Google ha annunciato che Gmail e Calendar supportano ora la Client-Side Encryption (CSE) per migliorare la privacy dei dati delle aziende. La soluzione mira a migliorare la conformità per le imprese e le organizzazioni del settore pubblico, garantendo che nessuna parte terzo, compresa Google, possa accedere ai dati riservati. A tal proposito, Igor Kuznetsov, Chief Security Researcher, Global Research and Analysis Team (GReAT) di Kaspersky, ha commentato:
“Secondo le ultime notizie, la Client-Side Encryption (CSE) di Google non è una crittografia end-to-end (E2E) ed è una tecnologia che garantisce che i dati non siano accessibili a terzi durante la loro trasmissione. Al contrario, la nuova funzione di Google protegge e cripta solo i dati memorizzati sui server del colosso tecnologico, o “data-at-rest” se si parla di linguaggio informatico professionale.
Questo significa che le aziende devono ancora prestare attenzione alla protezione dei dati dai malintenzionati. La nuova tecnologia non riduce i rischi informatici esistenti associati alle e-mail aziendali e ad altri servizi. Gli attaccanti possono infatti ancora utilizzare metodi diversi per il furto dei dati direttamente dai server di Google.
Ad esempio, la nuova funzione non impedisce il furto dei dati in caso di compromissione dell’account. Gli attori delle minacce possono ancora accedere a qualsiasi informazione sensibile ottenendo le credenziali attraverso tecniche come il phishing. Le pratiche standard per la protezione dell’account, come l’identificazione a due fattori e l’utilizzo di una soluzione di sicurezza comprovata per gli endpoint, non sono diventate meno necessarie.
È inoltre opportuno ricordare che la client-side encryption non elimina in alcun modo le minacce provenienti da insider malevoli. La funzione viene implementata per gli account aziendali e gli amministratori hanno il pieno controllo sulle chiavi di crittografia: possono attivarla, modificarla e decifrare le informazioni.”