Dovremmo smettere di pensare all’email come privata?
Mentre stava ancora lavorando nella cyber security per il governo finlandese, Erka Koivunen ha incontrato un diplomatico della NATO che sosteneva come non ci fosse “nulla di nuovo” nell’era in cui viviamo. I delegati stranieri hanno sempre vissuto con la costante consapevolezza che le loro comunicazioni private potessero essere “violate” per essere sfruttate dai loro nemici.
“Tutto ciò che viene messo per iscritto potrebbe alla fine essere scoperto,” spiega Erka, oggi Cyber Security Advisor in F-Secure. “Per questo motivo le conversazioni più private e confidenziali non avvengono mai per iscritto.”
Viste le enormi perdite di email che hanno colpito il mondo del business, con il caso di Sony, e della politica, con ciò che è successo alle figure politiche negli Stati Uniti, dovremmo tutti iniziare a pensarla così? Dovremmo tutti comportarci come diplomatici della NATO? Un C-level potrebbe essere citato in giudizio per ciò che scrive? O il responsabile di una campagna presidenziale?
La risposta, sfortunatamente, sembra essere sempre più chiara.
“Qualsiasi cosa tu scriva – precisa Erka – potresti essere chiamato a difendere la tua posizione in pubblico.”
Affidarsi a un mezzo insicuro
I problemi con le email iniziano con l’insicurezza generale che caratterizza questo mezzo di comunicazione.
Secondo Erka, sono più simili a delle comunicazioni scritte inviate con una cartolina che non con una lettera sigillata.
“Non appena il tuo messaggio esce dai sistemi della tua azienda, ne perdi il controllo” spiega Erka. “Questo è di gran lunga il più grande problema della buona vecchia email. I messaggi possono essere ascoltati, alterati, ritardati, riprodotti o cancellati del tutto, senza che tu nemmeno lo sappia.”
Oggi per spiare un’email che viene inviata serve un permesso legale per accedere alle infrastrutture di telecomunicazione oppure competenze tecniche e risorse ingenti. Pensa alle forze di polizia o alle agenzie di intelligence.
Dal momento che questi gruppi hanno un interesse nel nascondere la loro attività, erano certamente poco incentivati ad indagare sulla massiccia fuga di gigabyte di dati privati che abbiamo visto accadere con Wikileaks.
Tuttavia, sembra che siamo alla fine dell’era del “gentleman’s agreement” tra paesi, come l’esperta di cyber policy Mara Tam ha spiegato in un recente episodio di Risky.Biz. Questo accordo recitava qualcosa del genere: “I gentlemen si leggono le email tra di loro, ma non le svelano al pubblico.”
Le rivelazioni da parte dell’ex contractor della CIA Edward Snowden hanno aiutato il pubblico a comprendere a quante informazioni il governo americano avrebbe potenzialmente accesso.
Secondo Erka “nelle caselle di posta personali sono archiviati gigabyte di conversazioni che rappresenterebbero un tesoro per gli attaccanti per diverse ragioni. Ci sono discussioni confidenziali su strategie di business, su clienti, competitor e prodotti. C’è anche gossip interno, diffamazione e altro materiale dannoso.”
L’attivista Naomi Klein ha dichiarato a The Intercept che “Snowden stava cercando di proteggerci da questa sorta di “scarico” indiscriminato.” E non abbiamo ancora un’idea precisa di tutti i modi in cui questa massa di dati possa essere usata contro di noi.
Un competitor potrebbe usare informazioni private per infangare la reputazione di qualcuno, e degli hacker potrebbero estrarre dati per preparare future intrusioni nel tuo sistema, o ottenere accesso ad altri tuoi account attraverso il reset della password.
Lasciamo che sia il pubblico a decidere cos’è privato
Le perdite di dati sono già costate il posto di lavoro ad alcuni executive e potrebbero inficiare l’elezione del Presidente degli Stati Uniti. Ma in un certo senso, siamo tutte vittime di questo nuovo rischio che corre la nostra privacy.
Erka sostiene che “qualsiasi cosa tu scriva in un’email devi chiederti: se lo leggesse il mio capo, mia moglie o il mio partner di business correrei un rischio?”
Questa nuova realtà porta inesorabilmente alla cosiddetta auto-censura.
Zeynep Tufekci — una “tecno-sociologa” — stava facendo un commento sulle rivelazioni di Wikileaks ed è rimasta molto disturbata da ciò che stava vedendo.
“Gente che fa gossip in conversazioni interne non rappresenta uno scandalo—ma distruggere i confini pubblico/privato paralizzerà il dissenso, non i potenti” ha twittato.
