firmě jako on-premise řešení, nebo můžete využít jeho provoz jako cloudové SaaS služby. Pokud správce KeyTalk správně nakonfiguruje, uživatel (zaměstnanec) se nemusí o nic starat a ani si nevšimne, že mu byl v počítači nastaven a nainstalován S/MIME certifikát. Tímto způsobem lze snadno zavést podepisování a šifrování e-mailů v celé firmě, a přechod na S/MIME certifikáty proběhne nenápadně, bez rušení běžného provozu.

SSLmarket jako váš partner v oblasti bezpečnosti dat

SSLmarket od společnosti ZONER je partnerem KeyTalk a největší certifikační autority na světě, DigiCert. Máme k dispozici nejnovější nástroje pro správu certifikátů a automatizaci životního cyklu. Rádi vám pomůžeme, pokud máte nějaký uživatelský případ, o kterém byste se chtěli poradit. Neváhejte se na nás kdykoliv obrátit s žádostí o nezávaznou konzultaci.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz