Le vostre mail sono al sicuro?
Le vostre mail sono al sicuro?
Oggi le comunicazioni e i sistemi informatici sono sempre più messi in pericolo da attacchi esterni e anche se possiamo pensare di essere al sicuro perché riteniamo di aver adottato accorgimenti precisi, non lo siamo. Ormai le notizie si susseguono a ritmi incessanti, 500 milioni di account hackerati su Facebook, milioni di account hackerati su gmail, libero, o altri servizi e non riusciamo a capire che anche noi, nostro malgrado, inconsapevolmente, siamo coinvolti e diventiamo spesso veicolo di spammer e di malintenzionati che ci usano per scopi che noi non vorremmo nemmeno lontanamente sapere. Le cose si complicano molto quando poi parliamo di caselle di posta usate per motivi professionali e/o di lavoro considerando poi che il Garante per la Privacy ha cominciato a comminare sanzioni piuttosto severe che possono anche mettere in ginocchio una attività. Occorre proteggersi e per proteggersi occorre pensare cosa occorre fare a monte, non quando il disastro è avvenuto.
Per chi usa Gmail
Molti mi chiedono quale sia il servizio di posta elettronica più sicuro da utilizzare. Devo deluderli, non esiste. O meglio ancora, non è la domanda corretta. Esistono servizi che si pagano, servizi gratuiti e occorre prendere coscienza di ciò che si deve fare per essere al sicuro o comunque garantire ai propri clienti la sicurezza dei dati che ci vengono affidati. Una delle piattaforme più usate anche da liberi professionisti è GMAIL. E’ abituale vedersi recapitare una mail dal proprio commercialista che si chiama studiocommercialista@gmail.com. Ed è anche piuttosto diffusa la credenza per cui GMAIL sia uno dei servizi di mailing più sicuri al mondo. Ma non lo è, anzi.
Per inciso, La GMAIL utilizzata nella sua configurazione gratuita non è sicura perché nessuna mail è sicura al 100% ma ancor di più, un servizio gratuito è appunto gratuito e ha delle limitazioni, anzi, deve avere delle limitazioni. Occorre leggere il contratto di fornitura del servizio prima di affidare le proprie comunicazioni a terzi. Leggendo i contratti, si capisce che le responsabilità che Google si prende sono veramente poche in caso di data-breach o meglio ancora, nessuna responsabilità. Se vi sfondano la casella di posta e vi carpiscono i dati che sono memorizzati, mail inviate, mail ricevute, sono problemi vostri e se non avete adottato misure sufficienti per proteggere i dati dei vostri clienti, il Garante della Privacy ve ne chiederà conto comminandovi sanzioni che possono fare molto male.
Cambia parecchio l’uso della GMAIL a pagamento. Lo dice Google stessa. Si parte però da un costo di 4.68/mese Euro a casella per arrivare a 15,60/mese e guarda caso una delle features che viene evidenziata dice: “Controlli di gestione e sicurezza”.
La versione da 15,60/mese dichiara: “Controlli di gestione e sicurezza avanzati, inclusi Vault e gestione avanzata degli endpoint”. Perché il problema non è solo la sicurezza della struttura, Google rimarca il fatto che occorre anche “educare” l’utente sulla necessità di adottare misure corrette di controllo e di sicurezza sui suoi comportamenti a partire dagli strumenti che usa per accedere alle proprie caselle di posta, Android, IOS, o client di posta come Thunderbird o Outlook o altro.
Se poi ragioniamo sul fatto che il costo del servizio è espresso per casella, nel caso di uno studio articolato con più persone è facile immaginare che il costo complessivo per una buona struttura di comunicazione e relazione con l’esterno può diventare un onere considerevole.
Tutto ciò si traduce in questo: vuoi sicurezza? paghi e anche salato e impari a comportarti in modo corretto.
Per chi usa Microsoft Exchange
Sostanzialmente non cambia nulla rispetto a GMAIL. Il pricipio è lo stesso, i prezzi si equivalgono e ad esempio al costo mensile di 12.50 Dollari è incluso anche Office 365
Il Privacy Shield che ti frega.
Il Privacy Shield, ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio). La Commissione europea ha ritenuto che il sistema offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti e che, pertanto, lo Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti di dati in questione.
Lo Scudo UE-USA per la privacy è in vigore dal 1 agosto del 2016.
Lo Scudo è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema.
Purtroppo il patto è stato rotto.
La Corte Europea ha esaminato la prima decisione (2010/87 sulle clausole contrattuali tipo) ed ha riscontrato che questa, pur basandosi su statuizioni contrattuali che, come tali, non sono in grado di vincolare gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
La seconda decisione (2016/1250 sull’ adeguatezza della protezione offerta dallo scudo UE-USA) invece, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità e stretta necessità.
Quindi? Cosa c’entra il Privacy Shield con le mie mail?
Tradotto, in soldoni, significa che sistemi come Gmail, Microsoft Exchange non sono sotto la tutela del Privacy Shield e in sede di Audit e di Privacy By Design occorre tenerne conto per informare opportunamente i propri clienti con una DPA (Data Protection Assessment) corretta.
Ricapitoliamo: Gmail p Microsoft Exchange sì, se a pagamento, a quali costi? Dipende da quanti account di posta si voglio usare e se si vuole usare un proprio dominio aziendale. E comunque, al di fuori del Privacy Shield, il che ci mette a rischio di fronte ad un intervento del Garante per la Privacy, con sanzioni che possono diventare considerevoli.
Bene, abbiamo capito! Ma questo cosa c’entra con la sicurezza della nostra posta elettronica? Calma e sangue freddo, arriviamo! Un po’ di calma!
Principio di proprietà dei dati personali
Stabiliamo un punto fermo e cioè che il Garante per la Privacy ha stabilito un principio: I dati personali non sono vostri ma sono di proprietà delle persone a cui quei dati fanno riferimento.
In base alla normativa che regolamenta tale diritto, quindi, ogni individuo può pretendere che i suoi dati personali siano raccolti e trattati da terzi solo nel rispetto delle regole e dei principi previsti dalle leggi in materia, sia dell’Unione Europea che dei singoli Stati nazionali. Lo scopo della normativa è quello di attribuire all’interessato il potere di disporre dei propri dati, assicurando all’individuo il controllo su tutte le informazioni riguardanti la sua vita privata, e fornendogli nel contempo gli strumenti per la tutela di queste informazioni.
E per dovere di precisione:
-
Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
-
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
-
Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
Sulla scorta di quanto scritto qui sopra, diventa chiaro come la sicurezza dei propri sistemi informatici e di comunicazione verso l’esterno sia una tematica caldissima che ci impegna tutti quanti a fare delle riflessioni su come noi siamo abituati a gestire i nostri processi aziendali.
I comportamenti corretti per essere più sicuri
La prima cosa che dobbiamo ricordarci è che la prima soluzione è il nostro comportamento. Quali sono i comportamenti corretti da adottare? Ne elenco diversi. Purtroppo quando si lavora con collaboratori e dipendenti, succede che non tuti adottano comportamenti corretti e uguali, qualcuno scappa sempre dal “recinto” e bisogna fare molta attenzione. Ma se si comincia a capire che i dati personali che vengono usati nelle comunicazioni sono di proprietà delle rispettive persone a cui questi dati fanno riferimento, si riesce a indurre più facilmente comportamenti responsabili e riguardosi e ad evitare molti problemi.
- Non aprire allegati senza aver controllato il mittente della mail.
- Non usare l’apertura degli allegati in automatico.
- Controllare sempre il mittente della mail ricevuta
- Usare correttamente tutti i campi della mail
- Usare correttamente il campo “Oggetto” e descrivere sinteticamente e correttamente l’oggetto della mail. E’ utile per chi riceve la mail perché si accorge subito se la mail è stata scritta appositamente per lui ed è utile per le ricerche nelle migliaia di mail che archiviamo ogni settimana quando abbiamo bisogno di trovare qualcosa di specifico.
- Utilizzare UN SOLO destinatario per mail nel campo “A:”. Qualora avessimo necessità di inserire più destinatari, in quel caso si mette nel campo “A:” il nostro indirizzo e nel campo “CCn:” (Copia Carbone nascosta) gli indirizzi di tutti gli altri destinatari. Questo protegge la privacy dei destinatari che riceveranno la mail destinata a “Undisclosed Recipient” e non si trova la sua casella di posta spammata per ogni dove.
- Evitare di fare il Replay ad oltranza di messaggi usando la casella di posta come una chat.
- Evitare di inviare allegati pesanti e possibilmente inviare allegati Zippati.
- Non riempire le mail di immagini in calce con loghi, firme, icone dei social o quant’altro. Molti hanno bloccato la visualizzazione automatica delle immagini e il risultato che ottenete è solo confusione e disordine.
- Non aprire mail sospette.
- Cambiare la password della propria casella di posta almeno una volta ogni tre mesi e usare stringhe complesse. Se non volete ricordarvi caratteri speciali, maiuscole e minuscole suggeriamo di usare intere frasi che potete ricordarvi facilmente tipo: “ieri-il-mio-cane-jack-ha-giocato-con-il-frisbee”. Ottenete comunque un ottimo risultato. Password più semplici sono facilmente hackerabili con poche operazioni di brute-force e da lì, il danno è fatto.
- Non utilizzate la mail di lavoro per i propri profili social, MAI!
- Dove possibile utilizzate sempre la doppia autenticazione.
- Non c’entra con la sicurezza ma per favore NON USATE LE MAIUSCOLE. Il maiuscolo significa URLATO ed è maledettamente sgradevole e maleducato.
- Fate il backup giornaliero della vostra posta, non lasciate tutte le comunicazioni sul server, è una pratica non solo sconsigliata ma fortemente penalizzata dal Garante per la Privacy.
Sembrano raccomandazioni di poco conto ma ironia della sorte, gli hacker e gli spammer fanno leva proprio sulla disattenzione degli utenti. Lo sappiamo, sono davvero banalità e le avete sentite, dette, trite e ritrite migliaia di volte ma a quanto pare non basta!
Gmail no, Microsoft Exchange no, Cosa fare?
Premesso che non abbiamo detto di no ma semplicemente vi abbiamo messi al corrente dei rischi che correte esistono comunque soluzioni pratiche, interessanti, che vi mettono al sicuro ammesso e non concesso che poi i comportamenti dei singoli rispecchino quel minimo sindacale necessario per non rovinare tutto. Premesso inoltre che non abbiamo detto che non si può usare GMAIL o Microsoft Exchange ma che per farlo occorre essere GDPR Compliant, proviamo a dare anche altre risposte.
Alternative a Gmail e Microsoft Exchange:
ProtonMail
Piattaforma basata in Svizzera, GDPR Compliant che utilizza crittografia end-to-end. Servizio molto valido, estremamente sicuro ma non a buon mercato. A dire la verità, commercialmente parlando non hanno ottenuto il successo che meritavano e sono rimasti un po’ “al palo” anche se tecnologicamente parlando il servizio è ineccepibile.
Fast Mail
Fast Mail è una valida alternativa a Gmail, molto funzionale e completa con un prezzo abbordabile ma occorre verificare la Compliance relativa al GDPR essendo che comunque si tratta di una piattaforma americana.
QBOX Mail
Una alternativa molto valida, tutta italiana e GDPR Compliant. La versione enterprise costa 3.60 Euro a casella e 1 Euro ogni 25 GB di spazio aggiuntivo. Noi la possiamo solo suggerire caldamente. A nostro avviso è una delle soluzioni più interessanti.
Esistono anche tanti altri fornitori di servizi di mail in cloud, è un mondo che può essere esplorato. Ma per non stare a dare informazioni sovrabbondanti, ci fermiamo qui.
SMTP server proprietario o mailserver.
Quanti di voi hanno un sito e un dominio e sfruttano il mailserver integrato all’interno del proprio webserver dove è ospitato il sito? E’ una delle situazioni più frequenti.
Server SMTP del provider
I server SMTP dei provider affermati sono riconosciuti come affidabili anche da altri provider. Inoltre, i loro filtri antispam sono considerati particolarmente efficaci a causa della grande quantità di dati trattati. Tuttavia, nel caso di offerte gratuite, di solito si devono prevedere rigide limitazioni per quanto riguarda il numero di e-mail al giorno, le dimensioni degli allegati e lo spazio di archiviazione della casella di posta.
Le offerte sono presentate su diverse pagine:
Erogatori di servizi Internet: gli “Internet Service Provider” (ISP) come IONOS offrono spesso un indirizzo e-mail per una connessione Internet con cui è possibile accedere ai server di posta SMTP dell’azienda.
