Jak odeslat citlivé informace e-mailem. A není lepší jiná cesta?
Organizace i jednotlivci by vždy měly mít obavy o bezpečnost svých e-mailových korespondencí. Koneckonců, každý se pravděpodobně alespoň jednou provinil tím, že poslal zprávu nesprávné osobě nebo omylem klikl na „odpovědět všem“.
Máte-li štěstí, vaše chybně doručená zpráva neodhalila nic zásadního a maximálně jste se omluvili. V horším případě jste mohli vyzradit nějaké důvěrné informace nebo citlivá data. Velmi často e-maily tato data obsahují buď v textu, nebo v příloze, což znamená, že jejich vyzrazení bude mít i výrazně zásadnější následky.
V závislosti na povaze vyzrazených informací by to mohlo mít vážné finanční nebo logistické dopady na vaše podnikání, představovat ošklivé důsledky pro soukromí dotčených osob nebo firem, a vystavit vaši organizaci nebo přímo vás disciplinárnímu řízení podle GDPR (General Data Protection Regulation).
📝Obsah
E-maily představují bezpečnostní riziko
Komunikace přes e-mail je sice velmi pohodlná, ale co se týče bezpečnosti, tak toho moc nenabízí. Odborníci tento typ komunikace často přirovnávají k odeslání dopisu: vytvoříte zprávu, zadáte doručovací adresu a předáte ji někomu, aby jej doručil. Zpráva pak může být doručena někomu jinému, ale hrozí i další řada rizik
Například počítačový zločinec mohl váš účet napadnout phishingovým podvodem. Se správným přístupem by mohli nastavit systém, který by předával kopie všech e-mailů, které jste poslali, na útočníky ovládanou e-mailovou adresu. Ti si tak mohou přečíst cokoliv, co jste kdy poslali, což v praxi znamená i všechny příchozí e-maily, které se mohou nacházet kvůli referenci i v odeslaných zprávách.
I když naprostá většina e-mailů, které posíláme, je zcela neškodná, stačí jeden odchytnutý e-mail s citlivými údaji, který způsobí velký problém.
Riziko je i nesprávná konfigurace e-mailové schránky
Podobně by se zaměstnavatelé měli obávat chybné konfigurace na svých e-mailových platformách. Chyba v e-mailové službě organizace by mohla umožnit zločinnému hackerovi připojit se k e-mailové síti bez ověření a poté odesílat e-maily zdánlivě jako zaměstnanec. Mohli by tak bez problémů žádat o citlivé údaje nebo třeba žádat o proplacení faktur.
Je tak docela s podivem, že namísto e-mailů mnohé společnosti používají fax. Je to zastaralá technologie, která se u nás nikdy zvlášť neprosadila, ale třeba právnické dokumenty se takto mohou zasílat.
Problém je, že pro komunikaci přes fax je potřeba, aby tento přístroj měly obě strany. Není to tedy bohužel moc praktické a je potřeba se spíše dívat po nových technologiích, kterými lze posílané e-maily chránit.
Šifrování e-mailů
GDPR nedoporučuje konkrétní technologie (což je nutné, aby se zabránilo nadbytečnosti při vzniku nových systémů), ale uvádí několik odkazů na šifrování. Jedná se o proces šifrování informací, aby k nim měl přístup pouze schválený uživatel.
Organizace, které zpracovávají velké objemy citlivých dat, často používají šifrovaný e-mail a někteří poskytovatelé služeb, například ProtonMail ve Švýcarsku a Tutanota v Německu, které tyto šifrovací služby nabízejí.
Pro většinu podniků nebo podnikatelů však bude tato technologie pro e-mail nepraktická. Většina zpráv pro začátek neobsahuje informace, které by bylo nutné zašifrovat, takže by jen zbytečně využívali zdrojů a vydávali peníze.
Sdílení přes cloudové služby
Velmi zajímavé je tak ukládání a šíření informací přes cloudové služby, které komunikaci šifrují (pozor, nemusí to platit ve 100% případů, takže si vždy ověřte zabezpečení a jak se s vašimi daty zachází). Snadno lze nahrát soubory nebo celé složky a odkaz poslat příjemcům. Pokud byste odkaz omylem zaslali a okamžitě si uvědomili chybu, můžete soubory ihned smazat a dá se předejít katastrofě. Soubory by se měly smazat i po jejich úspěšném předání.
Cloud totiž není neproniknutelnou pevností, která automaticky udržuje všechny vaše informace v bezpečí. Je to prostě server provozovaný třetí stranou, který přebírá odpovědnost za jeho zabezpečení. Za porušení podmínek nebo únik dat byste byli odpovědní taky, ale spoluvinu by nesl provozovatel služeb, pokud by se prokázalo, že data unikla kvůli jejich technické chybě. Provozovatelé cloudových služeb mají proto enormní zájem na tom, aby zabezpečení bylo neprůstřelné a data byla opravdu v bezpečí.