“In Google, crediamo che la comunicazione sicura e riservata debba essere disponibile per le organizzazioni di tutte le dimensioni. Tuttavia, le email Gmail crittografate end-to-end (E2EE) sono state da sempre un privilegio riservato alle organizzazioni con risorse IT significative, a causa della complessità di S/MIME e delle soluzioni proprietarie. Negli ultimi due anni, abbiamo fatto progressi nel superare questi ostacoli, semplificando l’E2EE per aiutare i clienti a soddisfare le loro necessità urgenti di compliance e sovranità dei dati. Ma sapevamo che c’era ancora molto lavoro da fare per renderlo davvero accessibile a tutti”.
“Oggi è il compleanno di Gmail e volevamo fare qualcosa di speciale”
Permettere agli utenti aziendali di inviare messaggi E2EE a qualsiasi utente su qualsiasi casella di posta elettronica in pochi click: questa funzionalità, che richiede uno sforzo minimo sia per i team IT sia per gli utenti finali, eliminerà la complessità tradizionale dell’IT e le esperienze utente poco soddisfacenti delle soluzioni esistenti, pur mantenendo avanzati controlli sulla sovranità dei dati, la privacy e la sicurezza.
“Stiamo distribuendo questa funzionalità in modo graduale, a partire da oggi, in versione beta, con la possibilità di inviare email E2EE agli utenti Gmail della propria organizzazione. Nelle prossime settimane, gli utenti potranno inviare email E2EE a qualsiasi casella di posta Gmail e, più avanti quest’anno, a qualsiasi casella di posta elettronica”.
Diamo un’occhiata più da vicino.
Invio di un’email E2EE a un utente non-Gmail
- Lo stato attuale delle email crittografate — i pro e i contro
La maggior parte dei provider di posta elettronica aziendale cripta i dati dei clienti sia a riposo sia in transito. Gmail lo fa di default. Il Secure/Multipurpose Internet Mail Extensions (S/MIME) è un protocollo che consente di inviare messaggi firmati digitalmente e crittografati. Viene tipicamente utilizzato per email altamente riservate tra organizzazioni regolamentate, come agenzie governative e aziende che vi collaborano.
Sebbene sempre più organizzazioni abbiano reali necessità di email E2EE, poche dispongono delle risorse per implementare S/MIME. I team IT devono acquisire e gestire certificati e distribuirli a ogni singolo utente, con un conseguente aumento degli sforzi e dei costi. Inoltre, gli utenti finali devono assicurarsi che sia loro stessi sia il destinatario abbiano configurato S/MIME (cosa rara), per poi affrontare la complicata procedura di scambio dei certificati prima che le email crittografate possano essere inviate. Questo spesso porta a frustrazione e all’impossibilità di inviare email crittografate.
Le alternative a S/MIME, come le funzionalità di crittografia dei provider di email o soluzioni proprietarie puntuali, presentano a loro volta notevoli svantaggi: la prima richiede la condivisione delle chiavi di crittografia, aumentando i rischi per la privacy e la sovranità dei dati, mentre la seconda complica l’esperienza dell’utente finale con applicazioni personalizzate, portali o estensioni del browser. Crediamo che debba esistere un modo più semplice ed efficiente.
Inviare email crittografate end-to-end a qualsiasi casella di posta con Gmail
L’idea in questo caso è semplice. I messaggi email vengono criptati con pochi click su Gmail, indipendentemente da chi li debba ricevere, senza che gli utenti finali debbano scambiarsi certificati o usare un software personalizzato. Le email sono protette usando chiavi di crittografia controllate dal cliente e non disponibili ai server di Google, garantendo una maggiore privacy e sicurezza dei dati. Inoltre, il team IT non deve più affrontare la complessa configurazione di S/MIME o la gestione dei certificati. Ecco come funziona il dietro le quinte:
- Quando il destinatario è un utente Gmail (aziendale o personale), Gmail invia un’email E2EE. L’email viene automaticamente decifrata nella casella di posta del destinatario, che può utilizzare Gmail in modo del tutto familiare.
- Quando il destinatario non è un utente Gmail, Gmail gli invia un invito per visualizzare l’email E2EE in una versione limitata di Gmail. Il destinatario può quindi usare un account ospite di Google Workspace per visualizzare e rispondere in modo sicuro all’email.
- Quando il destinatario ha configurato S/MIME, Gmail invia l’email E2EE tramite S/MIME (proprio come fa oggi).
Visualizzare in modo sicuro un’email E2EE in una versione limitata di Gmail
I team IT hanno anche la possibilità di richiedere a tutti i destinatari esterni (anche se sono utenti Gmail) di utilizzare la versione limitata di Gmail. Questo aiuta a garantire che i dati dell’organizzazione non finiscano memorizzati su server e dispositivi di terze parti. Inoltre, semplifica la protezione dei dati da parte delle organizzazioni, offrendo loro la possibilità di applicare policy di sicurezza e revocare l’accesso alle email, indipendentemente da quanto tempo fa siano state inviate. In sostanza, l’email E2EE diventa come un documento in Google Drive, consentendo al team IT di controllarne l’accesso.
Questa nuova funzionalità è alimentata dalla crittografia lato client (CSE), un controllo tecnico in Workspace, che aiuta le organizzazioni a proteggere le loro email sensibili, documenti, eventi di calendario e riunioni utilizzando chiavi di crittografia sotto il loro esclusivo controllo e memorizzate al di fuori dell’infrastruttura di Google, in un luogo a loro scelta. I dati vengono crittografati sul client prima di essere trasmessi o memorizzati nel cloud di Google, rendendoli illeggibili per Google e altre entità di terze parti e aiutando a soddisfare i requisiti normativi, come la sovranità dei dati, HIPAA e i controlli sulle esportazioni.
Miglioramenti aggiuntivi di sicurezza e sovranità in Gmail
Oltre alle email E2EE, Google sta anche rendendo disponibili diverse funzionalità di sicurezza in Gmail per aiutare le organizzazioni a mantenere i loro dati sicuri e conformi, tra cui:
- Modalità CSE predefinita — consente agli amministratori IT di impostare una policy che rende le email E2EE una configurazione predefinita in Gmail per i team che gestiscono regolarmente dati sensibili.
- Etichette di classificazione — aiutano gli utenti di un’organizzazione a comprendere la sensibilità dei messaggi e a gestirli di conseguenza.
- Prevenzione della perdita di dati (DLP) — consente ai team IT di sfruttare delle regole per applicare automaticamente etichette di classificazione ai messaggi e intraprendere azioni sui messaggi in base alle etichette stesse, come bloccare la consegna delle email.
- Un nuovo modello di protezione dalle minacce basato sull’AI — abbiamo aggiunto un nuovo modello di intelligenza artificiale globale in Gmail che funge da supervisore per le difese AI/ML ed euristiche esistenti. Esamina migliaia di segnali combinati provenienti da miliardi di dispositivi per rilevare più spam e phishing prima che raggiungano gli utenti.
