Wzmacnianie zabezpieczeń firmy jest niezbędne, aby zapewnić ochronę przed zagrożeniami, które mogą wynikać nawet z najmniejszych niedociągnięć. Kluczowym czynnikiem sukcesu jest zaangażowanie pracowników w praktyki bezpieczeństwa. Każda organizacja powinna opracować i wdrożyć spersonalizowaną politykę prywatności poczty e-mail, która określa zasady i procedury postępowania, mające na celu ochronę przed nieautoryzowanym dostępem.

Bezpieczeństwo poczty elektronicznej – rekomendacje dla pracodawcy

• 1. Przemyśl i świadomie wybierz firmę oferującą obsługę poczty elektronicznej. Sprawdź mobilność wybranej przez Ciebie usługi  (łatwy dostęp na różnych urządzeniach) i jej funkcjonalność (obsługa offline, archiwizacja danych czy standaryzacja stopek)
• Dokładnie zbadaj poziom zabezpieczeń, które zapewnia dostawca (np. implementacja i możliwość konfiguracji mechanizmów SPF, DKIM, DMARC).
•  
• 2. Opracuj politykę bezpieczeństwa dotyczącą korzystania z poczty e-mail oraz z urządzeń mobilnych do wykonywania zadań służbowych. Zadbaj o bezpieczeństwo urządzeń, z których korzystają pracownicy. Wszystkie urządzenia powinny mieć włączone zabezpieczenia takie jak hasła lub kody PIN, posiadać profil służbowy oraz prywatny, a także posiadać zainstalowany system do zarządzania urządzeniami mobilnymi. Określ listę dozwolonych aplikacji, z których mogą korzystać pracownicy.
•  

• 3. Stosuj w poczcie elektronicznej mechanizmy, takie jak:
  • SPF - technologia zabezpieczająca przed fałszowaniem adresu nadawcy;
  • DKIM, wykorzystuje cyfrowy podpis, który jest dołączany do każdej wiadomości e-mail. Pozwala odbiorcy zweryfikować, czy treść wiadomości nie została zmieniona w trakcie jej dostarczania;
  • DMARC nadawca może określić, jakie działania powinny być podjęte, jeśli wiadomość nie spełnia kryteriów weryfikacji SPF lub DKIM. Może to obejmować odrzucenie wiadomości, oznaczenie jej jako podejrzanej, czy dostarczenie raportu nadawcy.

• • Ważne!

Od 25 września 2024 roku podmioty publiczne, w tym samorządy terytorialne, są zobowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy uwierzytelniania  tj. mechanizmy weryfikacji nadawcy wiadomości i umożliwiającej stosowanie uwierzytelniania wieloskładnikowego - zgodnie ze standardami określonymi przez ustawę o zwalczaniu nadużyć w komunikacji elektronicznej[1].

Aby ułatwić urzędom weryfikację poprawności konfiguracji zabezpieczeń ich poczty elektronicznej, CERT Polska uruchomił serwis bezpiecznapoczta.cert.pl. Narzędzie pozwala w prosty sposób sprawdzić konfigurację mechanizmów SPF, DKIM i DMARC. Dzięki serwisowi administratorzy mogą sprawdzić, czy domeny w ich organizacji mają poprawnie skonfigurowane mechanizmy zapobiegające spoofingowi poczty elektronicznej, czyli podszywania się przestępców pod adresy e-mail jakiejś organizacji.

• 4. Korzystaj z firmowej sieci VPN, zapewniającej szyfrowany i zabezpieczony dostęp do zasobów firmowych, który jest szczególnie wskazany dla pracujących zdalnie. Alternatywą dla VPN jest dostawca usługi w chmurze i wdrożenie uwierzytelniania dwuskładnikowego 2FA.
• 5. Zaimplementuj odpowiednie narzędzia zabezpieczające przed cyberatakami, takie jak antywirusy, filtry antyspamowe, zapory sieciowe i aplikacje do wykrywania i reagowania na incydenty.
• 6. Twórz backupy – kopie bezpieczeństwa, które w razie przechwycenia lub wykasowania danych pozwolą na ich odtworzenie.

Bezpieczeństwo poczty elektronicznej – praktyczne porady dla pracowników

♦ Nie korzystaj ze służbowego adresu e-mail do wysyłania i odbierania wiadomości prywatnych.

♦ Stosuj silne i unikatowe hasła. Nie używaj tego samego hasła do wielu kont lub witryn internetowych.

♦ Nie odpowiadaj na wiadomości e-mail, które wymagają podania hasła lub ujawnienia chronionych danych firmowych – niezależnie od tego, jak oficjalne wydaje się być ich źródło. Jeśli otrzymasz taką wiadomość, skontaktuj się ze swoim działem bezpieczeństwa lub IT.

♦ Szyfruj wiadomości e-mail zawierające poufne bądź wrażliwe dane, zgodnie z polityką bezpieczeństwa i zaleceniami firmowego zespołu bezpieczeństwa.

♦ Klikając w link, który otrzymasz w wiadomości zawsze zwracaj uwagę na adres strony, na którą zostaniesz przekierowany. Sprawdź, czy nie ma w nim zbędnych znaków czy literówek.

♦ Zanim otworzysz załącznik lub dokonasz płatności za otrzymaną fakturę, zweryfikuj, czy wiadomość jest prawdziwa – w razie wątpliwości skontaktuj się z nadawcą (np. poprzez rozmowę telefoniczną). Zweryfikuj także adres nadawcy, upewnij się, że wysyłasz wiadomość do właściwego adresata.

♦ Zanim otworzysz plik dołączony do wiadomości zwróć szczególną uwagę na jego rozszerzenie. Te najbardziej podejrzane to: .zip, .rar, .iso. .img, pliki udające pdf a będące .exe, .jb, .vbs, oraz plikami z rozszerzeniem .xlsx, .xlsm, .xls.

♦ Twórz kopie zapasowe plików i zapisuj je na zewnętrznych dyskach bądź przechowuj w chmurze, zgodnie z procedurami w Twojej organizacji.

♦ Regularnie przeglądaj i usuwaj niepotrzebne wiadomości oraz załączniki. Upewnij się, że usuwasz również wiadomości z folderów „kosz” i „wysłane”.

Wprowadzenie jasnych i zrozumiałych dla wszystkich zasad dotyczących korzystania z poczty e-mail w organizacji jest kluczowe dla zapobiegania potencjalnym problemom związanych z bezpieczeństwem. Zaangażowanie pracowników i nagradzanie ich za współtworzenie bezpiecznego środowiska informacyjnego jest kluczowe. Wspólnymi siłami można zapewnić ochronę danych firmy, klientów oraz pracowników.