Jak skutecznie chronić swoją pocztę e-mail?
Czy można korzystać z prywatnej poczty e-mail do celów służbowych? Odpowiedzmy tak: wszystko można, ale nie wszystko jest dobre, właściwe i bezpieczne.
1. Czy można korzystać z prywatnej poczty do celów służbowych?
Każdy urząd, instytucja, firma czy organizacja powinna określić procedury związane z komunikacją, którym pracownicy muszą się bezwzględnie podporządkować. W niektórych firmach regulacje są luźniejsze i “przeskoczenie” na prywatne konto e-mailowe w sytuacji, gdy zarówno służbowe, jak i prywatne konta obsługuje jeden program pocztowy, nie jest traktowane jako wykroczenie.
Inaczej jest w przypadku podmiotów, których korespondencja dotyczy istotnych ustaleń korporacyjnych, zawiera dane wrażliwe, dane innych osób lub gdy przekazywane są istotne informacje państwowe. Po to inwestuje się w zabezpieczenie infrastruktury cyfrowej, żeby decydenci dysponowali bezpiecznymi kanałami komunikacji i wykorzystywali je do celów służbowych.
Ponadto – i przede wszystkim – gdy w danych podmiotach pracowników obowiązują odpowiednie zasady, to oczekuje się, że będą one respektowane.
2. Czy korzystanie z prywatnej usługi e-mail do celów zawodowych jest bezpieczne dla osoby, która to robi?
Najlepiej poznać regulacje pracodawcy w tym zakresie i bezwzględnie ich przestrzegać, w przeciwnym przypadku pracownika może przecież spotkać nawet postępowanie dyscyplinarne. Niemniej dobrym nawykiem jest oddzielanie sfery służbowej i prywatnej również na poziomie komunikacji – dla własnego bezpieczeństwa. Jeśli do wycieku danych dojdzie na służbowym sprzęcie i z firmowego (urzędniczego) konta pocztowego, wtedy odpowiedzialność jest po stronie administratorów systemu – oczywiście pod warunkiem zachowania przez użytkownika wszystkich procedur bezpieczeństwa
Jeśli wyprowadzamy służbową korespondencję bez zezwolenia pracodawcy poza służbowe kanały komunikacji, to ponosimy odpowiedzialność np. za bezpieczeństwo danych zawartych w takiej korespondencji, a także za niedostosowanie się do zaleceń.
Należy pamiętać, że jest miło i dobrze, gdy… jest wszystko dobrze. Szef może mieć luźne podejście do procedur bezpieczeństwa, ale gdy wydarzy się atak lub wyciek, wtedy każda ze stron broni się na wszystkie dostępne sposoby i liczy się tylko to, co na papierze albo w e-mailu. Nie mamy dowodu na pozwolenie, nie było pozwolenia.
3. Jak rozpoznać, że skrzynka została zhakowana lub ktoś uzyskał do niej nieautoryzowany dostęp?
Najczęściej dowiadujemy się po fakcie. Dostawca usługi e-mail powinien udostępnić możliwość sprawdzenia, skąd następuje logowanie. W niektórych komercyjnych usługach pocztowych mamy możliwość bieżącego śledzenia aktywności na koncie.
4. Co przesyłać, a czego lepiej nie przesyłać w e-mailach?
Najlepiej nie przesyłać niezabezpieczonym kanałem niczego, czego nie chcielibyśmy w przyszłości ujrzeć w domenie publicznej. To całkiem prosta zasada i rodzaj “bezpiecznika”, który powinniśmy mieć w głowie.
5. Jakie są wady i zalety darmowych usług poczty elektronicznej oferowanych przez komercyjnych dostawców?
Każda technologia i usługa ma swoje wady i zalety. Powinniśmy się przyjrzeć swoim potrzebom, zwyczajom i przeanalizować nasze “wirtualne życie”, żeby wybrać usługę dopasowaną do własnych oczekiwań. Kluczowym elementem jest zaufanie wobec dostawcy usług. Powierzamy mu w końcu swoją korespondencję.
