fbpx

Skuteczne szyfrowanie wiadomości mailowych

szyfrowanie wiadomości mailowych

Szyfrowanie wiadomości mailowych to często niedoceniany i zapominany, ale też najprostszy sposób na bezpieczne przesyłanie danych osobowych. Niestety, źle zaadresowany mail to wciąż najczęstsza przyczyna wycieków danych w firmach, dlatego warto temu tematowi poświęcić chwilę uwagi. Jeśli jesteś ciekaw, w jaki sposób zaszyfrować wiadomości mailowe i jak zrobić to skutecznie – to zapraszamy.

Spis treści

Dlaczego szyfrowanie wiadomości mailowych jest ważne?

Jeśli zależy Ci, aby przesyłane przez Ciebie lub Twoich pracowników ważne informacje, takie jak dane osobowe klientów, informacje poufne o firmie bądź dane biznesowe, nie znalazły się w posiadaniu osób niepowołanych – zacznij szyfrować wiadomości mailowe.

Przyjrzyjmy się poniższej sytuacji, która faktycznie miała miejsce (imiona i nazwiska oraz adres e-mail zostały zmienione)

Pani Grażyna, wieloletni pracownik biurowy dużej korporacji, nie szyfruje załączników w mailach, ponieważ nie uważa tego za konieczne. Pewnego dnia, wysyłając umowę do ważnego klienta o bardzo popularnym imieniu i nazwisku – Jana Nowaka, który korzysta również z bardzo popularnej poczty, pomyliła się podczas wpisywania jego adresu e-mail. Zamiast na adres jan.nowak@wp.pl , niezaszyfrowaną wiadomość, zawierającą szeroki zakres danych osobowych, wysłała na adres jannowak@wp.pl. Brak kropki w adresie nie został zauważony przez pracownicę. Gdyby przyszła informacja zwrotna, informująca o tym, że taki adres mailowy nie istnieje – nic by się nie wydarzyło. Niestety, kolejnego dnia do Pani Grażyny zadzwonił oburzony klient, z którym skontaktował się odbiorca błędnie nadanego maila. Z względu na brak wdrożonych procedur i niską świadomość pracownika, klient zażądał zadośćuczynienia szkody oraz wynegocjował znacznie korzystniejsze warunki umowy. Oczekiwał także na potwierdzenie zgłoszenia naruszenia do UODO. Jak można było tego uniknąć? O tym przeczytasz w dalszej części artykułu.

Zobacz potencjalne konsekwencje takiej sytuacji:

  • kontrola Urzędu Ochrony Danych Osobowych (UODO),
  • wymuszenie przez poszkodowanego zadośćuczynienia, np. większego rabatu na usługi i produkty,
  • utrata klienta (spowodowana utratą zaufania do firmy), co wiąże się bezpośrednio z utratą dochodów/ zysków,
  • pogorszenie renomy firmy,
  • konkurencja, która odpowiednio zabezpiecza dane, może pozyskać twoich klientów.

Konsekwencje wysłania maila do nieodpowiedniego odbiorcy nie ograniczają się wyłącznie do tych, wynikających z RODO – mogą wpłynąć na cały Twój biznes.

Jeśli zastanawiasz się, jakie są szanse na zaistnienie powyższych sytuacji, śpieszymy z odpowiedzią. Wysłanie maili do nieprawidłowego odbiorcy jest jednym z najczęstszych błędów wśród pracowników.

Na czym polega szyfrowanie wiadomości mailowych?

Szyfrowanie wiadomości mailowych polega na zabezpieczeniu załącznika lub całej wiadomości hasłem. Hasło to jest znane tylko nam oraz osobie, do której wysłaliśmy maila. Głównym założeniem szyfrowania e-maila jest zachowanie poufności i prywatności informacji w nim się znajdujących.

Możemy zaszyfrować:

  • część wiadomości – np. załączony dokument Word, Excel, pdf,
  • całą wiadomość mailową za pomocą programu pocztowego / programu do generowania kluczy pozwalających na szyfrowanie i rozszyfrowywanie wiadomości

Pierwszy sposób nie wymaga od nas skomplikowanych konfiguracji konta pocztowego, ponieważ wystarczy ustawić hasło do samego pliku (w dalszej części artykułu zamieszczamy dokładną instrukcję, jak to zrobić). Natomiast drugi sposób jest uzależniony od programu pocztowego, z którego korzystasz i wiąże się z wprowadzeniem dodatkowych ustawień oraz zainstalowaniem dedykowanych wtyczek bądź specjalnego programu, służącego do generowania kluczy.

Jak poprawnie szyfrować wiadomości mailowe?

Aby szyfrowanie wiadomości mailowych miało sens i spełniało swoją rolę, muszą zostać spełnione następujące zasady:

  1. Program szyfrujący
    Dane należy szyfrować za pomocą programu do szyfrowania, np. 7-ZIP, WinRAR, Word, Excel, który potrafi zakodować dane tak, aby ich odczytanie było możliwe tylko i wyłącznie w przypadku posiadania hasła.
  2. Siła hasła
    Hasło powinno składać się z co najmniej 8 znaków, z wykorzystaniem małych i wielkich liter oraz cyfr lub znaków specjalnych (!@#$%^&*). O tym, jak tworzyć silne hasła, przeczytasz tutaj.
  3. Poprawność adresu email
    Należy upewnić się, czy adres email, na który chcemy przesłać zaszyfrowaną wiadomość, jest poprawny. Sprawdź także, czy dane osobowe wykraczające poza konieczne (tzn. imię, nazwisko, adres mailowy, dane firmowe) nie są zawarte np. w niezaszyfrowanej treści maila.
  4. Nie korzystaj z automatycznych sugestii (podpowiedzi)
    Lista zapisanych adresów e-mail, która rozwija się po wpisaniu początkowych liter adresu e-mail w rubryce „do” lub „odpowiedz do”, bywa pomocna. Jednakże pamiętaj – korzystanie z niej, zwłaszcza w pośpiechu, zwiększa ryzyko wysłania wiadomości na niewłaściwy adres e-mail.
  5. Kopia ukryta “UDW”
    Wysyłając wiadomość do wielu odbiorców, zamieszczaj ich adresy w kopii ukrytej. Żeby ukryć adresy wszystkich odbiorców, należy wybrać opcję „UDW” (ukryte do wiadomości), która pozwala na przesłanie wiadomości w taki sposób, aby odbiorcy nie widzieli wzajemnie swoich adresów.
  6. Funkcja “przekaż wiadomość”
    Nie przekazuj otrzymanych wcześniej wiadomości bez zgody ich autora.
  7. Stała korespondencja
    Stałe hasło, które zostało ustalone odgórnie, np. z klientem, w przypadku regularnej korespondencji – w celu zwiększenia bezpieczeństwa – zaleca się zmieniać na przykład co kwartał.   
  8. Przesłanie hasła odbiorcy
    Pracownik powinien przesłać odbiorcy hasło, umożliwiające odczytanie zaszyfrowanych danych, bezpiecznym kanałem komunikacji innym niż poczta elektroniczna, np. za pomocą wiadomości SMS lub podać je podczas rozmowy telefonicznej.
Ostatnia zasada jest bardzo ważna.

Dlaczego? Zastanów się – jeśli wyślesz hasło w tej samej wiadomości, gdzie został zamieszczony zaszyfrowany załącznik, to tak, jakbyś zamknął swoje pieniądze w sejfie, a na nim przykleił kartkę z kodem. Bez sensu, prawda? Takie “zabezpieczenie” tak naprawdę przed niczym nie chroni. A jeżeli prześlesz hasło w następnej wiadomości? Niestety, to również nie jest dobry pomysł. Pomyśl, co by było, gdyby obie wiadomości – pierwsza z zaszyfrowanym załącznikiem i druga z hasłem – trafiły na ten sam błędnie wybrany adres e-mail. Bezpiecznym rozwiązaniem jest przesłanie hasła innym kanałem – na przykład w wiadomości SMS lub podczas rozmowy telefonicznej. Wówczas możesz mieć pewność, że hasło dotrze do odpowiedniej osoby. Jeżeli często kontaktujesz się mailowo z konkretnym odbiorcą, możecie ustalić jedno hasło do odszyfrowania przesyłanych załączników. Należy wówczas szczególnie zadbać o siłę tego hasła oraz o częstotliwość jego zmiany, na przykład co kwartał.

Instrukcje szyfrowania plików krok po kroku

Poniżej przygotowaliśmy instrukcję szyfrowania plików w popularnych programach takich jak MS Office, WinRAR i 7zip. Zamieszczone obrazki pokazują, gdzie szukać właściwych ustawień.

1. WORD/ EXCEL – szyfrowanie plików

szyfrowanie wiadomości mailowych w WORD / EXCEL

1. Plik > 2. Informacje > 3. Chroń skoroszyt > 4. Szyfruj przy użyciu hasła >                                                                         

szyfrowanie w WORD / EXCEL

5. Wprowadź hasło  >  6. Wprowadź hasło ponownie  >  7. OK

2. 7-ZIP szyfrowanie plików

szyfrowanie wiadomości mailowych w 7 - ZIP

1. Kliknij w wybrany dokument prawym przyciskiem myszki  >  2. Z listy wybierz program „7- Zip” >  3. Dodaj do archiwum >

szyfrowanie plików, dokumentów w 7 - ZIP

4. Szyfrowanie  >  Wprowadź hasło  >  5. Wprowadź ponownie hasło >  6. OK

3. WinRAR – Szyfrowanie plików

szyfrowanie plików w WinRAR

1. Kliknij w wybrany dokument prawym przyciskiem myszki  >  2. Z listy wybierz program „Dodaj do archiwum…” >  

szyfrowanie w WinRAR

3. Wybierz “ustaw hasło…” >

szyfrowanie w WinRAR

4. Wprowadź hasło > 5. Potwierdź hasło > 6. OK

Co szyfrować a czego nie?

Oczywiście, żadne skrajności nie są dobre. Aby znaleźć złoty środek, przygotowaliśmy zestawienie przykładowych informacji, które powinny zostać zaszyfrowane lub nie. Podzieliliśmy również informacje na te przesyłane wewnątrz i na zewnątrz firmy.

Dane przesyłane pomiędzy pracownikami

Dokumenty firmowe / dane biznesowe – tzw. informacje poufne, np.:
– raporty sprzedażowe, rozliczenia, faktury, listy pracowników, listy płac,
umowy, polisy, wnioski kredytowe, umowy kredytowe, leasingowe itp.,
– korespondencja mówiąca, np. o sytuacji majątkowej (zaświadczenia o wynagrodzeniach, zajęcia komornicze), inne zaświadczenia. 		tak
Nazwa i adres firmynie
Imię i nazwisko pracownika wysyłającego e-mail                                                          
– jako podpis w stopce (na dole) maila.		nie

Dane przesyłane przez pracownika do klienta

Oferty dedykowane, zawierające dane potencjalnego klienta,
np. imię, nazwisko, nr telefonu.		tak
Oferta firmy, która nie zawiera informacji, mogących wpłynąć na nieuczciwą konkurencje.nie
Imię i nazwisko wraz z innymi informacjami o osobie, np. adres zamieszkania i/lub pesel i/lub nr dowodu osobistego.  tak
Dane klientów: imię, nazwisko wraz z danymi kontaktowymi, np.
– numer telefonu,
– adres e-mail o formacie typu:                  
imie.nazwisko@domena/nazwa firmy.pl
-nazwa firmy, w której pracuje.  		tak
Dokumenty, zawierające dane osobowe i/lub informacje, oznaczone na tej liście jako wymagające szyfrowania:
– reklamacje, gwarancje, zlecenia serwisowe.		tak
Dane należące do szczególnej kategorii, np. :
– klienci z niepełnosprawnością,
– ujawniające pochodzenie rasowe lub etniczne,
– dotyczące zdrowia pracowników,
– dane o naruszeniach prawa (zdjęcia z fotoradarów, mandaty karne, zajęcia komornicze, decyzje),
– poglądy polityczne, przekonania religijne lub światopoglądowe,
– przynależność do związków zawodowych,
– dane dotyczące orientacji seksualnej.		tak
Skany dokumentów, także wynikające z procedur innych administratorów, takich jak: ubezpieczyciele, banki (prawo jazdy, dowody rejestracyjne, dowód osobisty i inne).tak

Samo zaszyfrowanie wiadomości nie chroni przed atakiem hackerskim lub w przypadku kradzieży urządzenia służbowego. Osoby niepowołane mogą uzyskać dostęp do tych wiadomości z dysku, na którym są przechowywane wszystkie e-maile. Dlatego, dla większego bezpieczeństwa, zadbaj o zaszyfrowanie dysku.

Jeśli chcesz dowiedzieć się, jak skutecznie chronić dane osobowe, kliknij tutaj

Wysłałam/em wiadomość mailową na zły adres – co zrobić?

W pierwszej kolejności nie panikować!

Jeżeli wysłałeś wiadomość na niewłaściwy adres e-mail, ale nie dostałeś żadnej informacji zwrotnej o jej niedostarczeniu, oznacza to, że taki adres e-mail istnieje i ktoś mógł otworzyć tę wiadomość. Jakie kroki należy wykonać w takiej sytuacji?

  1. Nie usuwaj błędnie wysłanej wiadomości – w razie potrzeby stanowi ona dowód w przypadku, gdy niepowołany odbiorca będzie próbował przykładowo podszyć się pod osobę, której dane osobowe otrzymał w wiadomości.
  2. Powiadom o tym swojego przełożonego – nie zatajaj swojego błędu, może on prędzej czy później wyjść na jaw. Przecież ukrywanie takich wpadek byłoby działaniem na szkodę firmy.
  3. Napisz wiadomość z prośbą o zignorowanie błędnie wysłanego maila, usunięcie go i przesłanie potwierdzenia usunięcia. Niestety, nigdy nie można mieć pewności, czy dana osoba okaże się uczciwa i postąpi zgodnie z naszą prośbą. Jednakże będzie to dowód w przypadku nieuprawnionego wykorzystania otrzymanych danych przez tę osobę.
  4. Poinformuj osobę, której dane zostały udostępnione oraz UODO – dotyczy to sytuacji, gdy zakres udostępnionych danych jest na tyle szeroki, że może nieść negatywne skutki dla osoby poszkodowanej, np. ryzyko kradzieży tożsamości, szkody finansowe (np. zaciągnięcie kredytu) itp. W takim przypadku koniecznie trzeba poinformować osobę, której dane dotyczą o naruszeniu i jego potencjalnych skutkach oraz zapewnić wsparcie w podjęciu przez nią działań, aby zminimalizować skutki naruszenia. Należy również poinformować Urząd Ochrony Danych Osobowych.

Czy mogę cofnąć wysłaną już wiadomość?

Niestety nie.

Zapamiętaj – wysłanego maila nie można w żaden sposób cofnąć!

Co prawda, niektórzy dostawcy poczty elektronicznej umożliwiają opóźnienie wysyłki danej wiadomości (np. Gmail o maksymalnie 30 sekund). Mamy wówczas ostatnią szansę na zatrzymanie / cofnięcie wysyłania maila. Taka funkcja może być przydatna również w wyniku przypadkowego kliknięcia “Wyślij”. Jeżeli jednak wiadomość została już wysłana, nie można tego już cofnąć.

Jeśli chcesz poszerzyć swoją wiedzę w zakresie ochrony danych osobowych i uniknąć wycieków danych osobowych w Twojej firmie, sprawdź co możemy dla Ciebie zrobić:

Kurs RODO online

Ochrona danych osobowych – oferta

Tag:, , , , , ,

author avatar
Ewelina Frączewska

Może Ci się spodobać

ewidencja upoważnień
Ewidencja upoważnień – czym jest i jak ją prowadzić?
29 września, 2023
Kopia do artykułów — kopia (13)
Kursy RODO online: droga do profesjonalnej wiedzy o ochronie danych
7 września, 2023
Kopia do artykUpoważnienie do przetwarzania danychułów — kopia (12)
Upoważnienie do przetwarzania danych osobowych – jak je poprawnie wystawić?
24 sierpnia, 2023