La sicurezza delle email è il primo, fondamentale passo per ridurre l'efficacia degli attacchi di phishing ed evitare compromissioni di dati. Ci sono ancora troppe persone, però, che utilizzano in maniera errata le email, tanto che l'ICO (Information Commissioner's Office), l'autorità garante per la protezione dei dati personali del Regno Unito, ha pubblicato un documento contenente le best practice da seguire nell'inviare email e trattare le informazioni ricevute.
La maggior parte delle indicazioni della guida riguardano l'utilizzo dei campi CC (Copia Conoscenza) e CCN (Copia Conoscenza Nascosta), spesso usati in maniera inadeguata.
"Noi di ICO abbiamo assistito a centinaia di report di breach di dati personali dove il mittente ha usato in modo errato il campo CCN" si legge nella guida.
Il documento sottolinea che se l'indirizzo email consente di identificare una persona, direttamente o indirettamente, allora è considerato un'informazione personale e come tale va trattato. Anche se il contenuto dell'email che si sta inviando non contiene dati sensibili, l'indirizzo o gli indirizzi destinatari sono considerati tali e, se condivisi, possono rivelare informazioni personali degli utenti.
In molti casi accade che, nell'inviare un messaggio a più destinatari, il mittente utilizzi il campo CC che rende visibili tutti gli indirizzi email a chiunque riceva il messaggio, esponendo le persone a potenziali minacce; in questi casi andrebbe usato il campo CCN per nascondere gli indirizzi email dei destinatari, preservando la privacy delle persone.
Per esempio, se si sta inviando una newsletter a più persone è necessario usare la Copia Conoscenza Nascosta per evitare che gli indirizzi email siano visibili a tutti i destinatari, riducendo il rischio che vengano esposti sul web.
ICO sottolinea comunque che il campo CCN, per quanto utile a nascondere gli indirizzi email dei destinatari, non è una protezione sufficiente quando il messaggio stesso contiene informazioni sensibili; in tal caso andrebbero preferite alternative più sicure come servizi di mail merge o di invio in blocco, e abilitare la crittografia in transito.
Nel documento l'Autorità fa l'esempio di una comunicazione email destinata a 105 membri del comitato di un'associazione di beneficenza per i malati di HIV: il mittente ha erroneamente inserito gli indirizzi nel campo CC, rendendo identificabili 65 dei 105 destinatari.
Vista la delicatezza dell'argomento, i destinatari si sono sentiti a disagio sapendo di poter essere potenzialmente riconosciuti da altri. Una delle persone coinvolte ha affermato di aver effettivamente riconosciuto almeno quattro degli altri destinatari, uno dei quali era stato un suo precedente partner. A causa del breach, la società di beneficenza è stata multata dall'Autorità.
Le indicazioni di ICO
Impostare metodi di autenticazione forte per gli account email e filtri per proteggere la casella di posta da phishing e scam non basta a proteggersi dalle minacce.
Per rafforzare la protezione nelle comunicazioni email ICO invita gli amministratori di sistema a impostare nuove misure di sicurezza, per esempio definendo regole di alert che avvisano i mittenti quando stanno utilizzando il campo CC.
È importante inoltre impostare un ritardo di invio delle email, per consentire agli utenti di correggere eventuali errori prima che il messaggio venga effettivamente inviato, e disabilitare la funzione di auto completamento degli indirizzi email per evitare che il sistema proponga destinatari nei campi "A:" o "CC:".
In generale, è sempre sconsigliabile condividere informazioni personali e sensibili via email, o comunque cercare di inviarne il meno possibile preferendo alternative di condivisione più sicure.