- Эксперты предупреждают e -mails, которые отправляются с конфиденциальными данными
- Microsoft 365 отправляет e -mails на простом языке, когда шифрование не сбои.
- Google Workspace по -прежнему использует небезопасные TLS 1.0 и 1.1 без предупреждения отправителей или отклонения сообщений
Большинство пользователей предполагают, что E -Mails, отправленные через облачные сервисы, по умолчанию зашифрованы и безопасны. Однако это не всегда может иметь место, так что было заявлено о новом исследовании.
Отчет по Паубукс Обнаружили, что Microsoft 365 и Google Workspace, которые неправильно обращаются за этими ошибками, так что сообщения раскрываются без уведомления отправителя и не уменьшая ошибку.
«Использование устаревшего шифрования обеспечивает ложное ощущение безопасности, потому что кажется, что конфиденциальные данные защищены, хотя на самом деле это не так», — сказал Паубокс.
Стандартные настройки спокойно подрывают шифрование
Проблема не просто технический пограничный корпус. Он основан на том, как эти платформы разработаны в общих условиях.
Отчет о Google Workspace, который был обнаружен, будет возвращаться к доставке сообщений с TLS 1.0 или 1.1, если приемный сервер поддерживает только эти устаревшие протоколы.
Microsoft 365 отказывается использовать устаревшие TLS, но вместо того, чтобы публиковать E -Mail или предупреждение отправителя, она отправляет сообщение на простом языке.
В обоих случаях e -Mail доставляется, и предупреждение не выдается.
Такое поведение представляет собой серьезные риски соответствия, поскольку в 2024 году Microsoft 365 сделала 43% нарушений здоровья.
В то же время, 31,1% нарушений системы здравоохранения имели понимание TLS, хотя многие из этих организаций используют финал «Force TLS» для удовлетворения требований соответствия.
Однако, как утверждает Паубукс, соблюдение TLS не гарантирует шифрование с безопасными версиями, такими как TLS 1.2 или 1,3, и молчит, если эти условия не выполнены.
Последствия ошибок безмолвного шифрования являются далеко идущими -поставщики медицинских услуг отправляют обычно защищенную медицинскую информацию (PHI) через E -Mails, при условии, что такие инструменты, как Microsoft 365 и Google Workspace, обеспечивают сильную защиту.
В действительности, ни одна платформа не заставляет современного шифрования, когда возникают ошибки, и оба риска, которые нарушают меры защиты HIPAA без обнаружения.
Федеральные руководящие принципы, в том числе от АНБ в Соединенных Штатах, давно предупреждают от TLS 1,0 и 1.1 из -за слабостей и снижения рисков.
Тем не менее, Google обеспечивает доставку через эти протоколы, в то время как Microsoft отправляет незашифрованные E -Mails без маркировки проблемы.
Оба пути приводят к ошибкам невидимых соответствий -в задокументированном нарушении медицинская помощь Solara заплатила более 12 миллионов долларов после того, как незашифрованные электронные почты были обнаружены более 114 000 файлов пациентов.
Подобные случаи показывают, почему даже лучшее решение FWAAS или ZTNA должно работать вместе с видимыми, принудимыми руководящими принципами шифрования по всем каналам связи.
«Доверие без ясности — это то, что повредит организациям», — заключил Паубукс.
Вы также могли бы понравиться
