क्लाउड में ई-मेल एन्क्रिप्शन के साथ पाँच चुनौतियाँ: यदि ई-मेल सर्वर पर अनएन्क्रिप्टेड हैं, तो सभी सूचनाओं को हमलावरों द्वारा कॉपी और पढ़ा जा सकता है।
एक सेवा के रूप में सॉफ्टवेयर (सास) कई तरह से कंपनियों के लिए जीवन को आसान बनाता है: प्रदाता न केवल यह सुनिश्चित करते हैं कि पर्याप्त कंप्यूटिंग शक्ति उपलब्ध हो। वे कार्यालय या ई-मेल सेवाओं जैसे अनुप्रयोगों के लिए अपडेट और पैच भी आयात करते हैं और इस प्रकार सुरक्षा अंतराल को जल्दी से बंद कर देते हैं। विशेष रूप से मार्च की शुरुआत में माइक्रोसॉफ्ट एक्सचेंज सर्वर में गंभीर कमजोरियों के बाद, यह पहलू सास समाधान के रूप में माइक्रोसॉफ्ट 365 (एम365) के आकर्षण को बढ़ाता है।
हालाँकि, कंपनियां इस तथ्य पर भरोसा नहीं कर सकती हैं कि वे पूरी तरह से सुरक्षित हैं। पैच उपलब्ध होने में कभी-कभी कुछ दिन लग सकते हैं, जिसके दौरान हमलावर सर्वर पर संग्रहीत ईमेल तक पहुंच सकते हैं। यदि वे अनएन्क्रिप्टेड हैं, तो सभी सूचनाओं को कॉपी करके पढ़ा जा सकता है। लेकिन यह बिलकुल भी नहीं है। कंपनियों को क्लाउड-आधारित ईमेल इन्फ्रास्ट्रक्चर की निम्नलिखित पाँच चुनौतियों पर विचार करना चाहिए।
1. डेटा सुरक्षा सुनिश्चित की जानी चाहिए
ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) व्यक्तिगत डेटा की सुरक्षा को निर्धारित करता है - ई-मेल में भी। कंपनियों को उन्हें हमेशा एन्क्रिप्टेड भेजना चाहिए। इस तरह, वे अनुपालन सुनिश्चित करते हैं और व्यक्तिगत डेटा या व्यापार रहस्य की रक्षा करते हैं।
ऑन-प्रिमाइसेस को स्वाभाविक रूप से सुरक्षित और क्लाउड को मौलिक रूप से असुरक्षित मानना बहुत ही एकतरफा होगा। इसलिए क्लाउड में मौजूद ई-मेल और ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर दोनों के लिए एन्क्रिप्शन आवश्यक है। यदि क्लाउड सभी ई-मेल के लिए एकमात्र भंडारण है, तो डेटा सुरक्षा के लिए अतिरिक्त उपाय और भी महत्वपूर्ण हो जाते हैं। कंपनी के भौतिक रूप से सीमांकित पहुंच क्षेत्र के लिए मौजूदा सुरक्षा नियंत्रण अब लागू नहीं होते हैं।
2. कंपनियों को अपने डेटा पर संप्रभुता चाहिए
M365 ने अपनी स्वयं की एन्क्रिप्शन तकनीक को एकीकृत किया है। इससे कंपनियां शुरुआत में ई-मेल और दस्तावेजों की सुरक्षा करती हैं, लेकिन मध्यम से लंबी अवधि में अपने डेटा पर संप्रभुता छोड़ देती हैं। यह किसी बंद कैश बॉक्स के साथ किसी को सौंपने और टेप के साथ कुंजी को नीचे से जोड़ने जैसा है।
Microsoft शायद इस कुंजी का उपयोग अपने लिए नहीं करेगा। लेकिन 2018 का "क्लाउड एक्ट" अमेरिकी अधिकारियों को अमेरिकी कंपनियों के सर्वर पर संग्रहीत डेटा तक पहुंचने की अनुमति देता है - विदेशों में भी और पूर्वव्यापी रूप से। इसलिए यह अधिक सुरक्षित है यदि चाबियों का नियंत्रण कंपनी के भीतर रहता है।
3. एन्क्रिप्शन उपयोगकर्ता के अनुकूल होना चाहिए
एन्क्रिप्शन एक आसान विषय नहीं है। इसे अपने हाथों में लेना, उदाहरण के लिए S/MIME प्रमाणपत्रों के साथ, तकनीकी रूप से बहुत अनुभवी कर्मचारियों की आवश्यकता होती है और यह अक्सर एक अच्छा तरीका नहीं होता है।
