Emailul nu dă semne că va fi abandonat curând, mai ales în comunicarea „oficială”, interinstituțională și de business. Tot în acest context circulă cea mai mare cantitate de date personale. Cum pot fi ele protejate?

„Bătrânul” email a rămas și în perioada pandemiei un instrument de comunicare redutabil, fiind utilizat în continuare deopotrivă de companii și persoane fizice, chiar dacă a ajuns să fie acerb concurat de serviciile de mesagerie electronică instant, cu funcționalități avansate de videoconferință și colaborare.

Perioada actuală impune o exigență crescută când vine vorba de alegerea furnizorului de servicii de email, atât cu privire la emailul utilizat pentru business, cât și în comunicarea personală. Și, de asemenea, este necesară o vigilență sporită cu privire la modul în care utilizăm acest instrument de comunicare, mai ales în contextul în care granița dintre viața privată și muncă nu a fost niciodată atât de labilă și incertă ca în ultimii ani.

Serviciile de email au devenit deopotrivă ținta și mediul de răspândire al unor atacuri mai mult sau mai puțin sofisticate, care pot produce pagube mari companiilor și persoanelor fizice, prin tehnici precum malware, social engineering, spoofing, phishing, business email compromise/email account compromise, atacuri țintite, spam sau interceptarea comunicațiilor.

Conform „Internet Crime Report 2020” al Biroului Federal de Investigații (FBI), atacuri precum cele de phishing s-au dublat în 2020 față de 2019. Utilizarea necorespunzătoare a emailului de business poate duce la producerea unor încălcări ale  securității datelor cu caracter personal, care, pe lângă costurile financiare implicate, riscă să afecteze semnificativ și reputația instituției.

Cinci criterii pentru alegerea unui furnizor adecvat

Cu excepția unor documente necesare companiilor pentru realizarea conformării cu legislația privind protecția datelor, aspectele tehnice privind securitatea sunt aplicabile în cea mai mare parte și în cazul uzului personal al unui cont de email. Așadar, ce ar trebui să aibă în vedere o companie, indiferent de dimensiunea acesteia, atunci când alege un furnizor de servicii de email? Iată, nelimitativ, cinci aspecte/criterii de care este bine să se țină cont:

1. Un prim criteriu, care îngustează de altfel și opțiunile de căutare a unui furnizor, este ca prelucrarea datelor să aibă loc în Uniunea Europeană (UE)/Spațiul Economic European. Transferurile internaționale de date au devenit un adevărat factor de stres pentru companii după așa-numita hotărâre Schrems II a Curții de Justiție a Uniunii Europene, fără a se întrevedea în viitorul apropiat o rezolvare fermă a acestei chestiuni.

Pentru a scăpa de bătăi de cap, cea mai simplă soluție este alegerea unor furnizori „locali”, care să utilizeze pentru prelucrarea datelor personale servere aflate pe teritoriul UE și al Spațiului Economic European, ori într-o țară considerată adecvată de Comisia Europeană. Printre serviciile de email care prelucrează datele personale pe servere aflate în UE sau Spațiul Economic European pot fi amintite: Proton Mail, Mailbox.de, Mail.de, Mailfence sau Tutanota.

2. Furnizorul de servicii de email trebuie să ofere garanții contractuale corespunzătoare de confidențialitate și protecția datelor și să implementeze măsuri tehnice și organizatorice adecvate privind securitatea fizică și a informațiilor.Politicile de confidențialitate și cookie-uri expun viziunea și practicile în materie de protecția datelor a companiei furnizoare, iar din aranjamentele contractuale nu trebuie să lipsească

Acordul de prelucrare a datelor (oferit de furnizor în calitate de persoană împuternicită) împreună cu instrumentele de transfer internațional de date și măsurile care să le suplimenteze, dacă este cazul, cum ar fi Clauzele Contractuale Standard. Aceste documente reflectă în genere nivelul de conformare al furnizorului cu legislația europeană în domeniu și necesită o evaluare atentă din partea unui profesionist în protecția datelor și un aviz juridic în legătură cu contractarea serviciilor.

3. Un criteriu care nu poate fi neglijat este legat de oferirea de către furnizor de criptare de la un capăt la altul („end-to-end encryption”) în ceea ce privește transmiterea comunicațiilor între serverele sale și dispozitivele utilizate („encryption in transit”) și de stocarea datelor în formă criptată pe servere („encryption at rest”).

De asemenea, se impune ca furnizorul să nu aibă acces la cheile de criptare. Criptarea datelor elimină în mare parte și riscurile legate de profilarea utilizatorilor și livrarea de reclame țintite.

