Banki, kasy kredytowe i inne instytucje finansowe używają PGP do szyfrowania poufnych danych, takich jak wniosek o pożyczkę, przed wysłaniem za pośrednictwem poczty elektronicznej. PGP sprawia, że dane są prawie niemożliwe dla kogoś innego niż zamierzony odbiorca do odszyfrowania. Niestety po otrzymaniu danych odbiorca często nieświadomie stwarza złodziejom możliwość kradzieży danych.
Odbiorcy odszyfrowują wiadomości chronione pocztą PGP, aby odczytać wrażliwe treści. Znawcy bezpieczeństwa wiedzą, że po przeczytaniu wiadomości muszą trwale usunąć zaszyfrowaną wiadomość lub zapisać ją w oryginalnym stanie zaszyfrowanym. Ale wielu użytkowników w instytucjach finansowych, z którymi pracowaliśmy, nie robi tego. Zamiast tego zapisują odszyfrowaną wersję wiadomości e-mail, w której złodzieje mogą łatwo uzyskać dostęp do informacji. W rzeczywistości program Microsoft Outlook monituje użytkowników o zapisanie zaszyfrowanych wiadomości w odszyfrowanej formie za każdym razem, gdy zamkną odszyfrowaną wiadomość. Ponieważ ani Outlook, ani PGP nie ostrzegają użytkowników o niebezpieczeństwie zapisania wiadomości, większość użytkowników klika :Tak: i zapisuje odszyfrowaną wiadomość.
Jak zaszyfrować pocztę w Outlooku
Po odszyfrowaniu dane są narażone na ataki wirusów, złośliwego oprogramowania i hakerów komputerowych. Niektórzy menedżerowie lekceważą zagrożenie, zachwalając ochronę, jaką zapewniają ich zapory ogniowe i systemy zapobiegania włamaniom. Zapory ogniowe są prawie bezużyteczne, gdy komputery są zainfekowane wirusami zbierającymi dane lub złośliwym oprogramowaniem, więc poleganie na zaporach ogniowych w celu ochrony danych przechowywanych na komputerach jest podobne do blokowania drzwi ekranu.
Nawet jeśli zapory ogniowe zapobiegną wirusom lub złośliwemu oprogramowaniu, to co stanie się, gdy złym facetem jest ktoś w organizacji?
Według FBI, osoby wtajemniczone - pracownicy, kontrahenci i partnerzy biznesowi - popełniają prawie 70% wszystkich przestępstw związanych z kradzieżą danych. Kradną dane bezpośrednio z sieci firmowej lub kradną komputery i sprzęt przechowujący dane. Czasami nawet :kupują: dane, kupując zlikwidowane komputery, które organizacje sprzedają pracownikom. Zapora ogniowa nie zrobi nic, by chronić odszyfrowane dane przechowywane na komputerach, które napastnicy uzyskują legalny dostęp do.
Wprowadziliśmy bezpieczniejszy sposób ochrony danych przesyłanych za pośrednictwem stron internetowych. Korzystając z programu MemberProtect, nasi klienci wyeliminowali ryzyko kradzieży danych po odszyfrowaniu. Program MemberProtect nie polega na dostarczaniu poczty e-mail, a zamiast tego przechowuje dane w unikatowo zaszyfrowanej bazie danych. Administratorzy kontrolują, kto może uzyskać dostęp do bezpiecznej przeglądarki internetowej, aby zobaczyć dane przesłane przez ich witryny. MemberProtect odszyfrowuje dane, aby umożliwić ich oglądanie, ale w przeciwieństwie do Outlooka, program MemberProtect zawsze ponownie szyfruje dane, gdy użytkownik skończy je przeglądać.
Program MemberProtect tworzy także ścieżkę audytu, za pomocą której audytorzy i administratorzy bezpieczeństwa mogą sprawdzić, kto przeglądał, modyfikował i usuwał dane. Śledzi również logowania, próby logowania i interakcje użytkownika z chronionym systemem. Program MemberProtect przechowuje ten protokół logowania w oddzielnej zaszyfrowanej bazie danych, aby zapobiec manipulowaniu dziennikami przez administratorów systemu lub innych użytkowników. Po zintegrowaniu z systemami wykrywania włamań, system może wykonać pewien stopień ochrony poprzez zerwanie połączeń z podejrzanymi klientami i natychmiastowe powiadomienie administratorów o podejrzanych próbach włamań.
Jeśli twój budżet nie może obsługiwać systemu takiego jak MemberProtect (około 3000 $ do 5000 $ na wdrożenie w witrynie banku), to PGP nadal jest dopuszczalną opcją bezpieczeństwa, ale bardzo ważne jest, abyś szkolił wszystkich użytkowników do:
Nigdy nie zapisuj odszyfrowanych wiadomości
Nigdy nie udostępniaj ich hasła dostępu do PGP
Zawsze wykonuj kopię zapasową swojego klucza prywatnego, ponieważ jeśli ten klucz zostanie utracony, wiadomości nie można odszyfrować