Wikileaks sta rilasciando più documenti di quanto non potrebbe mai vagliare nella speranza che le informazioni vengano vagliate da ricercatori interessati di tutto il mondo. Ma insieme con gli elementi potenzialmente rilevanti, sono state rivelate informazioni fortemente private.
“Per esempio, un tentativo di suicidio è stato pubblicizzato attraverso un rilascio indiscriminato di Podesta (Wikileaks lo ha twittato),” ha spiegato Zeynep.
Questo rende la perdita di email ancora più spaventosa, ma forse non si tratta di una falla nella sicurezza del mezzo, ma del mezzo stesso.
“Il problema più profondo dell’email è che non è mai stata regolata per una modalità sociale” ha scritto Farhad Manjoo sul The New York Times. “Un’email può essere formale come una lettera legale o scritta e inviata di getto come un insulto. Questo porta a confusione.”
Cosa puoi fare?
Quindi, dovresti fare come il diplomatico della NATO ed evitare di mettere per iscritto i tuoi segreti? Puoi immaginare di rimuovere tutti i pensieri potenzialmente offensivi dalle tue email? Dovresti pensare che la tua casella email sia come una scatola di lettere nella tua soffitta, vulnerabile per chiunque possa avervi accesso?
Queste risposte spettano solamente a te: solo tu puoi decidere come usare – o non usare – le email.
Sean Sullivan, security advisor di F-Secure, intervistando alcuni giovani ha notato che stanno sempre più abbandonando le email come mezzo di comunicazione. “Hanno solo un account — tipicamente Gmail,” ha spiegato.
Se le cose continuano in questo modo, l’email è destinata ad uscire di scena, che sia privata o no.
Per ora per gli avvocati, dottori e altri professionisti con esplicite responsabilità legali, l’email ha un ruolo molto ben definito che non può essere facilmente abbandonato o raggirato. In ogni caso, consulta il tuo reparto IT poiché potresti avere l’obbligo legale di proteggere i tuoi dati.
Per la tua email personale, devi almeno essere consapevole che potresti essere un bersaglio. Verifica cosa puoi fare per limitare qualsiasi danno potenziale — usa una password forte e univoca per ciascun account email e inserisci le informazioni del tuo account solo sulla pagina web sicura del tuo provider di email.
Se sei coinvolto in affari di politica internazionale, non c’è via di scampo. Sei un bersaglio. Gli hacker sono nelle tue email o stanno cercando di accedere a persone potenti tra i tuoi contatti.
Se sei una persona senza alcun potere particolare, senza relazioni tumultuose e senza alcun interesse in politica, non dovresti essere sotto il radar di qualcuno, o almeno… non ancora.
Il problema è che nessuno sa dove sarai fra qualche anno, e le nostre caselle di posta elettronica sono grandi a sufficienza per durare una vita.
“Dal momento che tutti stanno usando email basate su cloud come Gmail, non c’è l’esigenza di risparmiare spazio,” spiega Erka. “Anzi, questo è uno degli elementi centrali nella vendita di questi servizi: non devi cancellare nulla.”
Se in tutto ciò ti sembra di ravvisare un potenziale pericolo, potresti considerare le recenti perdite di dati di cui si è parlato come una sorta di ispirazione per mettere in atto una seria campagna di pulizia primaverile delle tue caselle email personali, inclusi i social media.
“Potresti voler cancellare i messaggi che non ti servono più e spostare il materiale che vuoi conservare in cartelle che puoi togliere dal web e archiviare su un backup sicuro,” suggerisce Erka. Certo, perderai la capacità di ricercare nella tua casella Gmail attraverso una semplice interfaccia, ma lo stesso accadrà per potenziali hacker.
Erka raccomanda anche di condividere documenti attraverso piattaforme di condivisione e servizi cloud come Sharepoint, Salesforce o Dropbox.
“Questi collegamenti possono richiedere un’autenticazione separata per aprire i file e il mittente può controllarne la durata,” precisa Erka. “Se le email vengono rubate o perse anni dopo, probabilmente quei link non saranno più validi.”
Per conversazioni veloci, Sean suggerisce Wickr, che offre un sistema di autodistruzione dei messaggi attraverso un’app per mobile o un client desktop con crittografia semplice, qualcosa che non esiste per la maggior parte delle email.
Per i professionisti, Wickr ha un servizio a pagamento che permette di conservare i messaggi per motivi legali, e di cancellarli in modo sicuro una volta terminato il periodo richiesto per la conservazione.
Tutte queste perdite di dati di cui si è parlato ti ricordano che “l’email non è sicura”. Ma forse il messaggio più importante è che come mezzo di comunicazione non è mai stato molto intelligente.
[Immagine di Alan Levine |Flickr]
Articolo tratto da “Should We Stop Thinking of Email As Private?” di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie