Najpierw cytat:

Czy da się prze­chwy­cić część inter­ne­to­wej kore­spon­den­cji adre­so­wa­nej do naj­waż­niej­szych służb w Polsce? Dziennikarze ​„Gazety Wyborczej” udo­wod­ni­li, że tak. Wystarczy zało­żyć łudzą­co podob­ny adres e‑mail do tych, któ­rym posłu­gu­ją się np. ABW, CBA czy Agencja Wywiadu.[…]

Guillaume Lovet, eks­pert ds. bez­pie­czeń­stwa inter­ne­to­we­go fir­my Fortinet przy­zna­je, że spra­wa naświe­tlo­na przez dzien­ni­ka­rzy ​„Gazety” jest pro­ble­mem. – Prawdopodobieństwo, że e‑mail z pouf­ną i bar­dzo istot­ną infor­ma­cją wyciek­nie w ten spo­sób, jest dość niskie. Ale jeśli już się zda­rzy, kon­se­kwen­cje mogą być poważ­ne – oce­nia Lovet. Zagrożenie w ska­li od 1 do 10 eks­pert oce­nił na 5.

Problem dostrze­ga tak­że samo ABW. – Adresy inter­ne­to­we pozba­wio­ne krop­ki nie są ofi­cjal­ny­mi, praw­nie chro­nio­ny­mi dome­na­mi pol­skich insty­tu­cji pań­stwo­wych. Trudno było­by zastrzec wszel­kie ich kom­bi­na­cje, z uży­ciem wszyst­kich moż­li­wych zna­ków inter­punk­cyj­nych – tłu­ma­czy rzecz­nik ABW Katarzyna Koniecpolska – Wróblewska. Dodaje, że Agencja uwa­ża pro­blem za ​„nie­zmier­nie istot­ny”. Uspokaja jed­nak, że pouf­nych infor­ma­cji urzęd­ni­cy nie prze­sy­ła­ją za pomo­cą pocz­ty elek­tro­nicz­nej, ​„gdyż jest to zabro­nio­ne prze­pi­sa­mi pol­skie­go prawa”.

[jak się jed­nak oka­zu­je prze­chwy­co­ne tą meto­dą dane to np.] życio­rys agen­ta CBA, nazwi­ska kil­ku­dzie­się­ciu funk­cjo­na­riu­szy CBA pro­wa­dzą­cych szko­le­nia dla urzęd­ni­ków pań­stwo­wych, opis zabez­pie­cze­nia sta­dio­nu Legii w cza­sie meczu pił­ki noż­nej, kore­spon­den­cja pra­cow­ni­ków Ministerstwa Finansów, zaświad­cze­nie, że niedź­wiedź został zabi­ty zgod­nie z pra­wem mię­dzy­na­ro­do­wym. (źr. Jak zdo­być maile służb? Założyć podob­ny adres.)

No cóż, nie jest rzad­ko­ścią zro­bie­nie lite­rów­ki w adre­sie, nie jest tak­że złe zaadre­so­wa­nie listu w sytu­acji gdy wszech­obec­ne funk­cje pod­po­wia­da­nia adre­sa­ta wsta­wią w pole Do: kogoś inne­go z naszej listy kon­tak­tów. Nie trze­ba wiel­kie­go pośpie­chu czy nie­uwa­gi by się to przy­tra­fi­ło. Umieszczanie w stop­ce sen­ten­cji w rodza­ju ​„jeże­li nie jesteś adre­sa­tem tego listu powia­dom o tym nadaw­cę i zniszcz treść prze­sył­ki” jest dość naiw­ne jeśli nie­chcą­cy wyśle­my super ofer­tę nie temu klientowi…

To zja­wi­sko to kla­sycz­ny przy­kład czyn­ni­ka ludz­kie­go, z któ­rym poważ­ni ludzie nie dys­ku­tu­ją tyl­ko szu­ka­ją spo­so­bu jak mu zara­dzić. Na pew­no nie jest sku­tecz­nym spo­so­bem admi­ni­stra­cyj­ny zakaz myle­nia się z dużą karą za pomył­kę: po pro­tu nikt się nie przy­zna, i mało któ­ry przy­pad­ko­wy adre­sat donie­sie sam na siebie.

Pięć lat temu pisałem:

Jak pod­cho­dzić do tajem­ni­cy w fir­mie? Przede wszyst­kim nale­ży budo­wać wśród pra­cow­ni­ków świa­do­mość ryn­ko­wej war­to­ści infor­ma­cji. Musimy mieć tak­że świa­do­mość, że infor­ma­cji nie da się ochro­nić przez wła­snym pra­cow­ni­kiem, on musi z niej korzy­stać, żeby mógł pra­co­wać. (pole­cam cały arty­kuł).

Jak zara­dzić problemowi?

W sumie nie aż tak trud­no: nie uży­wać pocz­ty elek­tro­nicz­nej do wysy­ła­nia waż­nych doku­men­tów. Czyli?

Zamiast ryzy­ko­wać wysła­nie mailem ryzy­kow­nej tre­ści, np. nego­cjo­wa­nej umo­wy, bez­piecz­niej jest umie­ścić plik w repo­zy­to­rium i udo­stęp­nić upraw­nio­nej oso­bie (sto­so­wa­nie kom­pre­sji zip na hasło jest tyl­ko pół­środ­kiem). Może to być sys­tem zarzą­dza­nia prze­pły­wem pra­cy, nie­skom­pli­ko­wa­ne repo­zy­to­rium z funk­cją moni­to­ro­wa­nia, inne. Możliwości jest wie­le, waż­ne by nie ​„prze­do­brzyć” z procedurami.

Jak nie trud­no się domy­śleć, i tu war­to wyko­nać rze­tel­ną ana­li­zę wyma­gań, pro­ce­sów komu­ni­ka­cyj­nych wewnątrz fir­my z jej oto­cze­niem, ana­li­zę ryzyk. Jednak o wyma­ga­niach w tym poście już nie napi­szę 🙂 zaś moi klien­ci wie­dzą, że uży­wam w waż­nych przy­pad­kach, sys­te­mu wymia­ny doku­men­tów zamiast pocz­ty od ponad trzech lat.