 
4. Aplicațiile de acces (web, desktop, iOS ori Android) și algoritmii de criptare ar trebui să fie open source, disponibili public pentru inspecții și audituri. Este preferabil ca serviciile de email să nu se bazeze pe infrastructura marilor giganți de peste ocean (precum Google, Amazon, Microsoft), atât din perspectiva faptului că sunt sisteme „închise”, mai puțin transparente, cât și pentru că implică transferuri internaționale de date spre țări considerate neadecvate.

5. Un alt aspect se referă la posibilitatea utilizării unor metode și funcționalități avansate de autentificare și protecție a emailului, precum Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Based Message Authentication, Reporting and Conformance (DMARC) folosite în special pentru prevenirea unor atacuri de tip phishing sau spoofing.

Funcționalități precum autentificarea prin doi factori ori posibilitatea de a utiliza două parole (de exemplu, una pentru logarea în cont și alta pentru decriptarea propriu-zisă a căsuței de email) adaugă un plus indispensabil de securitate.

Capacitatea de a transmite criptat emailuri și către utilizatorii altor servicii de email (sub formă de link de acces cu parolă transmisă de expeditor printr-un alt mijloc de comunicare) constituie o funcție utilă și mai ales necesară atunci când sunt transmise informații confidențiale (inclusiv date cu caracter personal).

Bune practici

Una dintre cele mai importante măsuri organizaționale de reducere a riscurilor pe care o poate lua o companie, alături de cele tehnice, constă în instruirea adecvată și regulată (nu mai puțin de o dată pe an) a angajaților - din perspectiva protecției datelor personale și a securității informațiilor - cu privire la securitatea utilizării emailului și a autentificării, precum și cu privire la protecția dispozitivelor folosite pentru accesarea serviciului de email.

Compania trebuie să dezvolte politici și proceduri de securitate, pe care să le prelucreze în detaliu angajaților, urmând ca aceștia să fie testați riguros pentru a li se verifica nivelul de înțelegere și conformare.

Printre bunele practici pe care să le urmeze angajații, mai ales când utilizarea emailului implică transmiterea sau primirea de date personale sau alte informații confidențiale, se numără și următoarele:

- să verifice corectitudinea adresei contului de la care primește sau către care trimite emailul;
- să nu utilizeze conturi de email personale în chestiunile legate de muncă;
- să nu redirecționeze emailul companiei către servicii de email terțe;
- să cripteze atașamentele care conțin date personale;
- să nu utilizeze date personale în titlul/subiectul emailului;
- să nu imprime în format letric conținutul emailurilor fără aprobarea expresă a superiorilor;
- să fie vigilenți și să verifice telefonic sau prin alte mijloace veridicitatea mesajelor suspecte sau care sunt etichetate ca urgente și să se consulte cu superiorii și experții IT ai companiei în astfel de situații;
- să nu deschidă atașamente și să nu acceseze linkuri suspecte;
- să nu utilizeze rețele Wi-Fi publice pentru accesarea emailurilor;
- să urmeze cu strictețe politicile și procedurile firmei, mai ales cele cu privire la autentificare, controlul accesului, securitatea dispozitivelor utilizate și munca la distanță.

Soluții și... probleme

În mod cert, cea mai bună soluție ar consta în separarea echipamentelor personale de cele de muncă. În cazul în care acest lucru nu este posibil și angajații utilizează același dispozitiv atât în scop personal, cât și pentru muncă, înrolarea acestor echipamente într-o soluție de administrare a dispozitivelor și aplicațiilor (cunoscute sub denumirea mai comprehensivă de „Enterprise Mobility Management”, sau „Mobile Device Management”, „Endpoint Management” etc.) devine o necesitate.

O astfel de soluție asigură securitatea datelor companiei (dispozitivele pot fi localizate sau șterse de la distanță în cazul în care sunt pierdute sau furate) și diferențiază spațiul personal de cel de muncă prin crearea unor profile utilizabile exclusiv pentru activitățile companiei (utilizarea emailului business și a aplicațiilor aprobate de managementul instituției).

Printre cei mai cunoscuți furnizori de soluții de administrare a dispozitivelor se numără și compania Google, care oferă aceste servicii prin intermediul Google Workspace. De asemenea, infrastructura Google poate fi folosită pentru administrarea dispozitivelor cu sistem de operare Android și de către alți furnizori de soluții de management, cum ar fi Blackberry, Microsoft, Cisco etc. Totuși, înainte de a contracta astfel de servicii, este necesară o evaluare a impactului prelucrării asupra datelor personale.

