Passa al contenuto principale

Un'e-mail crittografata è un metodo con cui il mittente dell'e-mail può garantire che solo il destinatario sia in grado di leggere il contenuto del messaggio. L'obiettivo delle e-mail crittografate è quello di proteggere i dati sensibili, sia che un utente non autorizzato acceda al canale di comunicazione e-mail, sia che un utente interno invii accidentalmente un'e-mail al destinatario sbagliato.

Le e-mail devono essere crittografate?

Il rischio maggiore per un'organizzazione che non protegge le proprie e-mail è quello di essere vulnerabili alle attività di hacking via e-mail, che possono portare al furto della proprietà intellettuale e del capitale, oltre che al danno del marchio e alla diminuzione della fiducia dei clienti. Esistono anche alcuni rischi per la conformità che le organizzazioni possono affrontare a seconda del settore o della giurisdizione in cui operano.

Gli attacchi BEC (Business Email Compromise) sono esplosi negli ultimi anni, con una diffusione geografica e settoriale. Secondo i più recenti rapporti sulla criminalità di internet (ICR) dell'FBI, le organizzazioni negli Stati Uniti hanno perso 8,6 miliardi di dollari a causa di attacchi BEC dal 2014 al 2021, di cui 2,4 miliardi di dollari nel solo 2021.

In quali pericoli possono incorrere le organizzazioni a causa degli attacchi via e-mail?

Esistono due tipi di attività di attività fraudolente di posta elettronica:

  • Phishing: Quando i messaggi generici vengono consegnati a un pool più ampio di potenziali vittime
  • Attacchi di spear phishing o BEC (Business Email Compromise): Attacchi mirati specifici e pianificati a un individuo o a un gruppo; questi attacchi mirano a:
    • Estrarre informazioni sensibili
    • Installare malware sulla rete
    • Inviare denaro a conti che appartengono ai malintenzionati

Quali sono i vantaggi della crittografia delle e-mail?

La firma e la crittografia delle e-mail aiutano le organizzazioni a prevenire la violazione delle e-mail, che si traduce in furto di proprietà intellettuale e di capitale. Inoltre, riduce i danni al marchio e alla reputazione che possono verificarsi nel caso in cui un'azienda perda il controllo sui dati sensibili. Inoltre, l'adozione di una tecnologia per la firma digitale e la crittografia delle e-mail affronta le conseguenze che il mancato rispetto di varie normative di conformità, come HIPAA e GDPR può causare alle aziende. Rispettare e mantenere la conformità con le varie normative sulla privacy e sulla sicurezza riduce il rischio che le aziende paghino sanzioni elevate per la mancata conformità.

Quali normative richiedono la crittografia delle e-mail?

A seconda del settore, dell'area geografica o del luogo in cui opera l'azienda, le organizzazioni devono prestare attenzione alle diverse normative. Ad esempio, negli Stati Uniti, l'Health Insurance Portability and Accountability Act (HIPAA) richiede che le organizzazioni proteggano le informazioni sanitarie sensibili dei pazienti dalla divulgazione senza che il paziente ne sia a conoscenza o che abbia dato il proprio consenso. Secondo il Dipartimento della salute e dei servizi alla persona degli Stati Uniti, solo 2020 i costi di violazione dell'HIPAA nel hanno raggiunto i 13 milioni di dollari.

Nell'Unione Europea, le linee guida del Regolamento generale sulla protezione dei dati (GDPR) stabiliscono che i dati personali devono essere completamente protetti e, in caso contrario, le organizzazioni possono essere soggette a sanzioni fino al 4% del fatturato dell'anno precedente o fino a 20 milioni di euro. In Danimarca, ad esempio, dal 2019 è obbligatoria per le aziende la crittografia delle e-mail contenenti dati personali sensibili, come estensione del GDPR.

Perché la posta elettronica è una minaccia al settore sanitario?

Gli attacchi di phishing sono ancora una delle principali cause di violazione dei dati nel settore sanitario e, secondo il rapporto sulla criminalità su Internet dell'FBI, le organizzazioni hanno perso 2,4 miliardi di dollari a causa di attacchi BEC. Un attacco di phishing è spesso il primo passo di un attacco in più fasi che vede successivamente l'impiego di malware o ransomware.

Dopo gli attacchi di phishing, l'HIPAA Journal - Healthcare Data Breach Report indica che le violazioni legate alla posta elettronica nel settore sanitario sono il secondo tipo di attacco più comune.

Nel 2021 l'Ufficio per i diritti civili (Office for Civil Rights, OCR) ha indagato su 277 casi di violazione di e-mail in ambito sanitario, l'83% dei quali è stato causato da hacking o incidenti informatici.

Le violazioni degli account di posta elettronica sono state segnalate a un ritmo di oltre una ogni due giorni nel 2020, ma le violazioni relative alla posta elettronica si sono posizionate al secondo posto quest'anno dietro le violazioni dei server di rete. I server di rete spesso archiviano grandi quantità di dati dei pazienti e sono un obiettivo primario per hacker e gruppi che vogliono estorcere ransomware.

Come funziona la crittografia e-mail?

Attualmente esistono due approcci per proteggere la posta elettronica:

  • PGP (Pretty Good Privacy)
  • S/MIME (basato su certificati RSA e x.509)

OpenPGP e S/MIME sono molto simili per alcuni aspetti: entrambi forniscono l'autenticazione tramite firme digitali e la privacy tramite crittografia dei dati. Sebbene OpenPGP abbia molti sostenitori, ha un supporto notevolmente inferiore sul mercato. S/MIME è più ampiamente supportato dai fornitori di software ed è integrato nei client di posta elettronica più comuni.

Con la crittografia a chiave pubblica, le chiavi disponibili sono due: Una può essere resa pubblica e l'altro è tenuta privata. Il mittente crittografa i messaggi utilizzando la chiave pubblica del destinatario. Il destinatario decifra il messaggio utilizzando la sua chiave privata. Se un messaggio viene inviato a più destinatari, l'e-mail viene crittografata separatamente dalla chiave pubblica di ciascun destinatario.

Le firme digitali utilizzano le stesse coppie di chiavi pubbliche/private, ma al contrario. Il mittente ottiene un hash sicuro del messaggio e lo cripta utilizzando la propria chiave privata. Chiunque può decifrare quell'hash (e verificarlo eseguendo lo stesso hash sul messaggio originale) semplicemente decifrando con la chiave pubblica del mittente. Poiché solo il proprietario della chiave privata associata alla chiave pubblica può averla crittografata, il messaggio può essere verificato. In questo modo si ottiene l'integrità e il non ripudio. Non ripudio perché il mittente non può negare in seguito di non aver inviato il messaggio.

La soluzione S/MIME di Entrust offre alle organizzazioni la possibilità di ridurre drasticamente il rischio di perdita dei dati aziendali derivanti dalle e-mail. L'identità e le funzionalità di crittografia end-to-end supportate da Entrust per le e-mail interne ed esterne, insieme alle funzionalità di automazione dell'implementazione e di gestione del ciclo di vita, consentono alle organizzazioni di migliorare la loro conformità e la loro posizione di sicurezza rispetto ad altre soluzioni.

L'SSL funziona sulla posta elettronica?

RSA è l'unico protocollo crittografico a chiave pubblica supportato per la firma e la crittografia delle e-mail. I certificati SSL/TLS non possono essere utilizzati a tale scopo. Tuttavia, esistono altre tecnologie di crittografia che interagiscono con S/MIME per fornire protezione ai messaggi in transito. Ad esempio: Transport Layer Security (TLS) o, precedentemente, Secure Sockets Layer (SSL). Questi protocolli crittografano il tunnel o il percorso tra il server di posta elettronica, per contribuire a prevenire spionaggio e intercettazioni. Inoltre, crittografano la connessione tra il client e il server di posta elettronica. S/MIME può funzionare anche con loro ma non dipende da loro.

La VPN crittografa la posta elettronica?

La VPN non crittografa la posta elettronica. Non è uno strumento per prevenire hacking, virus o malware e non aiuta a salvaguardare i contenuti dell'e-mail né ad autenticare il mittente.

A cosa serve la crittografia di un'e-mail?

La firma digitale e la crittografia dell'e-mail consentono ai dipendenti di dimostrare che gli allegati e i contenuti provengono dall'indirizzo e-mail del mittente e che non sono stati modificati durante il passaggio. Questa procedura è nota anche come non ripudio e può essere sostenuto in un tribunale da varie leggi.

Fornendo ai dipendenti di un'azienda l'accesso ai propri certificati S/MIME, è possibile identificare più facilmente il destinatario e l'identità del mittente, contribuendo così a limitare l'impatto di un attacco BEC (Business Email Compromised).

I certificati S/MIME di Entrust includono i nomi dell'organizzazione, della persona e dell'indirizzo e-mail, consentendo ai destinatari delle e-mail di distinguere fra SPAM o Phishing e quelle di un mittente legittimo.

Che aspetto hanno le e-mail firmate e crittografate in Outlook e Apple Mail?

Con l'impostazione del certificato e-mail sicuro in Microsoft Outlook e MacOS è molto semplice distinguere l'aspetto di un'e-mail affidabile. Di seguito puoi vedere le immagini di quattro diverse istanze:

  1. e-mail firmata
  2. e-mail crittografata
  3. e-mail firmata e crittografata
  4. e-mail non firmata e non crittografata

schermate che mostrano e-mail crittografate

Esistono tre indicatori di attendibilità principali con Outlook e MacOS:

  1. il nastro rosso, che mostra che questa email è firmata.
  2. l'icona del lucchetto, che mostra che l'e-mail è crittografata.
  3. puoi verificare l'identità del mittente sulla sinistra dell'e-mail che è stata firmata dall'utente 1, dipendente della società X.

Al contrario, con le e-mail non attendibili, un'e-mail non firmata e non crittografata non presenta né un nastro né un lucchetto. In questo caso è tecnicamente possibile che l'indirizzo di provenienza dell'utente uno sia stato falsificato.

Considera che queste funzionalità sono disponibili quando entrambi gli utenti hanno scambiato le loro chiavi pubbliche.

Per maggiori dettagli, consulta la pagina della knowledge base di Entrust

Come firmare e crittografare le e-mail sul dispositivo mobile?

Quando sul dispositivo Android o iPhone è installato un certificato S/MIME, sulla destra dello schermo vengono visualizzati un lucchetto aperto e uno chiuso. Per inviare un'e-mail crittografata, l'utente deve solo toccare l'icona del lucchetto.

Se attivi questa opzione nelle impostazioni, le e-mail possono essere firmate automaticamente. La procedura è illustrata nella parte 2, passaggio 6 della nota tecnica di Entrust.

e-mail crittografate

Come crittografare e firmare un'e-mail con un certificato S/MIME?

Per firmare e/o crittografare un messaggio di posta elettronica, è sufficiente cliccare sui pulsanti Firma e/o Crittografa che compaiono nella finestra di dialogo di composizione del messaggio di posta elettronica nella scheda Opzioni.

screenshot della firma digitale dell'e-mail