• Polski
  • English
  • Deutsch
  • Zapisz się do newslettera

    Zapisz się do newslettera

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    GIODO radzi, jak bezpiecznie przekazywać dane mailem

    Generalny Inspektor Ochrony Danych Osobowych wydał opinię w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej. Trudno sobie wyobrazić dzisiejszą komunikację bez wykorzystywania wiadomości e-mail. Ta forma komunikacji niesie jednak ze sobą wiele zagrożeń. Aby je wyeliminować lub przynajmniej zminimalizować, warto zastanowić się nad zastosowaniem dodatkowych zabezpieczeń. O tym, jak zabezpieczać hasła, pisaliśmy ostatnio na portalu ODO.

    Po pierwsze, szyfruj!

    Zabezpieczenie informacji przed dostępem osób nieupoważnionych jest jednym z podstawowych celów, ale też zadań podmiotów przetwarzających dane jako administratorzy lub procesorzy. Poufność jest też istotna z punktu widzenia osób przetwarzających dane w celach prywatnych, osobistych lub domowych, które ustawy o ochronie danych osobowych nie muszą stosować. Także w przypadku prywatnej korespondencji warto zwrócić uwagę na dostępne rozwiązania i zastanowić się, jak uniknąć naruszenia poufności komunikacji.

    Jedną z podpowiedzi GIODO jest szyfrowanie przekazywanych informacji, niewymagające kolejnych zabezpieczeń. W tym wypadku chodzi o mechanizmy, dzięki którym informacja jest szyfrowana zanim zostaje wysłana i w tej zaszyfrowanej formie trafia do odbiorcy. Po stronie adresata pozostaje jej otwarcie  poprzez wprowadzenie odpowiedniego klucza kryptograficznego (hasła). Dzięki zastosowaniu mechanizmów szyfrujących nadawca może być spokojny – przechwycenie jego wiadomości nie będzie oznaczało bowiem zapoznania się z jej treścią. GIODO proponuje korzystanie z różnych rozwiązań, w tym: dostępnego nieodpłatnie w ramach licencji Open Source programu kompresującego 7-Zip, a także systemów GPG lub PGP wykorzystujących mechanizm klucza publicznego. W przypadku pierwszego ze wskazanych rozwiązań (7-Zip) należy pamiętać o przekazaniu odbiorcy klucza kryptograficznego innym (również bezpiecznym) kanałem komunikacji. Druga grupa rozwiązań (GPG, PGP) eliminuje konieczność przekazywania klucza umożliwiającego otwarcie pliku poprzez oparcie się na parze kluczy, czyli na kluczu publicznym, powszechnie znanym zainteresowanym osobom i wykorzystywanym przez nadawcę do zaszyfrowania danych oraz kluczu prywatnym – znanym tylko jego właścicielowi i służącym do odszyfrowania danych.

    Druga z metod zapewnienia poufności wskazana przez GIODO to zadbanie o bezpieczeństwo infrastruktury i kanałów telekomunikacyjnych poprzez ich szyfrowanie. W tym wypadku, szyfrowane nie są więc same dane, ale kanały komunikacji. To rozwiązanie jest jednak bardziej kłopotliwe, ponieważ bardzo często nadawcy i odbiorcy korzystają z różnych serwerów pocztowych, co utrudnia korzystanie z tego mechanizmu. Może ono być natomiast z powodzeniem stosowane do zabezpieczania komunikacji wewnątrz danej organizacji.

    Po drugie, zadbaj o serwer pocztowy!

    Jeżeli w ramach komunikacji elektronicznej wykorzystujemy metodę szyfrowania plików przed ich załączeniem do wiadomości, przechowywane są one na naszych serwerach pocztowych właśnie w takiej, zaszyfrowanej, formie. Inaczej jest w przypadku korzystania z metod szyfrowania kanałów komunikacyjnych, a nie załączanych treści. W takim przypadku, wszystko zależy od tego, z jakiej infrastruktury korzystamy. Jeżeli korzystamy z własnych serwerów pocztowych, sami musimy podjąć decyzję, jakie zabezpieczenia stosować, zwłaszcza w komunikacji wewnętrznej.

    W przypadku korzystania z zewnętrznych serwerów lub też, gdy komunikacja przebiega na linii serwer własny – serwer zewnętrzny adresata, bezpieczeństwo wiadomości zależy od stosowanych w ramach tych serwerów środków bezpieczeństwa.

    Po trzecie, sprawdzaj tożsamość!

    GIODO słusznie zauważa, że w przypadku komunikacji elektronicznej, podszycie się pod nadawcę jest stosunkowo łatwe. Powstają co prawda mechanizmy umożliwiające pewną weryfikację adresu wysyłającego (np. SPF – Sender Policy Framework, DKIM – Domain Keys Identified Mail lub DMARC – Domain-based Message Authentication, Reporting & Conformance). Nie są to jednak narzędzia, które umożliwiają potwierdzenie tożsamości nadawcy. Ich zadaniem jest zablokowanie możliwości posługiwania się przez nadawcę adresem IP innym niż rzeczywiście przypisany do danej domeny.

    Środkiem, rekomendowanym przez GIODO w ramach opinii, który gwarantuje identyfikację adresu e-mail nadawcy wiadomości, a także daje możliwość zabezpieczenia przed modyfikacją samego maila jest certyfikat elektroniczny (który dodatkowo daje możliwość zaszyfrowania wiadomości).

    Po czwarte, dobrze wybieraj dostawców!

    GIODO zwraca też uwagę na odpowiedni dobór dostawców usług hostingowych. Korzystanie z zewnętrznych dostawców usług poczty elektronicznej wiąże się z powierzeniem im przetwarzania danych osobowych. Zgodnie z przepisami ustawy o ochronie danych, konieczne jest więc podpisanie z takim usługodawcą odpowiedniej umowy powierzenia. W ramach umowy należy zadbać o odpowiednie postanowienia dotyczące tajemnicy, zabezpieczeń i poufności. Poza tym, GIODO zwraca uwagę konieczność kierowania się przy wyborze dostawcy usług hostingowych poziomem bezpieczeństwa oferowanym przez niego, a także na potrzebę podpisywania z nim takich umów, które jak najlepiej zabezpieczą interesy usługobiorcy i dzięki odpowiednim obowiązkom zminimalizują ryzyko naruszenia ochrony danych.

    Opinia GIODO dostępna jest tu: http://giodo.gov.pl/222/id_art/9801/j/pl/

    Wróć do listy
    Katarzyna Witkowska - Nowakowska

    Katarzyna Witkowska - Nowakowska

    • Prawnik
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Katarzyna Witkowska - Nowakowska

    Prawnik

    katarzyna.witkowska@lubasziwspolnicy.pl

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Kolejne fałszywe e-maile – tym raz ktoś podszywał się pod Ministerstwo Finansów. Na co zwracać uwagę odbierając pocztę elektroniczną?

    Ostatnimi czasy wiele mówiło się o masowym wysyłaniu do osób lub podmiotów, które rozpoczęły działalność gospodarczą, wezwań do uiszczenia opłaty za ujawnienie ich danych w rejestrach (ewidencjach) przedsiębiorców. Dopiero dokładne zapoznanie …

    Nowe zasady wykorzystania plików cookies

    Informujemy, że dnia 22 marca 2013 roku weszły w życie przepisy, zgodnie z którymi przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej