Научная статья на тему 'Роль электронной почты в информационном обмене. Анализ рисков, связанных с использованием электронной почты'

Роль электронной почты в информационном обмене. Анализ рисков, связанных с использованием электронной почты Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
7738
485
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЭЛЕКТРОННАЯ ПОЧТА / СТРУКТУРА ЭЛЕКТРОННОЙ ПОЧТЫ / ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТЫ / НЕЗАЩИЩЕННОСТЬ ЭЛЕКТРОННОЙ ПОЧТЫ / ИНФОРМАЦИОННЫЕ УГРОЗЫ / E-MAIL / THE STRUCTURE OF E-MAIL / ADVANTAGES OF USING E-MAIL / THE VULNERABILITY OF E-MAIL / INFORMATIONAL THREATS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Маркова Татьяна Ивановна

Электронная почта является важнейшим средством коммуникации, распределения информации и управления различными процессами в бизнесе. Электронная почта обладает многочисленными достоинствами, но именно из-за этих достоинств возникают основные риски, связанные с ее использованием.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

E-mail is the most important means of communication, distribution of information and the control of various processes in business. E-mail has many advantages, but there are major risks related to its use.

Текст научной работы на тему «Роль электронной почты в информационном обмене. Анализ рисков, связанных с использованием электронной почты»

Т.И. Маркова

РОЛЬ ЭЛЕКТРОННОЙ ПОЧТЫ В ИНФОРМАЦИОННОМ ОБМЕНЕ. АНАЛИЗ РИСКОВ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННОЙ ПОЧТЫ

T.I. Markova

THE ROLE OF E-MAIL IN INFORMATIONAL EXCHANGE.

ANALYSIS OF RISKS RELATED TO THE USE OF E-MAIL

Ключевые слова: электронная почта, структура электронной почты, преимущества использования электронной почты, незащищенность электронной почты, информационные угрозы.

Key words: e-mail, the structure of e-mail, advantages of using e-mail, the vulnerability of e-mail, informational threats.

Аннотация

Электронная почта является важнейшим средством коммуникации, распределения информации и управления различными процессами в бизнесе. Электронная почта обладает многочисленными достоинствами, но именно из-за этих достоинств возникают основные риски, связанные с ее использованием.

Abstract

E-mail is the most important means of communication, distribution of information and the control of various processes in business. E-mail has many advantages, but there are major risks related to its use.

Электронная почта (e-mail) - первый из сервисов Интернета, наиболее распространенный и эффективный из них. Электронная почта - типичный сервис отложенного чтения (off-line).

Пользователь посылает свое сообщение, как правило, в виде обычного текста, адресат получает его на свой компьютер через какой-то промежуток времени и читает полученное сообщение тогда, когда ему будет удобно. E-mail очень похож на обычную бумажную почту, обладает теми же достоинствами и недостатками. Обычное письмо состоит из конверта, на котором написан адрес получателя и стоят штампы почтовых отделений пути следования, и содержимого - собственно письма.

Электронное письмо также состоит из заголовков, содержащих служебную информацию (об авторе письма, получателе, пути прохождения по сети и т. д.), играющих роль конверта, и собственно содержимого письма. В обычное письмо можно вложить что-нибудь, например фотографию; аналогично можно послать файл с данными электронным письмом. Обычное письмо можно подписать - можно подписать и электронное письмо. Обычное письмо может не дойти до адресата или дойти слишком поздно, как и электронное письмо. Обычное письмо весьма дешево, и электронная почта - самый дешевый вид связи.

Итак, электронная почта повторяет достоинства (простота, дешевизна, возможность пересылки нетекстовой информации, возможность подписать и зашифровать письмо) и недостатки (негарантированное время пересылки, возможность доступа третьих лиц во время пересылки, неинтерактивность) обычной почты.

Однако у них есть и существенные отличия. Стоимость пересылки обычной почты очень сильно зависит от того, куда она должна быть доставлена, ее размера и типа. Для электронной почты такой зависимости или нет, или она невелика. Электронное письмо можно шифровать и подписывать гораздо более надежно и удобно, нежели бумажное (для последнего, строго говоря, вообще нет общепринятых средств шифрования). Скорость доставки электронных писем гораздо выше, чем бумажных, и минимальное время их прохождения несравнимо меньше. E-mail универсален - множество сетей во всем мире, построенных на совершенно разных принципах и протоколах, могут обмениваться электронными письмами с Интернетом, получая тем самым доступ к прочим его ресурсам.

Практически все сервисы Интернета, использующиеся обычно как сервисы прямого доступа (on-line), имеют интерфейс к электронной почте, так что даже если у вас нет доступа к Интернету в режиме on-line, вы можете получать большую часть информации, хранящейся в Интернете, посредством дешевой электронной почты. Скорость доставки сообщений электронной почты сильно зависит от того, каким образом она передается. Путь электронного письма между двумя машинами, непосредственно подключенными к Интернету, занимает секунды, и при этом вероятность потери или подмены письма минимальна.

Электронная почта - один из наиболее широко используемых видов сервиса, как в корпоративных сетях, так и в Интернет. Она является не просто способом доставки сообщений, а важнейшим средством коммуникации, распределения информации и управления различными процессами в бизнесе. Роль электронной почты становится очевидной, если рассмотреть функции, которые выполняет почта:

- обеспечивает внутренний и внешний информационный обмен;

- является компонентом системы документооборота;

- формирует транспортный протокол корпоративных приложений;

- является средством образования инфраструктуры электронной коммерции.

Благодаря выполнению этих функций электронная почта решает одну из важнейших

на настоящий момент задач - формирует единое информационное пространство. В первую очередь это касается создания общей коммуникационной инфраструктуры, которая упрощает обмен информацией между отдельными людьми, подразделениями одной компании и различными организациями.

Использование электронной почты для обмена информацией между людьми как внутри отдельно взятой организации, так и за ее пределами способно коренным образом изменить технологии и методы ведения дел. Переход к обмену документами в электронном виде открывает новые возможности для повышения эффективности труда и экономии средств и времени.

По мнению аналитиков компании IDC в ближайшие три года (2008-2011 г.г.) количество почтовых ящиков в Интернет достигнет 2 млрд, а в 2007 году насчитывалось всего 1 млрд. почтовых ящиков. Таким образом, рост составит 110%. Вместе с ростом количества пользователей будут расти и объёмы пересылаемой почты. Компания IDC прогнозирует, что количество электронных писем, проходящих по сети в течение одного дня, в 2007 году достигнет 72 млрд.

Достоинства электронной почты

Электронная почта обладает рядом преимуществ по сравнению с обычными способами передачи сообщений (традиционная почта или факсимильная связь). К ним относятся:

1. Оперативность и легкость использования. Электронная почта - это глобальная система, позволяющая передавать письма в любую точку мира за считанные минуты, независимо от времени суток. Отправка и прием сообщений электронной почты не требуют глубоких знаний компьютерных технологий, благодаря чему этот сервис широко применяется не только в бизнесе, но и для личного общения. Кроме того современные условия требуют оперативного реагирования на процессы, происходящие в бизнесе. Электронная почта позволяет собирать информацию, принимать решения и доводить их до различных подразделений компании и партнеров по бизнесу.

2. Доступность практически в любом месте. Главное преимущество электронной почты - ее доступность. И хотя огромные пространства еще "не освоены" электроникой, стремительное развитие электронных коммуникаций, в конечном счете, приведет к тому, что "глобальная паутина" покроет весь земной шар.

3. Универсальность форматов писем и вложений. Удобство использования электронной почты состоит в том, что она способна "переносить" большие объемы информации различных форматов данных. В одном письме могут быть одновременно переданы графическая, видео, текстовая информация, файлы баз данных, приложений и т.п.

4. Дешевизна сервиса. Отправить электронное письмо стоит значительно дешевле, чем обычное или сделать междугородный или тем более международный телефонный звонок. Электронная почта позволяет рассылать письма сразу нескольким адресатам без допол-

нительных затрат.

