Mail v. instant messaging
Hur kommer det sig att företag lägger så pass mycket energi på att utvärdera, fundera och undra över säkerheten i instant messaging-program som Skype och MSN när de inte tycks ha problem med mail?
Man är i regel oroad över två saker angående IM: (1) sårbarheter i klientprogramvaran och de nödvändiga uppdateringsrutinerna som kommer med problemet. (2) Den andra saken verkar vara funktionen programmet är till för att lösa, d v s att låta anställda skicka och ta emot meddelanden samt att skicka och ta emot filer.
Låt oss angripa dem en i taget.
(1) Gällande sårbarheter i klientprogramvaran så gissar jag att de "vanliga" programmen, Excel, Word, Acrobat och Flash, står för en så mycket större mängd av klientsårbarheter att det blir svårt använda det som ett argument. Om du vågar köra dessa program så innebär inte en IM-klient en särskilt förhöjd risk.
(2) Ponera att SMTP, POP3, IMAP, etc inte fanns idag utan att alla använde t ex Skype för att skicka meddelanden och filer till varandra. Anta att någon skapade de RFC:er som beskriver nämnda protokoll idag och publicerade dem. Mailprotokollen hade aldrig blivit accepterade. Både säkerhetsfolk och användare hade ju skrattat.
Trevlig helg i alla fall!
--
Stefan Pettersson
Man är i regel oroad över två saker angående IM: (1) sårbarheter i klientprogramvaran och de nödvändiga uppdateringsrutinerna som kommer med problemet. (2) Den andra saken verkar vara funktionen programmet är till för att lösa, d v s att låta anställda skicka och ta emot meddelanden samt att skicka och ta emot filer.
Låt oss angripa dem en i taget.
(1) Gällande sårbarheter i klientprogramvaran så gissar jag att de "vanliga" programmen, Excel, Word, Acrobat och Flash, står för en så mycket större mängd av klientsårbarheter att det blir svårt använda det som ett argument. Om du vågar köra dessa program så innebär inte en IM-klient en särskilt förhöjd risk.
(2) Ponera att SMTP, POP3, IMAP, etc inte fanns idag utan att alla använde t ex Skype för att skicka meddelanden och filer till varandra. Anta att någon skapade de RFC:er som beskriver nämnda protokoll idag och publicerade dem. Mailprotokollen hade aldrig blivit accepterade. Både säkerhetsfolk och användare hade ju skrattat.
- Va? Kan man skicka meddelanden till vem som helst helt utan att "lägga till" dem först?
- Va? Kan man inte alls lita på vem som är avsändare?
- Va? Skickas meddelanden i klartext över Internet?
- Va? Skickas filer också i klartext?
- Va? Kommer den där filen jag skickar till dig att ligga och skräpa, inte bara på min och din hårddisk utan även i våra respektive mailkorgar, både lokal cache och på servern, för överskådlig framtid?
- Va? För att förtydliga, en känslig fil som skickas från mig till dig lagras alltså på minst fyra, kanske sex, kanske fler, platser?
- Va? Kommer 95 % av alla meddelanden som skickas mellan personer att vara skräp och annonser som ingen vill ha?
- Va? Kommer det att vara svårt att överföra filer som är större än 5 Mb?
Trevlig helg i alla fall!
--
Stefan Pettersson
Kommentarer
Postat av: Martin da Fonseca
Bra inlägg!
Fast större (globala) företag brukar ha en standard IM-klient. Då kan man ju ha svårt att se varför man skall tillåta ytterligare en (typ Skype) eftersom man rimligtvis skall ha alla arbetsrelaterade IM-behov täckta.
Ett annat motargument är att företaget vill kunna granska trafik. Så det faktum att t.ex. Skype är krypterat är då m.a.o. ett minus. Företag vill kunna utöva kontroll över vilken data som lämnar organisationen, och kan man inte granska trafiken så blir ju detta svårt.
Postat av: Stefan Pettersson
Tack! Insynen är förstås en poäng men det är ju långt ifrån tillräcklig argumentation för att mail ska vara det främsta alternativet av de två.
Trackback