Standard di sicurezza e-mail negli studi legali

Le e-mail sono indispensabili nella quotidianità lavorativa degli studi legali e dei dipartimenti legali. Spesso vengono scambiate informazioni sensibili e riservate. Per questo è tanto più importante adottare misure tecniche adeguate per garantire la sicurezza e la riservatezza delle comunicazioni.

Il problema della scarsa diffusione della crittografia end-to-end (E2E) tramite SMIME o PGP è noto. Voler comunicare con i clienti (soprattutto privati) in modo crittografato E2E fallisce di norma per la semplice impossibilità di implementazione.

Requisiti legali per gli studi legali nella comunicazione via e-mail

Gli avvocati sono vincolati al segreto professionale. Non da ultimo a causa di questa caratteristica, devono prestare particolare attenzione affinché i contenuti delle comunicazioni tra loro e il cliente rimangano riservati.

Le linee guida della Conferenza delle Autorità indipendenti per la protezione dei dati della Federazione e dei Länder del 27 maggio 2021 distinguono tra obblighi in caso di rischi normali e obblighi in caso di rischi elevati. A seconda di ciò, una crittografia di trasporto può essere una protezione sufficiente oppure è necessaria una crittografia di trasporto qualificata e, se del caso, una crittografia E2E.

Poiché la presenza di un segreto professionale può costituire un indizio di rischio elevato, i soggetti vincolati al segreto professionale devono verificare con particolare attenzione il livello di rischio in ciascun caso.

La crittografia di trasporto qualificata dovrebbe essere utilizzata per impostazione predefinita

Oggi praticamente non esistono più servizi e-mail in cui non sia attivata la crittografia di trasporto. Ciò significa che in caso di rischio normale si può generalmente presumere che la comunicazione con il cliente sia conforme alla protezione dei dati. Tuttavia, rimane un rischio elevato nel singolo caso: il certificato di incapacità lavorativa nella comunicazione normale di un caso di diritto del lavoro poteva essere ricevuto o inviato anche via e-mail?

In questo contesto, si raccomanda a uno studio legale di adottare in ogni caso le misure tecniche per una crittografia di trasporto qualificata.

Crittografia di trasporto qualificata secondo BSI TR-03108

Il BSI stabilisce con la Direttiva Tecnica TR-03108 i requisiti per una comunicazione e-mail sicura e definisce lo stato dell'arte. Parte delle misure di sicurezza deve essere fornita o implementata dai provider e-mail. Tuttavia, per il funzionamento e l'integrazione dei vari protocolli di sicurezza è necessario l'adattamento delle voci DNS specifiche del dominio.

Lo sforzo di implementazione per la crittografia di trasporto qualificata si verifica una sola volta

Considerando che la crittografia di trasporto qualificata deve essere configurata dallo studio legale una sola volta e successivamente consente un livello di protezione significativamente più elevato nel traffico e-mail senza ulteriori interazioni, sorprende che solo circa il 4% degli studi legali in Germania l'abbia attivata.

In molti casi, gli amministratori degli studi legali potrebbero effettuare la configurazione senza costi aggiuntivi e senza tempi di inattività.

Studio: diffusione delle tecniche di sicurezza e-mail negli studi legali

Gli autori hanno estratto circa 25.000 record dal set di dati del Registro Federale Ufficiale degli Avvocati della Camera Federale degli Avvocati in vista della redazione di questo articolo e hanno sottoposto a analisi gli indirizzi e-mail in esso contenuti. Sono state recuperate le voci specifiche e-mail dei server di dominio per i domini associati agli indirizzi e-mail e sono stati analizzati (in modo non intrusivo) i server e-mail rilevati.

Acquisizione dei dati tramite il servizio di ricerca della Camera Federale degli Avvocati

In Germania sono autorizzati circa 165.800 avvocati e avvocate e sono reperibili tramite il servizio di ricerca della BRAK. Il sito web del Registro Federale Ufficiale degli Avvocati offre la possibilità di elencare tutti gli avvocati e le avvocate autorizzati per ciascuna delle 29 circoscrizioni dell'ordine. Questi vengono visualizzati in gruppi di sei voci per pagina. Tramite web scraping abbiamo scaricato e salvato per ogni circoscrizione dell'ordine gli indirizzi e-mail di tutte e sei le persone elencate in ogni quinta pagina del registro degli avvocati. In questo modo è stato rilevato circa il 20% degli avvocati e delle avvocate autorizzati in Germania.

Non per ogni voce è stato possibile rilevare un indirizzo e-mail. Molte persone registrate nel registro utilizzano lo stesso dominio nella loro e-mail. Alternativamente, perché utilizzano il server e-mail di ad es. T-Online senza un proprio dominio o perché come membri di un grande studio come ad es. Fresh*** avevano indicato un indirizzo e-mail "@fresh***.com".

Dopo che i dati ottenuti sono stati puliti da errori e duplicati, è stato possibile generare un numero totale di 12.105 domini e-mail distinti dai dati. Per dominio e-mail si intende la parte di un indirizzo e-mail dopo il simbolo "@", ad esempio "t-online.de" per "ra-schmidt2341@t-online.de".

Analisi dei protocolli di sicurezza implementati per dominio e-mail

I protocolli di sicurezza presentati nel corso dell'articolo possono essere verificati per un rispettivo dominio e-mail tramite query mirate del server DNS e tentativi di connessione al server di posta indicato nella voce DNS.

