Prova Gratuita!

Due parole che potrebbero costarti una fortuna: Data Breach (violazione dei dati)

Trovare il giusto equilibrio tra costi e benefici per la crittografia e-mail (parte 3)
06/07/2018
Il Futuro dell’e-mail – Alcune considerazioni sulla situazione attuale e le future evoluzioni.
17/07/2018

Una violazione dei dati (meglio nota come Data Breach) è la divulgazione intenzionale o involontaria di informazioni sensibili o private / confidenziali in un ambiente non affidabile. La norma ISO / IEC 27040 definisce una violazione dei dati come: compromissione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o illegale di dati protetti trasmessi, archiviati o elaborati in altro modo. (fonte: Wikipedia).

 

JP Morgan Chase, eBay, Yahoo e molti altri hanno sofferto di attacchi direttamente sui loro server contenenti milioni di record di dati personali, e questo succede ogni giorno anche a email non protette e non sicure. Un esempio: secondo il Financial Times, la società di gestione degli investimenti online di Londra, Nutmeg, ha riscontrato un errore di sistema di posta elettronica il 1 ° settembre 2015. La società ha dichiarato alla fonte, che un difetto nel codice ha comportato l’invio al destinatario sbagliato di un’e-mail contenente il tipo d’investimento e le informazioni finanziarie di oltre 30 account. Pur non includendo i dati bancari, il messaggio conteneva i nomi, gli indirizzi personali, i dettagli dell’investimento, le informazioni sugli asset e i dati sulla “propensione al rischio”, e come risultato, 32 clienti hanno visto pubblicare le loro informazioni personali al pubblico.

 

Secondo quanto riportato da Health IT Security, il Dipartimento della sanità pubblica del Massachusetts sta subendo forti critiche dopo aver potenzialmente esposto le informazioni di migliaia di pazienti. Nei reclami, viene riportato che il dipartimento ha violato le norme sulla protezione della privacy del paziente inviando e-mail con informazioni di identificazione personale a coloro che sono nel programma statale per l’uso della marijuana a scopo medico. La violazione dei dati e-mail ha reso pubbliche le informazioni personali dei pazienti, compresi i loro nomi completi e i numeri di registrazione al programma. Ai pazienti sono state inviate e-mail con l’oggetto contenente la comunicazione del loro inserimento nel programma per l’uso della marijuana a scopo medico. Dopo aver scoperto questa violazione dei dati, il dipartimento della salute pubblica ha tolto le informazioni sui pazienti e ha rivisto l’oggetto dell’e-mail.

 

Normalmente le e-mail vengono inviate utilizzando il protocollo SMTP (Simple Mail Transfer Protocol) che non crittografa il testo delle e-mail, in questo modo, la posta intercettata può essere letta facilmente da chiunque.

 

Sebbene le aziende possono tenere sotto controllo le loro reti interne, la divulgazione anche involontaria di dati sensibili può verificarsi tramite una semplice e-mail. Normalmente si utilizza una dichiarazione di non responsabilità per avvertire i lettori non autorizzati, ma la sua efficacia è tutta da dimostrare. Una volta che i dati riservati sono diventati pubblici, non è più possibile recuperarli.

Esistono altri modi per proteggere il traffico e-mail personale che includono l’abilitazione dell’autenticazione TLS nelle impostazioni della piattaforma utilizzata e l’uso di un servizio di posta elettronica crittografato come RMail. La funzione Modalità TLS automatica di RMail rileva se è disponibile una connessione protetta TLS in modo da recapitare il messaggio crittografato al destinatario tramite una connessione sicura. Nel caso TLS non sia disponibile, RMail converte l’e-mail originale e la invia come PDF crittografato AES a 256 bit sicuro, applicando la stessa protezione anche agli eventuali allegati.

 

Per documentare la conformità alle normative, è responsabilità dell’utente mettere in atto tutte le misure necessarie, il che significa che le aziende devono minimizzare l’esposizione il più possibile, soprattutto quando si inviano informazioni private, personali o riservate.

 

RMail offre un pacchetto di soluzioni che comprendono la modalità TLS automatica per la crittografia, la prova di consegna registrata e verificabile con marca temporale, ed è in grado di trasferire file di dati di grandi dimensioni (fino a 1 GB).

 

Non si può più temporeggiare, Con il GDPR (regolamento generale sulla protezione dei dati) definitivamente in vigore da 25 maggio 2018, le sanzioni per chi è inadempiente possono arrivare fino a € 20 milioni o il 4% delle entrate commerciali globali. È giunto il momento di agire.

Referenze

  1. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=en : General Data Protection Regulation
Giacomo Ariboni
Giacomo Ariboni
RMail specialist and R&D Manager at Francopost Srl, Passionate of travel, photography and good food. My new goal is to make RMail / RSign solutions a standard for the security of our digital communications and transactions.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *