Banche, cooperative di credito e altre istituzioni finanziarie utilizzano PGP per crittografare dati sensibili, come una richiesta di prestito, prima di inviarli tramite e-mail. PGP rende i dati quasi impossibili da decodificare per chiunque non sia il destinatario previsto. Sfortunatamente, dopo aver ricevuto i dati, il destinatario crea inconsapevolmente un';opportunità per i ladri di rubare i dati.
I destinatari decodificano i messaggi e-mail protetti da PGP per leggere i contenuti sensibili. Gli utenti esperti di sicurezza sanno che dopo aver letto il messaggio devono eliminare definitivamente il messaggio crittografato o salvarlo nel suo stato originale crittografato. Ma un gran numero di utenti negli istituti finanziari con cui abbiamo lavorato non lo fanno. Al contrario, salvano la versione decrittata dell';email dove i ladri possono facilmente accedere alle informazioni. Infatti, Microsoft Outlook richiede agli utenti di salvare i messaggi crittografati in un formato decrittografato ogni volta che chiudono un messaggio decrittografato. Poiché né Outlook né PGP avvisano gli utenti del pericolo di salvare il messaggio, la maggior parte degli utenti fa clic su :Sì: e salva il messaggio decrittografato.
Come crittografare la posta in Outlook
Quando vengono decifrati, i dati sono vulnerabili agli attacchi di virus, malware e hacker informatici. Alcuni dirigenti respingono la minaccia propagandando la protezione fornita dai firewall e dai sistemi di prevenzione delle intrusioni. I firewall sono quasi inutili quando i PC sono infettati da virus di raccolta dati o malware, quindi affidarsi ai firewall per proteggere i dati memorizzati sui PC è come mettere un lucchetto su una porta schermata.
Anche quando i firewall riescono a tenere i PC liberi da virus o malware, ciò che accade quando il cattivo è qualcuno all';interno dell';organizzazione?
Secondo l';FBI, addetti ai lavori, dipendenti, appaltatori e partner commerciali, commettono quasi il 70% di tutti i crimini di furto di dati. Rubano i dati direttamente dalla rete aziendale o rubano i computer e l';hardware che memorizzano i dati. A volte acquisiscono :dati: acquistando computer dismessi che le organizzazioni vendono ai dipendenti: un firewall non farà nulla per proteggere i dati decrittografati memorizzati sui PC che questi malintenzionati ottengono un accesso legittimo ai.
Abbiamo implementato un modo più sicuro per proteggere i dati inviati attraverso i siti web. Utilizzando MemberProtect, i nostri clienti hanno eliminato il rischio di furto di dati decrittografati. MemberProtect non si basa sulla consegna di e-mail e memorizza invece i dati all';interno di un database crittografato in modo univoco. Gli amministratori controllano chi può accedere al visualizzatore Web protetto per visualizzare i dati inviati tramite i loro siti Web. MemberProtect decodifica i dati per consentire la visualizzazione, ma a differenza di Outlook, MemberProtect re-crittografa sempre i dati quando l';utente ha finito di visualizzarli.
MemberProtect crea inoltre una pista di controllo che i revisori e gli amministratori della sicurezza possono utilizzare per vedere chi ha visualizzato, modificato e cancellato i dati. Tiene traccia anche degli accessi, degli accessi tentati e delle interazioni dell';utente con il sistema protetto. MemberProtect memorizza questo accesso di controllo in un database crittografato separato per impedire la manomissione del registro da parte degli amministratori di sistema o di altri utenti interni. Se integrato con i sistemi di rilevamento delle intrusioni, il sistema può eseguire un grado di protezione autonoma interrompendo le connessioni con i client sospetti e avvisando immediatamente gli amministratori di tentativi di hacking sospetti.
Se il tuo budget non può supportare un sistema come MemberProtect (da circa $ 3000 a $ 5000 per l';implementazione su un sito Web della banca), PGP è ancora un';opzione di sicurezza accettabile, ma è fondamentale che tu istruisca tutti gli utenti a:
Non salvare mai messaggi decrittografati
Non condividere mai le loro pass phrase PGP
Effettua sempre un backup della propria chiave privata in quanto se questa chiave viene smarrita, i messaggi non possono essere decifrati