यह सुनिश्चित करने के लिए कि एन्क्रिप्शन कर्मचारियों के प्रतिरोध के कारण विफल न हो, यह उपयोगकर्ता के अनुकूल होना चाहिए। आदर्श रूप से, एन्क्रिप्शन स्वचालित रूप से और पृष्ठभूमि में चलता है। तब उपयोगकर्ताओं को कुंजियों और प्रमाणपत्रों के प्रबंधन या उपयोगकर्ताओं को पंजीकृत करने के बारे में चिंता करने की ज़रूरत नहीं है - वे अपने वास्तविक कार्यों पर ध्यान केंद्रित कर सकते हैं।
मार्सेल मॉक, सीटीओ और टोटेमो के सह-संस्थापक (छवि: टोटेमो)
4. ई-मेल प्राप्तकर्ता के लिए सुपाठ्य होना चाहिए
जब कंपनियां ई-मेल एन्क्रिप्ट करती हैं, संचार भागीदारों को शामिल होना चाहिए। S/MIME और (Open)PGP जैसे विभिन्न एन्क्रिप्शन मानक हैं जो एक दूसरे के साथ संगत नहीं हैं। साथ ही, कई एसएमबी और अधिकांश घरेलू उपयोगकर्ताओं के पास प्रौद्योगिकी या संदेशों को डिक्रिप्ट करने का तरीका नहीं है।
कंपनियों को विभिन्न प्रकार के एन्क्रिप्शन मानकों के अनुकूल होना होगा और लचीले ढंग से अपने भागीदारों के मानकों के अनुकूल होने में सक्षम होना होगा। इसका अर्थ यह भी है कि यदि वे एन्क्रिप्शन का उपयोग नहीं करते हैं तो एक विकल्प की पेशकश करना, ताकि एन्क्रिप्ट किए गए ईमेल अपठित न हों।
5. पुराने, अनएन्क्रिप्टेड ईमेल का क्या होता है?
जब संगठन अपनी ईमेल संरचना को M365 में माइग्रेट करते हैं, तो एन्क्रिप्शन केवल नए संदेशों पर लागू होता है। ऑन-प्रिमाइसेस सर्वर से क्लाउड पर जाने वाले अनएन्क्रिप्टेड ईमेल का क्या होता है? उन्हें सादे पाठ में नहीं छोड़ा जाना चाहिए, क्योंकि इससे हमलावर उन्हें पढ़ सकते हैं।
कंपनियां चुनौतियों का सामना कैसे करती हैं
एक ओर, कंपनियों को अपने ई-मेल को एन्क्रिप्ट करके अधिक सुरक्षा और डेटा सुरक्षा सुनिश्चित करनी चाहिए। दूसरी ओर, वे अपने डेटा पर संप्रभुता बनाए रखना चाहते हैं, विरासत की संपत्ति की रक्षा करना चाहते हैं और संचार भागीदारों और कर्मचारियों दोनों के लिए उपयोगकर्ता के अनुकूल समाधान प्रदान करना चाहते हैं।
इसके लिए स्वतंत्र ई-मेल एन्क्रिप्शन समाधान आवश्यक हैं। ये कुंजी और प्रमाणपत्र प्रबंधन को स्वचालित करते हैं और माइग्रेशन से पहले मौजूदा मेलबॉक्स को एन्क्रिप्ट करते हैं। चुनते समय, सेवा-उन्मुख कंपनियां यह सुनिश्चित कर सकती हैं कि समाधान यथासंभव अधिक से अधिक एन्क्रिप्शन मानकों का समर्थन करता है और उन ई-मेल प्राप्तकर्ताओं के लिए एक वैकल्पिक विधि प्रदान करता है जिनके पास सही उपकरण नहीं हैं। यही वह है जो Microsoft 365 को क्लाउड में एक सुरक्षित ई-मेल संग्रहण बनाता है।
totemoo.com पर अधिक
टोटेमो के बारे में
स्विस सॉफ्टवेयर निर्माता टोटेमो एजी व्यावसायिक जानकारी के सुरक्षित आदान-प्रदान के लिए समाधान प्रदान करता है। टोटेमो एन्क्रिप्शन के साथ ई-मेल संचार और डेटा हस्तांतरण की सुरक्षा करता है और निश्चित रूप से मोबाइल उपकरणों सहित इष्टतम उपयोगकर्ता-मित्रता को विशेष महत्व देता है।
पेटेंट और FIPS 140-2 मान्य टोटेमो सुरक्षा प्लेटफ़ॉर्म किसी भी मौजूदा आईटी अवसंरचना में त्वरित और आसान एकीकरण को सक्षम बनाता है।