Bezpieczeństwo danych w wiadomościach e-mail

• Rafał Stępniewski
• /
• 17 października 2017

Na danych osobowych, które gromadzone są przez przedsiębiorców lub właścicieli firm, przeprowadzanych jest wiele operacji, a wśród nich na przykład przesyłanie ich w wiadomościach e-mail. Według ustawy o ochronie danych osobowych również taka operacja zalicza się do przetwarzania danych, a w konsekwencji — odpowiedniego ich zabezpieczenia.

Zabezpieczenie danych osobowych w e-mailach

Każdy administrator danych osobowych ma obowiązek zadbać o to, aby powierzone mu informacje traktowane były z najwyższą poufnością — reguluje to ustawa o ochronie danych osobowych w artykule 36.:

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.  

Obowiązek ten należy spełnić zatem również w sytuacjach, kiedy informacje osobiste są one przekazywane innym firmom lub osobom (np. za pomocą poczty elektronicznej).

Co ważne jednak — ustawa nie wskazuje dokładnie, jakie środki należy wykorzystać w celu odpowiedniego zabezpieczenia przesyłanych pocztą elektroniczną danych. Wybór odpowiednich narzędzi i sposobów należy więc do jednego z obowiązków administratora danych osobowych.

Sposób szyfrowania przesyłanych danych

Dla osób, które zastanawiają się nad najbardziej efektywnym sposobem zabezpieczania danych przekazywanych w wiadomościach e-mail, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przygotował zestaw wskazówek dla administratorów danych. W tekście autorzy zauważają, że w celu zapewnienia odpowiedniego poziomu bezpieczeństwa konieczne jest zarówno:

• szyfrowanie przekazywanych informacji;

• zabezpieczenie komputerów (nadawcy jak i odbiorcy);

• zabezpieczenie serwerów pocztowych;

• ochrona kanałów komunikacyjnych.

Według GIODO najlepszą i zarazem najbardziej skuteczną metodą na zabezpieczenie danych jest właśnie ich szyfrowanie. W takim przypadku nie ma bowiem konieczności stosowania innych środków ochrony infrastruktury w postaci kanałów używanych do komunikacji czy serwerów pocztowych. Raz zaszyfrowana wiadomość trafia w takiej samej formie do odbiorcy i tylko uprawniona do tego osoba może je odczytać. W razie ewentualnego “przejęcia” danych ryzyko ich odczytania przez niepowołane osoby jest również minimalne, gdyż nie posiadają one odpowiednich metod, by je odszyfrować.

Do szyfrowania GIODO poleca darmowy program 7-Zip, który potrafi w taki sposób zakodować dane, że ich odczytanie będzie możliwe tylko i wyłącznie w przypadku posiadania odpowiedniego klucza deszyfrującego.

Plusem takiego rozwiązania jest fakt, że odbiorca nie musi też posiadać tego programu zainstalowanego na swoim komputerze, ponieważ system operacyjny potrafi sam takie pliki odczytywać — o ile posiadamy właściwe hasło.

Oczywiście samo hasło powinno być przekazane odbiorcy innym (bezpiecznym) kanałem komunikacji, tak aby zminimalizować ryzyko jego przejęcia.

Taka metoda szyfrowania jest stosunkowo łatwa do przeprowadzenia, jednak wymaga wdrożenia odpowiednich procedur zarówno po stronie nadawcy jak i odbiorcy, a także ich konsekwentnego stosowania.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Poczta e-mail dla biznesu od dhosting.plRafał Stępniewski

Bezpieczne kanały komunikacji i weryfikacja nadawcy

Innym sposobem zabezpieczenia przesyłanych wiadomości jest też szyfrowanie całego kanały komunikacji. W tym przypadku nawet jeśli dojdzie do przejęcie zawartych w wiadomości danych, to nadal będą one niemożliwe do odczytania.

Problemem w tym przypadku jest natomiast konieczność używania tych samych serwerów pocztowych, które stosują podobne techniki szyfrowania. Taka metoda sprawdzi się szczególnie w przypadku przesyłania danych wrażliwych w obrębie jednej firmy, natomiast w przypadku wysyłki danych do zewnętrznego odbiorcy — już nie.

GIODO w opisywanym dokumencie zwraca również uwagę na fakt, że w przypadku komunikacji drogą elektroniczną istnieje bardzo wysokie zagrożenie podszycia się pod inną osobę lub firmę. Odbiorca czytający wiadomość może widzieć w polu “Od” prawidłowy e-mail instytucji, jednak rzeczywisty (nieprawdziwy) adres pozostanie niewidoczny dla użytkownika.

W tym przypadku zalecane jest szczególnie zastosowanie certyfikatu elektronicznego. Nie tylko potwierdza on tożsamość nadawcy, ale jednocześnie szyfruje samą wiadomość.

Dostawca usług e-mail, który dba o bezpieczeństwo

Zabezpieczenie danych przesyłanych pocztą elektroniczną lub kanałów komunikacji to jedna kwestia, natomiast znacznie ważniejsze jest wybranie takiego dostawcy usług e-mail, który zagwarantuje pełną poufność przesyłanych informacji.

Należy zwrócić uwagę na fakt, że w momencie przesyłania wrażliwych danych za pomocą poczty e-mail, są one jednocześnie powierzane firmie, która oferuję taką usługę. Oznacza to, że przedsiębiorstwo to może w każdej chwili (przypadkiem bądź umyślnie) przejąć te informacje — zwłaszcza, jeśli nie są one zaszyfrowane.

Podczas podpisywania umowy o świadczenie usług poczty elektronicznej należy zatem zadbać o to, aby strony podpisały klauzule zachowania w tajemnicy danych, które są tą drogą przesyłane.

Bardziej szczegółowe informacje na temat tego, jak zabezpieczyć dane osobowe i inne poufne informacje przesyłane drogą elektroniczną, można przeczytać w dokumencie wydanym przez GIODO.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.