Presmerovanie e-mailov
5. apr 2024
Čo hrozí pri presmerovaní e-mailov?
Presmerovanie e-mailov mimo e-mailový server do súkromnej e-mailovej schránky predstavuje vysoké bezpečnostné riziko, hlavne ochrany osobných a citlivých údajov. E-maily sa dostávajú do schránky, kde nemajú nad nimi kontrolu zamestnanci informatiky a nemôžu nastaviť primerané bezpečnostné politiky ich ochrany. Napríklad nastavenie sily hesla a jeho pravidelná zmena, alebo zabezpečenie šifrovanej komunikácie.
Pokiaľ e-mailová schránka, na ktorú sú presmerované e-maily slúži zároveň na súkromné alebo iné účely, existuje možnosť neúmyselného zlého adresovania odoslaného e-mailu a odoslania osobných údajov inému adresátovi, ako bolo pôvodne zamýšľané, čo je možné chápať, ako únik osobných údajov. Okrem toho väčšina známych poštových služieb (Google/Gmail, Yahoo, Microsoft,...) môže pristupovať k obsahom e-mailov a ich obsah strojovo spracovávať, napr. pre lepšie cielenie reklamy na webových stránkach. Takto majú prístup aj k osobným údajom v e-mailoch. Taktiež si treba uvedomiť, že tieto služby sú cieľom neustálych útokov hackerov a mnohé z nich končia úspešne.
Ďalším rizikom je to, že celá komunikácia, ktorá prebieha cez súkromný e-mail aj na ňom zostane. Organizácia potom nemá dosah na svoje dokumenty a ani prehľad o tejto komunikácii. Môže dôjsť k pochybeniam zamestnancov o ktorých nemáte ani ako vedieť.
Možnosť používania súkromnej e-mailovej schránky predstavuje aj veľké kybernetické riziko. Zamestnanci si môžu na pracovnom počítači otvárať aj súkromnú poštu, ktorá môže obsahovať zavírenú prílohu alebo odkaz smerujúci na závadnú webovú stránku. Takto si môžu do počítača zaviesť malware, ktorý napadne celú počítačovú sieť. V najhoršom prípade môže zašifrovať všetky počítače v nej – tzv. ransomware.
Zosúladenie takejto e-mailovej komunikácie s nariadením GDPR a kybernetickým zákonom je náročné až nemožné. Napríklad, by sa musel každý odosielateľ e-mailu v zmysle GDPR informovať, že prístup k obsahu jeho e-mailu môžu mať aj tieto služby, nakoľko on svoj e-mail smeroval na e-mailovú adresu zamestnávateľa.
Tým, že sa presmeruje e-mailová komunikácia na inú e-mailovú adresu ostane zostatkové riziko úniku osobných a citlivých údajov vysoké a túto skutočnosť bude zrejme nutné konzultovať s Úradom na ochranu osobných údajov. Ako manažér kybernetickej bezpečnosti a zodpovedná osoba za ochranu osobných údajov presmerovanie e-mailov neodporúčame.
RNDr. Daniel Schikor
Vedúci auditor informačnej bezpečnosti