Współdzielone konta e-mail to takie, do których dostęp i korzystanie z nich jest możliwe dla wielu osób, zazwyczaj w obrębie tej samej rodziny lub organizacji. Mogą wydawać się wygodne, ponieważ umożliwiają wielu osobom zarządzanie obciążeniem pracą i zapewniają, że wiadomości e-mail nie pozostaną bez odpowiedzi. Jednak korzystanie ze współdzielonego adresu e-mail stwarza wiele zagrożeń dla bezpieczeństwa i naraża wszystkich użytkowników i organizacje na niebezpieczeństwo.
Znaczenie bezpieczeństwa poczty e-mail
Bezpieczeństwo poczty e-mail jest ważną częścią bezpieczeństwa każdej firmy. Setki tysięcy osób pada ofiarą ataków phishingowych każdego roku, powodując znaczną utratę danych oraz niewypowiedziane szkody finansowe i reputacyjne. Monitorowanie pracowników i zapewnienie, że stosują się do najlepszych praktyk, może wzmocnić obronę cyfrową. Wdrożenie protokołów uwierzytelniania poczty e-mail, takich jak DMARC, SPF i DKIM, pomaga chronić się przed atakami phishingowymi i spoofingowymi, weryfikując legalność nadawców wiadomości e-mail i zmniejszając ryzyko nieautoryzowanego użycia Twojej domeny.
Jednym ze sposobów jest użycie legalnego oprogramowania szpiegującego. Według recenzji Flexispy autorstwa pisarza technicznego Noaha Edisa , na przykład, oprogramowanie może być używane do monitorowania urządzeń firmowych, aby zapewnić przestrzeganie najlepszych praktyk i poprawić rozliczalność. W niektórych regionach istnieją wymogi prawne, które wymagają, aby pracodawcy informowali swoich pracowników o wszelkich środkach lub narzędziach monitorujących – np. RODO w UE – ale nie dotyczy to skali globalnej.
Czym są współdzielone adresy e-mail?
Współdzielony adres e-mail to pojedynczy adres e-mail, korzystający z jednego konta e-mail, który ma wielu użytkowników. Wszyscy użytkownicy logują się do konta przy użyciu tych samych danych logowania. Współdzielone adresy e-mail mogą być używane w domach, przez rodziny, a nawet w firmach. Są powszechnie używane na przykład przez działy obsługi klienta, gdzie wielu pracowników odpowiada na wiadomości e-mail wysyłane na jeden adres.
Ponieważ wszyscy członkowie zespołu używają tych samych danych logowania i mają dostęp do tych samych adresów e-mail, a także ponieważ członkowie zespołu zmieniają działy lub nawet opuszczają firmę, może to oznaczać, że dziesiątki lub więcej osób uzyska dostęp do konta. To sprawia, że firma jest podatna na ataki od wewnątrz, a jednocześnie zwiększa ryzyko ataku zewnętrznego.
8 powodów, dla których powinieneś unikać udostępnianych adresów e-mail
Współdzielone adresy e-mail są wygodne i mogą być przydatne w niektórych przypadkach, ale stwarzają pewne zagrożenia bezpieczeństwa. Oto kilka typowych powodów, dla których należy unikać ich używania:
1. Słabe hasła
Bezpieczne hasła powinny składać się z wielkich i małych liter, cyfr i znaków specjalnych. Nie powinny zawierać ciągów znaków, które są sekwencjami, dobrze znanymi słowami i frazami ani niczego, co jest łatwe do odgadnięcia. 8 na 10 włamań do firm jest spowodowanych użyciem słabych lub skradzionych haseł, co sprawia, że wybór i używanie bezpiecznych haseł jest integralną częścią bezpieczeństwa danych .
Wspólne konta e-mail mają zazwyczaj łatwe hasła. Wielu użytkowników potrzebuje dostępu do konta, a administratorowi łatwiej jest przypisać proste hasło. Wielu użytkowników używa również tych samych haseł do wielu różnych kont, więc jeśli otrzymali hasło dostępu do poczty e-mail, istnieje szansa, że ponownie użyją tego hasła gdzie indziej.