Oczywiście nie jest tak, że maile czytają ludzie siedzący przed komputerami i dopasowujący ręcznie reklamy. Zajmują się tym algorytmy i automaty.
Największą zaletą darmowych usług oferowanych przez niektórych gigantów technologicznych jest to, że zwykle są dobrze zabezpieczone. Giganci inwestują spore środki, żeby zapewnić bezpieczeństwo usług. Z powodów wizerunkowych nie mogą sobie pozwolić na głośne skandale związane z wyciekami, choć również im zdarzają się wpadki.
6. Czy istnieje alternatywa dla takiej korespondencji?
Relacje służbowe to nie tylko oficjalne komunikaty i wiadomości, ale także to, co dzieje w kuluarach. Nie bez przesady można stwierdzić, że często najistotniejsze decyzje zapadają nie tyle w sali konferencyjnej, ile podczas mniej oficjalnych konsultacji na klatce schodowej biurowca czy w firmowej kuchni. Ludzie chcą się komunikować przy użyciu mniej oficjalnych kanałów niż służbowe konto pocztowe pracodawcy albo obawiają się, że pracodawca będzie miał dostęp do tego, co między sobą ustalają. Pracownik decyduje się na takie rozmowy w sieci – zupełnie jak na wspomnianych schodach – na własną odpowiedzialność, ale i wtedy powinno się zachować podstawowe zasady cyberbezpieczeństwa, czyli po prostu nie przesyłać tajnych, wrażliwych lub kompromitujących danych.
Na rynku nie brakuje też komercyjnych, ale bezpiecznych komunikatorów oferujących np. dobre szyfrowanie typu end-to-end, czyli takie, które gwarantuje, że korespondencję można odczytać tylko na urządzeniach końcowych – nadawcy i odbiorcy. Wielu specjalistów z zakresu cyberbezpieczeństwa poleca komunikator Signal.
7. Jakie są wady, a jakie zalety usług pocztowych zabezpieczanych przez państwo na potrzeby spraw państwowych?
Instytucja w pełni kontroluje infrastrukturę, także pod względem bezpieczeństwa. Czyli ktoś odpowiada za zabezpieczenia. Druga strona medalu jest taka, że administrator ma również możliwość wglądu w taką komunikację, gdy i jeśli zajdzie taka potrzeba w przyszłości. Kimkolwiek by ten administrator był.
Komunikacja państwowa sama w sobie ma także dużą wartość archiwistyczną i historyczną. Historycy standardowo badają dawną korespondencję (listy). Nie ma powodu, aby e-maile traktować inaczej.
8. Jak mogę zwiększyć bezpieczeństwo swojej usługi pocztowej?
Użytkownik powinien mieć sensowne hasło (najlepiej stworzone w ramach zaleceń “Diceware”, czyli np. z kilku losowo wybranych słów), korzystać z uwierzytelniania wieloskładnikowego, czasem monitorować, czy ktoś nie loguje się z nietypowych miejsc. Nie powinno się także samemu logować z niestandardowych miejsc, np. publicznych komputerów. Najlepiej robić to jedynie na własnych urządzeniach i nikomu nie zezwalać na dostęp do włączonego komputera, zwłaszcza gdy jest się zalogowanym.
Ważny jest też zdrowy rozsądek, czyli żeby użytkownik sam nie strzelił sobie w stopę. Przykładowo ważne są pewne podstawy, jak wpisywanie haseł do logowania tylko w odpowiednich miejscach, czyli na właściwej stronie webmaila. Albo lepiej w ogóle tego nie robić, korzystając z menedżera haseł lub klienta e-mail. Ponadto należy rozważnie korzystać z urządzeń w miejscach publicznych i rozglądać się, gdzie są kamery.
Źródło: wyborcza.pl