Ako odoslať citlivé informácie e-mailom. A nie je lepšie iná cesta?
Organizácie i jednotlivci by vždy mali mať obavy o bezpečnosť svojich e-mailových korešpondenciou. Koniec koncov, každý sa pravdepodobne aspoň raz previnil tým, že poslal správu nesprávnej osobe alebo omylom klikol na „odpovedať všetkým“.
Ak máte šťastie, vaša chybne doručená správa neodhalila nič zásadné a maximálne ste sa ospravedlnili. V horšom prípade ste mohli vyzradiť nejaké dôverné informácie alebo citlivé dáta. Veľmi často e-maily tieto dáta obsahujú buď v texte, alebo v prílohe, čo znamená, že prezradenie bude mať aj výrazne zásadnejšie následky.
V závislosti od povahy vyzrazených informácií by to mohlo mať vážne finančné alebo logistické dopady na vaše podnikanie, predstavovať škaredé dôsledky pre súkromie dotknutých osôb alebo firiem, a vystaviť vašu organizáciu alebo priamo vás disciplinárnemu konaniu podľa GDPR (General Data Protection Regulation).
📝Obsah
E-maily predstavujú bezpečnostné riziko
Komunikácia cez e-mail je síce veľmi pohodlná, ale čo sa týka bezpečnosti, tak toho veľa neponúka. Odborníci tento typ komunikácie často prirovnávajú k odoslania listu: vytvoríte správu, zadáte doručovaciu adresu a odovzdáte ju niekomu, aby ho doručil. Správa potom môže byť doručená niekomu inému, ale hrozí aj ďalší rad rizík
Napríklad počítačový zločinec mohol váš účet napadnúť phishingovým podvodom. So správnym prístupom by mohli nastaviť systém, ktorý by odovzdával kópie všetkých e-mailov, ktoré ste poslali, na útočníkov ovládanú e-mailovú adresu. Tí si tak môžu prečítať čokoľvek, čo ste kedy poslali, čo v praxi znamená aj všetky prichádzajúce e-maily, ktoré sa môžu nachádzať kvôli referenciu aj v odoslaných správach.
Aj keď prevažná väčšina e-mailov, ktoré posielame, je úplne neškodná, stačí jeden odchytenie e-mail s citlivými údajmi, ktorý spôsobí veľký problém.
Riziko je aj nesprávna konfigurácia e-mailovej schránky
Podobne by sa zamestnávatelia mali obávať chybné konfigurácie na svojich e-mailových platformách. Chyba v e-mailovej službe organizácie by mohla umožniť zločinnému hackerovi pripojiť sa k e-mailovej sieti bez overenia a potom odosielať e-maily zdanlivo ako zamestnanec. Mohli by tak bez problémov žiadať o citlivé údaje alebo potrebné žiadať o preplatenie faktúr.
Je tak celkom prekvapujúce, že namiesto e-mailov mnohé spoločnosti používajú fax. Je to zastaraná technológia, ktorá sa u nás nikdy zvlášť nepresadila, ale napríklad právnické dokumenty sa takto môžu zasielať.
Problém je, že pre komunikáciu cez fax je potreba, aby tento prístroj mali obe strany. Nie je to teda bohužiaľ moc praktické a je potrebné sa skôr pozerať po nových technológiách, ktorými možno posielané e-maily chrániť.
Šifrovanie e-mailov
GDPR neodporúča konkrétne technológie (čo je nutné, aby sa zabránilo nadbytočnosti pri vzniku nových systémov), ale uvádza niekoľko odkazov na šifrovanie. Ide o proces šifrovania informácií, aby k nim mal prístup len schválený užívateľ.
Organizácie, ktoré spracúvajú veľké objemy citlivých dát, často používajú šifrovaný e-mail a niektorí poskytovatelia služieb, napríklad ProtonMail vo Švajčiarsku a Tutanota v Nemecku, ktoré tieto šifrovacie služby ponúkajú.
Pre väčšinu podnikov alebo podnikateľov však bude táto technológia pre e-mail nepraktická. Väčšina správ pre začiatok neobsahuje informácie, ktoré by bolo nutné zašifrovať, takže by len zbytočne využívali zdrojov a vydávali peniaze.
Zdieľanie cez cloudové služby
Veľmi zaujímavé je tak ukladanie a šírenie informácií cez cloudové služby, ktoré komunikáciu šifrujú (pozor, nemusí to platiť v 100% prípadov, takže si vždy overte zabezpečenia a ako sa s vašimi dátami zaobchádza). Ľahko možno nahrať súbory alebo celé priečinky a odkaz poslať príjemcom. Ak by ste odkaz omylom zaslali a okamžite si uvedomili chybu, môžete súbory ihneď zmazať a dá sa predísť katastrofe. Súbory by sa mali zmazať aj po ich úspešnom odovzdaní.
Cloud totiž nie je nepreniknuteľnou pevnosťou, ktorá automaticky udržuje všetky vaše informácie v bezpečí. Je to proste server prevádzkovaný treťou stranou, ktorý preberá zodpovednosť za jeho zabezpečenie. Za porušenie podmienok alebo únik dát by ste boli zodpovední taky, ale spoluvinu by niesol prevádzkovateľ služieb, ak by sa preukázalo, že dáta unikla kvôli ich technickej chybe. Prevádzkovatelia cloudových služieb majú preto enormný záujem na tom, aby zabezpečenie bolo nepriestrelné a dáta bola naozaj v bezpečí.