Ryzyko korzystania z prywatnej skrzynki e-mail w pracy

Autor: Marcin Soczko — w kategorii Komunikaty IOD-y — 26 lipca 2021

26

lip
2021

Poczta elektroniczna jest jednym z najpowszechniejszych środków komunikacji w biznesie, za pośrednictwem której codziennie przesyłane są dane osobowe. Dlatego też należy zadbać o odpowiedni poziom bezpieczeństwa podczas korzystania z tego kanału komunikacji.

Czytając Komunikat dowiesz się:

  • dlaczego korzystanie z prywatnych skrzynek e-mail przy wykonywaniu pracy nie należy do dobrych praktyk?

  • na jakie zagrożenia można natrafić?

  • czy korzystanie z prywatnych skrzynek mailowych może stanowić naruszenie podstawowych obowiązków pracowniczych?

  • o dobrych praktykach związanych z korzystaniem z komunikacji e-mail.

KORZYSTANIE Z PRYWATNYCH SKRZYNEK E-MAIL A BEZPIECZEŃSTWO DANYCH

Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Personel powinien być świadomy ryzyka, jakie niesie tego typu działanie. Powodów, dla których nie powinno się używać prywatnej skrzynki mailowej do celów służbowych jest wiele, a oto kilka z nich:

  1. Skrzynka prywatna (w zależności od dostawcy oraz poziomu świadczonej usługi poczty elektronicznej) może być gorzej chroniona od poczty służbowej, np. proces odzyskiwania hasła dla prywatnego konta e-mail może być wadliwie zaprojektowany i atakujący będzie mógł  uzyskać do niego dostęp lub filtry antyspamowe mogą być gorszej jakości, co zwiększa ryzyko przeprowadzenia skutecznego ataku phisingowego.

  2. Korespondencja znajdująca się na skrzynce prywatnej może nie podlegać procesom wykonywania kopii zapasowych – co stanowi ryzyko utraty danych.

  3. Ciągłość działania organizacji może zostać przerwana – po odejściu pracownika z pracy, organizacja utraci dostęp do informacji, które są jej potrzebne.

  4. Utrata poufności treści korespondencji e-mail – największe podmioty świadczące usługi (np. Gmail od Google) mogą uzyskiwać dostęp do korespondencji e-mail oraz załączników poprzez skanowanie ich treści. Co więcej, jeżeli serwery dostawcy usługi poczty elektronicznej znajdują się w USA, zgodnie z prawem tam obowiązującym, dostęp do treści wiadomości e-mail może uzyskać również NSA (Amerykańska Agencja Bezpieczeństwa).

KORZYSTANIE Z PRYWATNYCH SKRZYNEK E-MAIL PRZY WYKONYWANIU PRACY A NARUSZENIE PODSTAWOWYCH OBOWIĄZKÓW PRACOWNICZYCH

W kwestii korzystania z prywatnych skrzynek e-mail wypowiedział się już kilkukrotnie Sąd Najwyższy w Polsce, który m.in. w wyroku z 2019 r. orzekł: “Transferowanie dokumentów pracodawcy z jego serwera na prywatną pocztę elektroniczną należy kwalifikować w kontekście naruszenia podstawowych obowiązków pracowniczych” (II PK 334/17). Zwrócił również uwagę, że może w takiej sytuacji dojść do naruszenia tajemnicy przedsiębiorstwa i tym samym narazić je na straty. Poważne naruszenie obowiązków pracowniczych może stać się powodem rozwiązania umowy o pracę z winy pracownika.

JAK UCHRONIĆ SIĘ PRZED NIEBEZPIECZEŃSTWEM?

Liczba zagrożeń związanych z wykorzystaniem skrzynki pocztowej wciąż rośnie. Powinniśmy zachowywać czujność korzystając z poczty email (niezależnie – prywatnej czy służbowej) oraz stosować się do wytycznych i dobrych praktyk w dziedzinie bezpieczeństwa. Pamiętajmy, że każdy z nas może stać się ofiarą cyberataku. Dlatego w przypadku korzystania z poczty elektronicznej:

  1. stosuj hasło dobrej jakości – odpowiedniej długości (min. 8 znaków, a im więcej tym lepiej), odpowiednio złożone (znaki specjalne, duże i małe litery) oraz unikalne (dla każdej usługi stosuj inne hasło);

  2. wykorzystuj dwuskładnikowe uwierzytelnienie − włącz dwuskładnikowe uwierzytelnienie na każdym koncie, na którym jest taka możliwość, a jeśli chcesz uzyskać jeszcze większe bezpieczeństwo stosuj fizyczne klucze U2F, które spowodują, iż atakujący będzie mógł zalogować się na Twoje konto e-mail tylko wówczas, gdy wejdzie w posiadanie wspomnianego klucza;

  3. stosuj aktualne oprogramowanie antywirusowe;

  4. szyfruj i zabezpieczaj hasłem załączniki zawierające informacje o podwyższonym stopniu poufności, w tym dane osobowe;

  5. bądź świadomy istniejących zagrożeń i nie daj się nabrać cyber-przestępcom. Przetestuj swoją wiedzę w zakresie możliwości wyłudzania informacji i sprawdź, czy dałbyś się oszukać 

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.