Політика організації діловодства на підприємстві – робочий інструмент чи декларативний папірець?
Електронна пошта, як точка входу до ваших таємниць.
Більше року минуло з останньої масової хвилі зараження комп’ютерів українців шкідливим ПЗ NotPetya. Тоді, мабуть, багато підприємців (якщо оперувати даними Нацполіціїї, то близько 1 500) замислились про впровадження у своїй роботі надійних заходів кібербезпеки.
Проте, на жаль, в Україні левова частка досі сподівається на милість фортуни щодо захисту своєї інформації. До речі, чи знали Ви, що одним з найбільш масштабних і збиткових вірусом вважається MyDoom, який поширювався виключно через електронну пошту? У 2004 році від нього постраждали за різним оцінкам 16-25% всіх електронних поштових скриньок у світі, а спричинена шкода оцінюється приблизно в $30,000,000,000. Корпоративна електронна пошта досі є вкрай вразливим каналом для кібератак, але водночас можна легко організувати протидію таким атакам на своєму підприємстві.
Тут важливу роль відіграє підвищення комп’ютерної грамотності співробітників. По-перше, це набагато дешевше, ніж впровадження нових додаткових технічних заходів, та, по-друге, значно ефективніше в розрізі безпечного користування поштовими сервісами.
Документом, який має стати відправною точкою для донесення до працівників ключових моментів поводження із електронною поштою з ціллю організаціїї максимального дотримання кібербезпеки, може бути Політика організації діловодства на підприємстві.
Правові засоби захисту електронної пошти
Зрозуміло, що політика охоплюватиме ширше коло питань, ніж лише електронне листування, проте один або декілька розділів обов’язково мають висвітлювати цю проблематику.
То ж що головне в цій політиці? Авжеж не відкривати електронні листи від невідомих осіб чи з підозрілою назвою.
Наприклад, MyDoom та ILOVEYOU (ще один дуже поширений хробак) в темі листа містили «andy; I’m just doing my job, nothing personal, sorry» і «I love you» відповідно.
Хто такий Енді? Такі інтригуючі фрази змушували із природньої цікавості зазирнути у зміст листа, що й було фатальною помилкою, після якої втрачались масиви данних або вчинявся несанкціонований доступ до всіх листів в електронній скрині чи навіть корпоративної локальної мережі.
З іншого боку, електронна пошта вразлива і в інших проявах. Так, наприклад, сторонні особи достатньо легко здатні прочитати й відредагувати зміст відправленого Вами повідомлення під час його передачі або дізнатися Ваш логін і пароль від поштової скриньки.
З огляду на це логічним було б включити до політики організації діловодства положення про відправлення конфіденційної інформації компанії в зашифрованому вигляді. Навіть простий архів із паролем ускладнить хакерам задачу. Пароль від архіву ж при цьому слід передавати іншими каналами зв’язку. Також доречно покласти обов’язок працівникам не обмінюватись комерційною таємницею в сторонніх поштових сервісах.
Ще одним важливим аспектом вважаємо порядок відправки електронних повідомлень. Так зобов’язання персоналу при передачі важливих документів в копію ставити директора допоможе керівництву контролювати оборот конфіденційної інформації.
Крім того, покладення таких обов’язків позитивно відзначиться на притягненні відповідальних за розголошення осіб до відшкодування збитків компанії пов’язаних із таким розголошенням.
Отже, Політика організації діловодства на підприємстві, як мінімум, має містити:
- заборону відкривати вміст листів із підозрілою назвою чи від невідомого адресанта;
- обов’язок відправляти конфіденційну інформацію в зашифрованому вигляді;
- не використовувати сторонні сервіси при передачі комерційної таємниці підприємства;
- ставити в копію листа керівництво підприємства при передачі конфіденційної інформації.
А також не слід забувати, що одна справа – затвердити політку, а зовсім інша – імплементувати її використання в роботу компанії. В цьому разі тренінги для команди можуть допомогти.
Всім безпечних листів 😉