5. Надежность и скорость инфраструктуры доставки. Так как электронная почта пересылается непосредственно с сервера отправителя на сервер получателя по каналам Интернет, этот процесс протекает быстро, даже если эти серверы расположены на противоположных сторонах земного шара. Фактически на передачу текстового сообщения, например, из России в Америку требуется не более 1 -2 минут.

6. Использование для обработки электронной почты прикладного специального программного обеспечения. Электронный характер письма позволяет проводить его обработку при помощи дополнительного программного обеспечения. При этом виды обработки электронной почты зависят от характера деятельности организации. Это может быть: создание базы данных электронной почты, формирование различных отчетов, проведение анализа деятельности компании и т.п. Все это позволяет создать единую систему управления документооборотом, полностью интегрированную с остальными информационными процессами в компании.

Электронная почта обладает многочисленными достоинствами, но именно из-за этих достоинств возникают основные риски, связанные с ее использованием. К примеру, доступность электронной почты превращается в недостаток, когда пользователи начинают применять почту для рассылки спама, легкость в использовании и бесконтрольность приводит к утечкам информации, возможность пересылки разных форматов документов - к распространению вирусов и т.д.

В конечном итоге любой из этих рисков может привести к серьезным последствиям для компании. Это и потеря эффективности работы, и снижение качества услуг информационных систем, и разглашение конфиденциальной информации. Недостаточное внимание к данной проблеме грозит значительными потерями в бизнесе, а в некоторых случаях даже привлечением к юридической ответственности в связи с нарушением законодательства.

Компания подвергается данным рискам в силу ряда свойств электронной почты. Например, благодаря применению MIME-стандарта электронная почта может переносить большие объемы информации различных форматов данных в виде прикрепленных к сообщениям файлов. Такой возможностью сразу воспользовались злоумышленники. Достоинство электронной почты превратилось в угрозу, поскольку электронная почта стала представлять собой практически идеальную среду для переноса различного рода «опасных» вложений, а именно компьютерных вирусов, вредоносных программ, «троянских» программ и т.п. Если надлежащий контроль за использованием электронной почты не обеспечен, это может привести к чрезвычайно серьезным последствиям и даже нанести непоправимый ущерб. Избавиться от данного риска можно лишь путем блокировки писем с «опасными» вложениями, а также антивирусной проверки прикрепленных файлов. На практике же оптимальным средством может оказаться блокировка определенных типов файлов. Это, как правило, исполняемые файлы (exe, com, bat) и файлы, содержащие макросы и OLE-объекты (файлы, созданные в приложениях MS Office).

Серьезную опасность для корпоративной сети представляют различного рода атаки с целью «засорения» почтовой системы. Это, в первую очередь, пересылка в качестве вложений в сообщениях электронной почты файлов больших объемов или многократно заархивированных файлов. «Открытие» таких файлов или попытка «развернуть» архив может привести к «зависанию» системы. При этом одинаково опасны как умышленные атаки этого типа, например, «отказ в обслуживании» (Denial of Service) и «почтовые бомбы» (mail-bombs), так и «неумышленные», когда пользователи отправляют электронные письма с вложениями большого объема, просто не подумав о том, к каким последствиям может привести открытие подобного файла на компьютере адресата. Действенный способ избавиться от «засорения» почтовой системы и ее перегрузки -фильтрация по объему передаваемых данных, по количеству вложений в сообщения электронной почты и глубине вложенности архивированных файлов.

Другой особенностью электронной почты является ее доступность и простота в использовании. Во многом результатом этого стало широкое и повсеместное применение этого вида сервиса Интернет. Стихийность развития и отсутствие единых правил функционирования почтового сервиса привели к неконтролируемому использованию электронной почты, а

в связи с этим, и к возникновению целого ряда рисков, связанных с неуправляемой циркуляцией электронной почты в сети.

Отсутствие контроля над почтовым потоком, как правило, становится причиной того, что сотрудники компании используют электронную почту в целях, не связанных с деятельностью компании (например, для обмена видео-файлами и графикой, частной переписки, ведения собственного бизнеса с использованием почтовых ресурсов компании, рассылки резюме в различные организации и т.п.). Это приводит к резкому падению производительности труда в целом по компании, поскольку результатом такой деятельности сотрудников является:

- снижение производительности работы информационной системы (увеличение объема неделового трафика);

- снижение производительности работы отдельного сотрудника (неоправданная потеря рабочего времени);

- «засорение» ресурсов информационной системы (занятие дискового пространства под неделовую почту).

Кроме того, к такому же результату может привести непродуктивное использование почтовых ресурсов в трудовой деятельности сотрудников (например, чрезмерное увлечение почтовой перепиской в случаях, когда необходимости в такой переписке нет, использование электронной почты не по назначению и т.п.). Причиной этого, как правило, является отсутствие в компании правил, регламентирующих использование системы электронной почты. Последствиями непродуктивного использования почтового сервиса являются снижение производительности труда в компании, а также излишние финансовые затраты. Сэкономить средства в значительной степени поможет проведение анализа эффективности использования системы электронной почты, который основывается на базе статистических данных о функционировании системы. Подобную статистику возможно получить лишь в случае ведения архива электронной почты. Обработка информации, содержащейся в архиве, позволяет получать отчеты о различных параметрах электронной почты, ее объемах и структуре, представить наглядную картину использования почтового трафика сотрудниками компании, а это, в свою очередь, поможет предотвратить использование электронной почты, несвязанное с деятельностью компании, и повысить эффективность работы корпоративной почтовой системы.

Передача в электронных письмах графических, видео и звуковых файлов, которые, как правило, имеют большой объем, даже если такая передача предусмотрена условиями ведения бизнеса, приводит к значительной перегрузке сети, соответственно к дополнительным финансовым затратам на ее обслуживание. Согласно проведенным исследованиям около 30% почтовых ресурсов среднестатистической компании ежедневно затрачивается на пересылку графических, видео и звуковых файлов. Избежать этого, а значит и добиться значительной экономии средств компании, поможет, так называемая, отложенная доставка писем, которая позволяет доставлять сообщения больших объемов в то время, когда загрузка сети не имеет критического значения (например, в ночное время, в выходные дни и т.п.).

К «засорению» трафика также ведет рассылка спама. Как правило, это письма, содержащие навязчивые предложения самых разнообразных услуг, товаров и т.п. Такого рода почта является «группой риска» с точки зрения переноса вирусов. Большое количество ненужной почты загружает каналы, «замусоривает» почтовые ящики, отнимает время на удаление ненужных писем и повышает вероятность случайного удаления нужных. Конечно рассылка, например, сообщений рекламного характера, напрямую не преследует цели «засорить» почтовую систему организации, однако косвенно приводит к негативным последствиям. Использование списков рассылки, в которую могут входить все пользователи одной корпоративной сети, и получение одновременно всеми этими пользователями сообщений рекламного характера грозит компании снижением производительности ее сетевых ресурсов. Блокировка спама, в первую очередь, связана с контекстным анализом сообщений, то есть проверкой электронной почты на наличие ключевых слов и выражений, которые обычно употребляются в сообщениях рекламного характера.

Переписка с внешними корреспондентами представляет наибольшую угрозу из-за

особенностей электронной почты (невозможность контролировать маршрут передачи писем, а также их копирование и перенаправление, осуществлять аутентификацию отправителя/получателя, возвращать письма после их отправления). Кроме того невозможен либо затруднен контроль количества отправляемых копий письма. Содержимое сообщения может быть прочитано в процессе передачи его по Интернету, поскольку заголовки и содержимое электронных писем часто передаются в открытом виде.

Другой проблемой, связанной с особенностями электронной почты, является то, что электронная почта позволяет неконтролируемое накопление информации в архивах и практически неуничтожима. В противоположность бытующему мнению, удалить электронную почту непросто. Резервные копии сообщений могут оставаться на персональных компьютерах отправителя и получателя или в сети компаний, где они работают. Если электронное почтовое сообщение отправлено через коммерческую службу или через Интернет, то оно будет передаваться через несколько различных серверов. Каждый сервер в цепочке между отправителем и получателем может сохранить копию сообщения в своих архивах. Даже методичное выяснение местонахождения каждой копии электронного письма с последующим его удалением не дает никакой гарантии того, что сообщение не осталось на жестком диске компьютера или сервера. С помощью широко доступного программного обеспечения даже рядовой пользователь сможет восстановить сообщение электронной почты после того, как его якобы удалили.

Все эти особенности, а также простота копирования электронного сообщения и невозможность проконтролировать данную операцию приводят к тому, что сотрудник может передать корпоративную информацию любому количеству людей как внутри, так и за пределами компании анонимно и без соответствующего разрешения, сразу или по истечении какого-либо времени. При этом, такая информация может представлять собой служебную информацию компании (тексты договоров, сведения о планируемых сделках и т.п.), пароли, системные данные, исходные коды программ или другую конфиденциальную информацию. Это, в конечном итоге, грозит серьезным нарушением конфиденциальности и может привести к неприятным для компании последствиям.

В отличие от бумажной корреспонденции, электронную почту очень легко неумышленно отправить по неверному адресу. Причиной этого может быть как неумелое использование адресных книг, так и ошибка в указании адреса получателя или, что еще хуже, случайный выбор опции, предусматривающей рассылку сообщения большой группе пользователей, в то время как сообщение является конфиденциальным.

Чтобы обеспечить защиту от утечки конфиденциальной информации из сети, необходимо осуществлять контроль адресатов, фильтрацию передаваемых данных на наличие в текстах сообщений или в прикрепленных к электронному письму файлах слов и выражений, имеющих отношение к «закрытой» тематике, осуществлять разграничение доступа различных категорий пользователей к архивам электронной почты и т.п.

Одно из основных отличий электронной почты состоит в формальном к ней отношении (по сравнению с другими видами коммерческих коммуникаций). Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают с ней по принципу «прочитал и выкинул». При таком отношении существует риск случайного удаления значимой информации. Кроме того, существует опасность потери переписки с важным клиентом. Все эти проблемы решаются путем создания в организации архива электронной почты. Во-вторых, такое отношение к электронной почте приводит к тому, что из-за кажущейся недолговечности электронных сообщений люди часто используют их для того, чтобы выразить чувства и мнения в выражениях, которые они никогда не позволили бы себе употребить в традиционных письмах. Публикация таких писем в сети может нанести серьезный ущерб репутации компании или явиться причиной юридических исков к ней.

Еще одна область связана с возможностью привлечения к юридической ответственности компании и ее сотрудников - за нарушение авторского права. Защищенные этим правом материалы могут содержаться или в сообщении электронной почты, или в присоединенных файлах. К подобным материалам относятся графическая, аудио, видео и различная текстовая

информация, т. е. любая информация, которая может быть представлена в электронном виде и передана по компьютерным сетям. Копирование или распространение этих материалов без предварительного согласия автора или владельца авторских прав является нарушением закона. Если компания допускает, чтобы материалы почты, защищенные авторским правом, использовались сотрудниками, не имеющими на это полномочий, то она может быть привлечена к ответственности за прямое или косвенное пособничество нарушению авторского права.

Учитывая описанные выше риски, связанные с использованием электронной почты, организациям необходимо принять соответствующие меры для защиты от них. Подход к построению модели информационной безопасности электронной почты должен быть всесторонним и комплексным - необходимо сочетать организационные меры с использованием соответствующих технических средств.

Внедрение модели информационной безопасности электронной почты позволит сохранить конфиденциальность, целостность и достоверность корпоративных информационных ресурсов, от которых зависит качество и оперативность принятия стратегических решений, и эффективность их реализации.

i Надоели баннеры? Вы всегда можете отключить рекламу.