Provider di posta elettronica: il modo più tipico per i privati di inviare e-mail ad amici e parenti è quello di utilizzare l’applicazione webmail di un provider di posta elettronica gratuito come Gmail, Yahoo o Libero. L’unico requisito è un indirizzo e-mail che corrisponda al dominio, con il quale il server SMTP del provider può essere utilizzato per la corrispondenza personale. Tutto quello che dovete fare è configurare la vostra casella di posta elettronica per l’indirizzo corretto del server SMTP. Sotto trovate un riepilogo dei fornitori più popolari e dei loro indirizzi.
Provider di servizi di hosting: molti pacchetti di hosting, come quelli di IONOS, contengono di default un server SMTP, che può essere utilizzato per gestire il traffico di posta interna ed esterna aziendale.
Provider specializzati: alcune aziende si sono specializzate nel noleggio di server SMTP, tra i quali rientrano ad esempio Amazon SES e SparkPost, che permettono il noleggio dell’hardware richiesto.
Sconsigliamo in modo categorico questa soluzione
Server SMTP proprio
Con alcune conoscenze tecniche di base è possibile configurare il proprio server SMTP. Ad esempio, come base hardware è possibile impostare un Raspberry Pi con il software appropriato.
I vantaggi sono evidenti: nessuna restrizione d’uso da parte di un provider, pieno controllo su tutte le impostazioni e gestione autonoma dei dati. Inoltre un proprio server si adatta perfettamente a familiarizzare con i meccanismi tecnici del traffico e-mail. Ma ci sono anche dei lati negativi: a causa dell’indirizzo IP dinamico peculiare degli accessi privati a Internet, i server SMTP privati sono spesso classificati come spam dai grandi provider di posta elettronica. Un problema che può essere risolto solo con poche misure di ristrutturazione e/o costi aggiuntivi. Tuttavia, se si desidera inviare le proprie e-mail solo a un altro client privato, un proprio server SMTP è in ogni caso una buona alternativa. Occorre quindi dotarsi di un IP fisso.
Eh ma non sono rose e fiori anzi. Portarsi in casa un Server SMTP oppure utilizzando quello legato all’hosting del proprio sito internet porta conseguenze che possono essere anche gravi se non si è capaci di gestire le problematiche.
SMTP server proprietario o mailserver.
Quanti di voi hanno un sito e un dominio e sfruttano il mailserver integrato all’interno del proprio webserver dove è ospitato il sito? E’ una delle situazioni più frequenti.
Quando si gestisce in proprio l’SMTP server per la ricezione e l’invio della corrispondenza occorre tenere conto di alcuni aspetti che possono anche essere spiacevoli:
L’up time del sistema. Generalmente i vari ISP providers soprattuto quelli “low-cost” come possono essere Aruba o Register non hanno una SLA e non garantiscono up-time. Significa che sull’arco di 365 giorni all’anno è possibile che il vostro hosting e quindi il vostro dominio non sia raggiungibile, che le mail inviate non partano oppure che quelle che sono da ricevere non arrivino a destinazione. Se i DNS non sono raggiungibili, il vostro sistema di gestione della posta è completamente spento. Fornitori di Hosting che garantiscano per iscritto, da contratto un up-time che sia maggiore del 99.99% del tempo sull’arco di un anno, esistono ma il servizio comincia a costare. Noi forniamo una SLA del 99.99% ed infatti il costo del nostro hosting non è paragonabile a quello di Aruba.
La ridondanza. Un server SMTP legato al proprio spazio di hosting è situato generalmente in un luogo, che è una server-farm, se quella salta per aria, come è successo di recente con OVH oppure con Aruba nel recente passato, sia il sito che tutta la vostra struttura informatica per l’invio e la ricezione delle mail può andare a ramengo. Perciò poter contare su una struttura ridondata dove, in caso di guasto o di shut-down del mio sistema informatico possa immediatamente entrare in funzione una struttura parallela. Sulla ridondanza si potrebbe aprire un capitolo a parte ed entrare fin nei minimi dettagli ma non è il luogo per farlo. diciamo che si definisce ridondanza un sistema che è capace di duplicare determinate funzioni e quindi garantire la continuità dei servizi in caso di guasto.
I vantaggi dell’uso di un Server SMPT proprietario. Provo ad elencarli:
- Possibilità di gestire più account email senza aggravamento di costi
- Possibilità di gestire in modo autonomo le proprie politiche di invio/ricezione
- Possibilità di mantenere internamente un archivio aggiornato della propria posta e del traffico delle comunicazioni con l’esterno
- Possibilità di nominare/rinominare le proprie caselle di posta in modo autonomo e senza l’intervento esterno
- Possibilità di stabilire (a seconda del provider scelto) gli indirizzi e/o gli IP da inserire in black o whitelist.
