I prodotti software di crittografia delle e-mail sono tecnologie di sicurezza specializzate nella tutela della riservatezza e dell’integrità di messaggi e-mail e allegati annessi, in transito o in archivio. Si tratta di una tecnologia di cui si parla da diversi anni ma oggi gli strumenti a disposizione sono più maturi e consolidati, semplificando notevolemente il processo di utilizzo.
Come funziona un software di crittografia delle mail
Un software di crittografia email tenta di contrastare i rischi provocati dalle intercettazioni delle informazioni in rete. A livello di impostazioni predefinite la posta elettronica generalmente è protetta da protocolli come l’SSL / TLS, ed è trasmessa in chiaro attraverso le reti locali e su Internet.
Di conseguenza, il contenuto dei messaggi di posta elettronica, così come i loro allegati, possono essere intercettati e letti da un hacker nella fase di transito tra il mittente e il destinatario (per non parlare delle vulnerabilità associate alle e-mail archiviate su un server). Ciò crea evidenti problemi quando i dati sensibili sono inviati via e-mail, anche solo tra due utenti all’interno della stessa organizzazione. Per infettare un host con un malware, infatti, è sufficiente intercettare un messaggio e-mail e la trasmissione di informazioni sensibili.
Perché oggi questo tipo di prodotti è fondamentale
Per contrastare questo tipo di rischi, le organizzazioni implementano un software di crittografia delle e-mail per criptare ogni messaggio di posta elettronica sensibile e allegati annessi (e in alcuni casi, ogni singola email) prima di inviarli. Sarà compito del destinatario poi decifrare i messaggi e gli allegati.
In passato la cifratura delle email per gli utenti era una procedura complessa: risultava difficile sia codificare che decriptare. Definire un sistema di gestione delle chiavi crittografate (Cryptographic Key Management – CKM) è stata una sfida non banale. Di conseguenza, spostando la complessità nel back end, i prodotti software di crittografia e-mail non hanno più avuto bisogno di semplificare le operation per il front end, riducendo anche le attività di formazione agli utenti.
Ci sono diverse formule di servizio e di prodotto per la crittografia della posta elettronica. Di seguito un elenco:
- Servizi di crittografia delle e-mail Web-based come, ad esempio, Sendinc and JumbleMe
- Servizi di sicurezza delle mail in hosting come, ad esempio, Hushmail, Countermail o Neomailbox
- Funzionalità di crittografia e-mail integrate nel client di posta elettronica
In questo articolo si andranno ad analizzare i prodotti software di crittografia e-mail che operano nell’ambito del sistema di posta elettronica di un’azienda invece di sostituirlo.
L’architettura del software di crittografia e-mail
Non esiste un’architettura standard per i prodotti di crittografia e-mail. Generalmente il cuore del prodotto è un software gateway che utilizza un sistema di cifratura basato su determinate policy, il che significa che un’organizzazione implementa una serie di politiche corrispondenti al tipo di e-mail che devono essere crittografate e a quali circostanze: ad esempio la crittografia automatica di qualsiasi e-mail in uscita che contiene informazioni sensibili personali o qualsiasi messaggio in uscita inviato da un utente a un gruppo particolare.
Alcuni prodotti forniscono un client di crittografia e-mail che deve essere installato su desktop, notebook e dispositivi mobili degli utenti.
Questo client può utilizzare un sistema di crittografia basato su policy, consentendo agli utenti di scegliere quali messaggi di posta elettronica criptare, oppure può fare entrambe le cose: imporre la crittografia per alcune e-mail rendendo facoltativa la procedura per altre tipologie a seconda della richiesta dell’utente.
Il client può fornire anche una protezione per la posta elettronica partendo dall’endpoint, invece che dal gateway di posta, andando così a contrastare le minacce direttamente sul client di rete locale.
Gli esperti sottolineano però come non sia fondamentale andare a installare questo client sul sistema dei destinatari in quanto è disponibile un’interfaccia basata su Web che effettua la decriptazione e la lettura dei messaggi di posta elettronica crittografati. A volte questo tipo di interfaccia basata su Web è ospitato dal provider che effettua gli invii; altre volte è un servizio basato su cloud offerto dal fornitore del software di crittografia e-mail.
Ambienti adatti per la crittografia e-mail
Un software di crittografia e-mail è generalmente destinato ad ambienti che ospitano i propri servizi di posta elettronica. Così le organizzazioni che esternalizzano il servizio e-mail – il che succede per molte piccole imprese – probabilmente non può utilizzare il tipo di software di crittografia email sopradescritto. Tali organizzazioni devono contattare il proprio provider di servizi e-mail per valutare se e quali opzioni di cifratura siano supporte.
Qualsiasi organizzazione che gestisce in autonomia l’hosting dei servizi di posta elettronica probabilmente già beneficia di software di crittografia e-mail.
Praticamente ogni impresa trasmette i dati sensibili quando usa la posta elettronica e sono proprie questo tipo di trasmissioni che, anche solo accidentalmente, possono causare violazioni dei dati che costano a una società molto più di una soluzione software di crittografia e-mail.
Le differenze di costo
Uno dei motivi per cui ii software di crittografia e-mail sono diventati così popolari dipende dal fatto che spesso questo tipo di prodotti è meno costoso rispetto all’adozione e all’implementazione di altri prodotti alternativi.
Innanzitutto va detto che i software di cifratura della posta elettronica in genere non richiedono all’organizzazione di predisporre un’infrastruttura di chiave pubblica (PKI), la cui creazione e il cui mantenimento possono risultare costosi.
Secondo punto a favore è il tipo di funzionamento che, lavorando sul back end, fa risparmiare sulla formazione degli utenti. Se deve essere eseguito un processo di crittografia lato client, tuttavia, può essere richiesta un’attività di training della durata di circa 15 a 30 minuti.
Il costo fisso rimane la concessione delle licenze software, tipicamente contabilizzato in base al numero degli account di posta. Se poi si desidera usufruire anche di una crittografia lato client vanno conteggiati ulteriori voci di spesa relativi all’installazione del software client su tutti i desktop e i laptop coinvolti.
Infine ci sono tutti i costi legati alla manutenzione del software di crittografia e-mail e del supporto tecnico agli utenti. Gli sperti, infatti, sottolineano come sia molto importante tenere a mente tutti questi dettagli di costo, spesso troppo sottovalutati.