A tal fine viene utilizzato lo strumento Linux "dig" e un software open source mecsa-st pubblicato dalla Commissione europea nell'ambito di uno studio del 2020. (Link allo strumento su GitHub)

Ciascuno dei 12.105 domini è stato successivamente esaminato con entrambi gli strumenti e i risultati sono stati memorizzati temporaneamente per ulteriori analisi.

A causa della natura dell'indagine, è stato possibile esaminare solo parti dei protocolli di sicurezza. Per un'analisi completa della corretta implementazione dei rispettivi protocolli di sicurezza sarebbe stata necessaria una comunicazione effettivamente eseguita via e-mail con il server di posta esaminato. L'analisi si limita quindi alla presenza delle voci DNS riconoscibili "dall'esterno", che poi permettono di dedurre un'implementazione (corretta) nel server di posta.

Per quanto riguarda TLS, va aggiunto che l'analisi rileva solo se un server di posta supporta TLS, ma non se riceve o invia obbligatoriamente solo tramite TLS.

Pulizia e valutazione dei risultati dell'analisi

I risultati dell'analisi dei 12.105 domini interrogati hanno richiesto alcuni passaggi di pulizia prima della loro valutazione. Si è infatti scoperto dopo l'analisi che alcuni server di posta interrogati frequentemente restituivano apparentemente un risultato negativo per il test STARTTLS, sebbene supportino STARTTLS. Ciò è stato ricondotto al fatto che l'analisi condotta dagli autori superava il limite di richieste-per-tempo sui rispettivi server.

Queste incongruenze nei dati sono state eliminate mediante verifiche successive manuali.

Risultati dell'analisi: diffusione dei protocolli di sicurezza

Lo studio condotto dagli autori rivela un quadro fondamentalmente positivo:

Degli 11.546 domini da valutare dopo la correzione degli errori, 11.436 dei server e-mail utilizzati hanno implementato TLS con certificati validi (oltre il 99%). (A questo punto va notato che da ciò non si può concludere con certezza che gli altri non abbiano implementato TLS. Possono esserci diversi motivi per cui il test fornisce risultati falsi negativi su singole connessioni.)

Un'ampia maggioranza ha anche implementato gli importanti protocolli DKIM e SPF. Curiosamente, la voce DMARC corrispondente è impostata con il valore "quarantine" o "reject" in appena un quarto dei domini testati. Ciò sorprende, poiché si basa direttamente su DKIM e SPF e non comporta alcuno sforzo di implementazione aggiuntivo per il rispettivo avvocato o studio legale.

Ben distanti si trovano tuttavia DANE e DNSSEC. Ci sono alcuni provider che implementano già questi protocolli di sicurezza per impostazione predefinita. Se uno studio legale o un avvocato utilizza direttamente questo servizio (quindi senza un proprio dominio), ne beneficia immediatamente.

Implementazione per gli studi legali

La maggior parte degli studi legali e dei dipartimenti legali non gestisce server di posta propri, ma utilizza servizi di fornitori terzi come Microsoft 365 o Google Workspace. Tuttavia, hanno solitamente un proprio dominio.

Per poter utilizzare misure come SPF, DKIM, DMARC o DANE, è necessario creare e inserire le voci DNS richieste per il proprio dominio. Le verifiche e le azioni effettive vengono quindi eseguite dai server di posta dei fornitori di servizi. Si tratta essenzialmente di impostazioni da effettuare una sola volta.

TLS è già standard presso tutti i server di posta comuni e di norma non richiede alcuna azione da parte dello studio legale. Un'osservata implementazione praticamente completa di questo standard non sorprende quindi.

Le impostazioni necessarie possono essere inserite dagli amministratori (o da avvocati esperti) nel sistema DNS del proprio dominio.

DANE e DNSSEC sono già supportati da molti registrar di domini. Tuttavia, l'implementazione è diversa: alcuni provider offrono un'attivazione comoda con un clic e effettuano automaticamente le impostazioni necessarie. Altri richiedono una configurazione più complessa da eseguire dall'amministratore dello studio.

Per implementare DANE, dopo l'attivazione di DNSSEC, è necessario impostare i cosiddetti record TLSA. Non abbiamo una panoramica completa del mercato, ma dalla nostra esperienza (sofferta) abbiamo dovuto constatare che, ad esempio, Microsoft con la sua offerta di server di posta (Exchange 365) non può facilmente fornire le informazioni necessarie:

Considerando che la Direttiva Tecnica BSI-TR-03108 considera necessaria l'implementazione di DANE per il traffico e-mail sicuro, gli studi legali dovranno eventualmente confrontarsi con gli aspetti di sicurezza supportati dai fornitori di servizi di posta.

Conclusione

La sicurezza e-mail è un tema importante per ogni studio legale. Misure come TLS, SPF, DKIM e DMARC possono essere implementate con uno sforzo gestibile e offrono una protezione efficace contro molte minacce. DANE e DNSSEC sono già oggi legalmente necessari, ma considerando la loro diffusione e gli ostacoli all'implementazione sono attualmente da definire promettenti per il futuro.

Piattaforma MaraDocs Upload

In aggiunta al nostro prodotto attuale MaraDocs, stiamo attualmente sviluppando attivamente una piattaforma di upload per consentire lo scambio di file tra studi legali e clienti. La piattaforma garantirà che i file scambiati tra studi legali e clienti siano riservati e sicuri.

Rimanete aggiornati con noi e iscrivetevi alla nostra newsletter.