- Possibilità di stabilire in modo autonomo le politiche di antispam
- Possibilità di stabilire in modo autonomo le marcature, DKIM, SPF e DMARC che sono quelle che molti si dimenticano e sono la causa maggiore di messa in blacklist del proprio dominio.
Svantaggi nell’uso di un SMTP server proprietario
Gli svantaggi sono innumerevoli soprattutto se la propria struttura non è preparata e non vi è una adeguata coscienza dei rischi che si corrono portando a casa propria un server di posta. Questioni tecniche, giuridiche e operative potrebbero anche sconsigliare questa strada, molto dipende soprattuto dal livello di cultura tecnologica presente nella propria struttura.
- Impossibilità di manlevarsi in quanto tutte le responsabilità di gestione e archiviazione dei messaggi di posta pesano sulla propria struttura.
- Esposizione ad ogni tipo di attacco e necessità di adottare tutte le misure per limitarli o annullarli.
- Possibilità di avere momenti di “buio” in cui il server è rallentato da altre operazioni o è addirittura impossibilitato ad espletare le sue funzioni.
- Necessità di attuare una feroce politica di controllo antivirus e antispam (questo oggi vale un po’ per tutti a dire la verità)
- Necessità di una politica di backup sistematica ed efficiente (questo vale oggi per tutto, ormai).
E’ anche vero che molti provider “professionali” mettono a disposizione server SMTP protetti, certificati o comunque quasi privi di vulnerabilità e quindi i pericoli nascono solo ed esclusivamente dalla disattenzione dell’operatore o dalla sua incoscienza e irresponsabilità però diciamo che ospitare il server di posta sulla stessa struttura dove viene ospitato il webserver potrebbe non essere sempre una politica corretta anzi.
Conclusione
Ok, bello ma a conclusione? Cosa scegliere?
Non c’è una risposta univoca, dipende dalle circostanze e anche dall’operatività. Noi consigliamo di utilizzare un mailserver in cloud quando la struttura aziendale è piccola o microscopica e un SMTP server quando la struttura comporta ad avere almeno una decina di caselle di posta se non 20. Più per una ragione di costi che altro perché avere un server SMTP ospitato in una struttura sicura, efficiente che marca correttamente i server e utilizza protocolli di sicurezza validi e corretti, ha sempre un discreto vantaggio su tutto.E’ vero che ci si portano dentro potenziali problemi che si vorrebbero rimanessero fuori. Anche in termini di GDPR se da un lato occorrerà dotarsi di una Politica di Privacy corretta è anche vero che in caso di Data Breach, le conseguenze possono essere molto più gravi con l’uso di sistemi in cloud gestiti da terzi. Quindi, un buon server SMTP e accortezza nella gestione della posta dovrebbero risolvere il 90% dei problemi per le piccole attività o le attività professionali. Un buon partner che fornisca un servizio di hosting adeguato, un tecnico sul posto che sappia installare un client di posta in modo corretto, un bel sistema di backup, un firewall e un antivirus sempre aggiornato, un router con un controllo feroce sulle porte e si può quasi dormire sonni tranquilli. Poi può succedere di tutto, sia ben chiaro ma in linea di principio questo è quello che suggeriamo.
Potresti essere interessato anche a:
“Vendo, ma rimango”: la nuova tendenza del piccolo imprenditore
La storia di Francesco Schittini e dell’ingresso Emotec nel fondo MCP è esemplare dei frequenti cambi di proprietà senza scossoni organizzativi
AI Tools for Business, il corso dedicato all’intelligenza artificiale
La start-up svizzera navAI l'ha sviluppato allo scopo di fornire tutti gli strumenti necessari a implementare la nuova tecnologia nel proprio settore
C’era una backdoor per infettarli tutti, ma un genio ha salvato il Web
Ecco come la competenza di uno sviluppatore, e un po' di... provvidenza, hanno appena sventato il sabotaggio di Linux e dell'intera rete Internet
La tutela dei mari in Grecia e il nodo della Fossa Ellenica…
"Our Ocean Conference", Atene creerà due nuovi Parchi Marini Nazionali e vieterà la pesca a strascico, ma fra l'Egeo e lo Ionio c’è un problema
//