2. Odpowiedzialność
Jeśli wiele osób ma dostęp do konta e-mail, używając tej samej nazwy użytkownika i hasła, praktycznie niemożliwe jest ustalenie, kto co zrobił. Jeśli dochodzi do celowego naruszenia danych i poufne wiadomości e-mail są udostępniane, bardzo trudno jest stwierdzić, kto udostępnił te informacje, korzystając ze współdzielonych kont e-mail. Z punktu widzenia biznesowego utrudnia to również ustalenie, kto wysłał lub odpowiedział na wiadomości z konta e-mail.
Brak odpowiedzialności nie polega na wymierzaniu kary. Jeśli występuje naruszenie bezpieczeństwa lub ryzyko, pracownicy i użytkownicy poczty e-mail muszą zostać przeszkoleni w zakresie najlepszych praktyk. Aby to zrobić, musisz zidentyfikować, kto potrzebuje szkolenia, w przeciwnym razie możesz zniechęcić użytkowników, którzy stosują się do najlepszych praktyk. Innym elementem odpowiedzialności jest ustalenie, kto odpowiada za odpowiadanie na które wiadomości e-mail. Członkowie zespołu będą musieli sprawdzać każdą wiadomość e-mail, aby upewnić się, że otrzymała ona terminową odpowiedź.
3. Celowy atak
Wiadomości e-mail, nawet te od klientów, mogą zawierać bardzo poufne dane: informacje, których nie chcesz udostępniać konkurentom ani stronom zewnętrznym. W przypadku współdzielonych kont e-mail może być trudno śledzić, kto dokładnie ma dostęp do konta. Oprócz obecnych pracowników, którzy potrzebują dostępu, pracownicy opuszczają organizacje. Nie wszystkie naruszenia danych i ataki pochodzą spoza firmy. Wiele z nich jest inicjowanych przez pracowników lub byłych pracowników.
Mało prawdopodobne jest, aby hasło do poczty e-mail było zmieniane za każdym razem, gdy nastąpi wewnętrzne przetasowanie lub odejdzie pracownik. Mimo że większość firm natychmiast ogranicza inne formy dostępu, gdy pracownik odchodzi. To sprawia, że firma jest podatna na celowe ataki ze strony obecnych lub niezadowolonych byłych pracowników.
4. Przechowywanie danych
W większości przypadków pracownicy używają oprogramowania poczty e-mail, takiego jak Outlook, aby uzyskać dostęp do współdzielonej poczty e-mail. Oprogramowanie jest instalowane na ich komputerze i umożliwia osobom pełny dostęp do konta. Mogą odbierać i wysyłać wiadomości e-mail, pobierać załączniki i wykonywać funkcje administracyjne na koncie.
Nawet jeśli użytkownik usunie poufny e-mail, jeśli treść e-maila znajduje się w oprogramowaniu pocztowym innego użytkownika lub pobrał on załączone pliki, dane te nadal istnieją . Może to być problematyczne w przypadku poufnych danych biznesowych. Może to również stanowić zagrożenie bezpieczeństwa w przypadku wiadomości e-mail phishingowych i podejrzanych plików. Jeden użytkownik może rozpoznać oszustwo i usunąć e-mail, ale jeśli ten e-mail został już otwarty lub pobrany, nadal stanowi on ryzyko dla całej firmy.
5. Niezgodność
Niektóre branże, takie jak opieka zdrowotna, mają surowe zasady ochrony danych i komunikacji, w tym wymagania dotyczące bezpieczeństwa poczty e-mail . Organizacje w tej branży muszą przestrzegać tych zasad, w przeciwnym razie mogą zostać ukarane karami pieniężnymi. W najcięższych przypadkach licencje na prowadzenie działalności firm mogą zostać cofnięte.
Większość zasad dotyczących zgodności danych wymaga, aby użytkownicy posiadali oddzielne konta e-mail, ponieważ pomaga to zapewnić integralność danych, utrudnia ataki zewnętrzne i chroni dane poszczególnych osób.
6. Zwiększona złożoność
Udostępnianie danych logowania do poczty e-mail może wydawać się najprostszym rozwiązaniem. Każdemu, kto potrzebuje dostępu, przydzielana jest ta sama nazwa użytkownika i hasło, a wszyscy użytkownicy mogą odpowiadać na wiadomości e-mail. Jednak jeśli firma chce zapewnić dobre bezpieczeństwo danych, w rzeczywistości zwiększa to złożoność na wiele sposobów.
Każdy użytkownik musi otrzymać dane logowania. Kiedy użytkownik opuszcza dział, a zwłaszcza jeśli opuszcza firmę, dane te powinny zostać zmienione. Oznacza to przesłanie nowych danych logowania wszystkim członkom zespołu. Nieuchronnie ktoś zapomni nowych danych. A jeśli nastąpi naruszenie danych lub inny problem z bezpieczeństwem, dział IT będzie musiał sporo poszperać, aby znaleźć przyczynę naruszenia i wzmocnić obronę przed przyszłymi atakami. I chociaż niektórzy użytkownicy mogą potrzebować dostępu administracyjnego, aby móc wprowadzać zmiany na samym koncie e-mail, inni użytkownicy nie będą go potrzebować, co oznacza próbę utworzenia ograniczeń dostępu użytkowników na koncie współdzielonym.
7. Dodatkowe zagrożenia inżynierii społecznej
Inżynieria społeczna jest jedną z najczęściej stosowanych taktyk uzyskiwania dostępu do kont e-mail i innych danych o znaczeniu krytycznym. Phishing jest jedną z form inżynierii społecznej, polegającą na przekonaniu odbiorcy wiadomości e-mail do kliknięcia łącza i wprowadzenia nazwy użytkownika i hasła na fałszywej stronie. Istnieją jednak również inne taktyki inżynierii społecznej, a im więcej użytkowników ma dostęp do współdzielonego konta, tym więcej potencjalnych punktów wejścia dla hakerów stosujących te taktyki.
Najbardziej skutecznym sposobem na załatanie tych luk jest posiadanie oddzielnych kont z oddzielnymi danymi logowania dla wszystkich użytkowników. Co najmniej przekierowanie poczty e-mail może pomóc załatać niektóre luki w zabezpieczeniach.
8. Ograniczenie dostępu
Nie wszyscy członkowie zespołu potrzebują tego samego poziomu dostępu do konta, a różni członkowie zespołu mogą potrzebować dostępu do określonych wiadomości e-mail. W przypadku współdzielonych kont e-mail nie jest to możliwe. Każdy, kto ma dostęp do konta, będzie mógł zobaczyć i nawet odpowiedzieć na każdą wiadomość e-mail. Podobnie niektórzy użytkownicy będą musieli mieć dostęp do szczegółów konta i je zmieniać, podczas gdy inni będą potrzebować tylko dostępu do poczty e-mail.
Można to osiągnąć, zapewniając niektórym użytkownikom dostęp do programu pocztowego i innych użytkowników do samego konta, ale jest to jeszcze bardziej skomplikowane, ponieważ gdy użytkownik ma już nazwę użytkownika i hasło do konta, nadal może uzyskać dostęp do Internetu, aby potencjalnie wprowadzać zmiany.
Podsumowanie
Współdzielone e-maile wydają się wygodne, ponieważ mają tylko jedną nazwę użytkownika i hasło. Są one współdzielone między użytkownikami, a każdy może uzyskać dostęp do wiadomości e-mail i odpowiadać na nie na koncie. Jednak współdzielone e-maile stanowią większe ryzyko bezpieczeństwa i mogą faktycznie zwiększyć poziom złożoności dla firm, które poważnie traktują bezpieczeństwo danych.
Chroń swoją domenę i zwiększ bezpieczeństwo poczty e-mail dzięki zaawansowanym rozwiązaniom bezpieczeństwa poczty e-mail PowerDMARC. Wypróbuj je bezpłatnie już dziś!
- Wzrost liczby oszustw pod pretekstem w ulepszonych atakach phishingowych - 15 stycznia 2025 r.
- DMARC staje się obowiązkowy dla branży kart płatniczych od 2025 roku - 12 stycznia 2025 r.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 11 stycznia 2025 r.