E-mail: zabezpieczać czy nie zabezpieczać?

W środowisku korporacyjnym pierwszym przystankiem dla wiadomości e-mail jest prawdopodobnie wewnętrzny serwer pocztowy (obsługujący skrzynki odbiorcze pracowników). Następnie wewnętrzny serwer pocztowy podejmuje próbę nawiązania bezpośredniego połączenia z serwerem w domenie odbiorcy. Po stronie adresata poczta najczęściej jest obsługiwana przez ogólnodostępny serwer publiczny i dopiero później trafia na serwer odbiorcy, na którym znajduje się docelowa skrzynka odbiorcza.

Wiadomość e-mail może zostać przechwycona w każdym punkcie tego "łańcucha dostaw" przez dowolnego użytkownika z dostępem do tych serwerów, np. administratora serwera po stronie nadawcy, odbiorcy lub dostawcy internetu. Należy także wziąć pod uwagę możliwość włamania się przez cyberprzestępców na dowolny serwer z dostępem do internetu w celu kradzieży informacji.

Oczywiście, w przypadku, gdy użytkownik lub firma są znani z przekazywania ważnych informacji osobistych lub finansowych pocztą elektroniczną, stanowią doskonały cel ataku. Dlaczego więc mechanizmy szyfrowania nie są dotychczas normą w środowiskach korporacyjnych? Stosowane rozwiązania techniczne istniały przez wiele lat, zarówno w postaci komercyjnej, jak i w postaci open source. Mimo to nadal mogę policzyć na palcach jednej ręki otrzymane przeze mnie w ciągu roku zaszyfrowane wiadomości e-mail - pyta Ferguson.

W większości przypadków przyczyna słabego rozpowszechnienia mechanizmów szyfrowania leży w kosztach administracyjnych związanych z utworzeniem i utrzymaniem serwerów kluczy publicznych na poziomie korporacyjnym oraz zarządzaniu nimi. Na poziomie użytkownika fakt, że odbiorca nie napisanych jeszcze wiadomości e-mail powinien wstępnie się gdzieś zarejestrować i przekazać kopię swojego klucza publicznego nadawcy przez rozpoczęciem wymiany e-maili stanowił dla większości użytkowników wystarczający powód do zlekceważenia prywatności i kliknięcia przycisku "Wyślij".