Elavult titkosítás: vélt biztonság, valódi veszélyek
A Google Workspace visszaesik az elavult TLS 1.0 vagy 1.1 protokollokra, ha a fogadó szerver csak ezeket támogatja. A Microsoft 365 ugyan nem engedélyezi ezeknek az elavult protokolloknak a használatát, de ha a másik fél nem támogatja az újabbakat, akár titkosítás nélkül is továbbítja az emailt – mindezt észrevétlenül, figyelmeztetés nélkül. Ez közvetlenül kockáztatja a megfelelőséget, főleg az egészségügyi szektorban, ahol a 2024-es adatszivárgások 43%-a a Microsoft 365-öt érintette.
Láthatatlan megfelelőségi bukások
Hiába alkalmaz sok szervezet kényszerített TLS-beállítást, ezek gyakran nem garantálják, hogy modern, biztonságos titkosítás történik – ráadásul a hibák rejtve maradnak. Az Amerikai Egyesült Államok szövetségi szabványai évek óta óvnak az elavult TLS protokollok használatától, de a Google még mindig engedi, hogy ezek használatával is eljusson az email, míg a Microsoft egyszerűen titkosítás nélkül küldi tovább. Ez mindkét oldalon láthatatlan megfelelőségi hibákhoz vezet; elég csak a Solara Medical Supplies esetére gondolni (Solara Medical Supplies breach), ahol több mint 114 000 beteg adata került veszélybe, 4,4 milliárd forint feletti büntetéssel.
Bizalom helyett átláthatóság kell
Átlátható, láthatóan kikényszerített titkosítási szabályzatok nélkül az MI-alapú szolgáltatások sem jelentenek valós védelmet. Vak bizalom helyett az egyetlen út a látható megfelelőség és a folyamatos ellenőrzés lehet – máskülönben a legbizalmasabb információk is rossz kezekbe kerülhetnek.