Deși sunt extrem de atractive ca funcțiuni, asemenea soluții colaborative „de echipă” precum Google Workspace/Google Workspace for Education, care implică utilizarea centrală a emailului în combinație cu alte aplicații și instrumente specifice mediilor profesionale de lucru online, pot fi și extrem de intruzive, presupunând adeseori tracking-ul angajaților și profilarea lor în scopuri publicitare (mai ales că nu există bază legală pentru acest tip de prelucrare în contextul relațiilor de muncă, consimțământul fiind inadecvat în acest caz).

Așadar, emailul rămâne și în cazul Google Workspace și a altor servicii similare elementul principal, fiind inextricabil legat de orice cont de utilizator. Chiar dacă utilizatorul este autentificat cu emailul de serviciu, Google depășește frecvent granița dintre personal și instituțional, tratând contul business aidoma unuia personal în situații precum utilizarea unor aplicații.

Din perspectiva protecției datelor personale, implicațiile sunt complexe, întrucât Google aplică două „regimuri” distincte: atunci când utilizatorul folosește serviciile principale ale Google Workspace/Google Workspace for Education i se aplică Acordul de prelucrare a datelor („regimul” business), iar când utilizează servicii/produse adiționale cum ar fi diverse aplicații, i se aplică termenii și Politicile de Confidențialitate generale („regimul” de persoană fizică).

Trecerea graniței aduce cu sine probleme legate de confidențialitate: un cont business este tratat ca unul personal, iar datele personale ale angajatului care îl utilizează pentru îndeplinirea sarcinilor de serviciu sunt prelucrate în scopuri incompatibile cu contextul relațiilor de muncă.

Mesajele email încorporează așa-numitul „conținut la distanță” („remote content” sau „embedded content”) care poate ascunde diverse tehnologii de urmărire online. Odată ce utilizatorul deschide mesajul, se produce încărcarea automată a acestui tip de conținut și sunt plasate în dispozitivul de pe care a fost accesat serviciul de email cookie-uri și alte tehnologii de urmărire pe care mesajul le poate încorpora, precum web bugs, pixel trackers, spyware sau identificatori ascunși.

Odată stocate în dispozitiv, aceste tehnologii transmit o mulțime de informații despre utilizator, cum ar fi faptul că emailul a fost deschis, date despre locație, dispozitivul folosit etc. În cazul majorității serviciilor de email setările pot fi configurate astfel încât „remote content”-ul să nu se încarce în mod automat la accesarea mesajului email.

Recent, compania Apple a introdus funcția Mail Privacy Protection (MPP) pentru propria aplicație de email Mail app. În această aplicație pot fi integrate conturi personale sau de business furnizate de servicii de email cum ar fi Yahoo sau Google. Funcția MPP utilizează un proxy server unde „pre-deschide” emailurile primite, descărcând inclusiv tehnologiile de urmărire online de tip tracking pixel, chiar dacă destinatarul nu a deschis respectivul email.

Astfel, companiile de publicitate online care au plasat respectivul pixel vor primi informația că emailul a fost deschis pe serverul generic ales de Apple, fără a putea ulterior să urmărească acțiunile destinatarului emailului nici măcar după deschiderea mesajului de către acesta în Mail app.

Deși funcția MPP este prietenoasă în sine cu confidențialitatea, integrarea unor conturi de email cu o aplicație terță precum Apple Mail app constituie în sine o vulnerabilitate, mai ales când conturile respective sunt utilizate pentru transmiterea sau primirea de date personale și alte informații cu caracter confidențial. Așadar, este recomandabilă accesarea emailului prin intermediul aplicațiilor puse la dispoziție de propriul furnizor de email, mai ales dacă este utilizat un serviciu cu garanții solide privind protecția datelor și cu o aplicație open source.
 
Criptarea integrală a dispozitivelor care conțin date personale, utilizarea unor parole robuste și a autentificării prin doi factori, închiderea dispozitivelor atunci când nu sunt folosite și depozitarea lor (cel puțin) în dulapuri sau camere încuiate, asigurarea că sistemul de operare/antivirusul/orice alt software utilizat își face actualizările în mod automat – sunt doar câteva din măsurile menite să protejeze dispozitivele mai ales cu privire la pierderea sau furtul acestora.

De asemenea, utilizarea unui VPN (virtual private network), închiderea sesiunilor de lucru atunci când dispozitivul nu este supravegheat chiar și pentru un timp scurt, poziționarea monitoarelor pe care se afișează date personale de așa manieră încât să nu poată fi citite de persoane neautorizate sau folosirea de folii de confidențialitate pe ecrane mai ales în cazul dispozitivelor mobile, vor contribui la menținerea confidențialității datelor.

Nota autorului: Materialul are un caracter informativ și general și nu constituie consultanță în materie de protecția datelor personale, securitate fizică sau a informațiilor. Pentru situații particulare trebuie să obțineți consultanță de specialitate.