Общие учетные записи электронной почты — это те, к которым имеют доступ и которые используют несколько человек, как правило, в пределах одной семьи или организации. Они могут показаться удобными, поскольку позволяют нескольким людям управлять рабочей нагрузкой и гарантировать, что письма не останутся без ответа. Однако использование общей электронной почты несет в себе множество рисков для безопасности и делает всех пользователей и организации уязвимыми.
Важность безопасности электронной почты
Безопасность электронной почты является важной частью безопасности любого бизнеса. Сотни тысяч людей ежегодно становятся жертвами фишинговых атак, что приводит к значительной потере данных и неисчислимому финансовому и репутационному ущербу. Мониторинг сотрудников и обеспечение ими соблюдения передовых методов может укрепить цифровую защиту. Внедрение протоколов аутентификации электронной почты, таких как DMARC, SPF и DKIM, помогает защититься от фишинговых и спуфинговых атак, проверяя легитимность отправителей электронной почты и снижая риск несанкционированного использования вашего домена.
Один из способов сделать это — использовать легитимное шпионское программное обеспечение. Согласно обзору Flexispy технического писателя Ноа Эдиса , например, программное обеспечение может использоваться для мониторинга устройств компании, чтобы гарантировать соблюдение передовых практик и улучшить подотчетность. В некоторых регионах существуют юридические требования, требующие, чтобы работодатели информировали своих сотрудников о любых мерах или инструментах мониторинга, например, GDPR в ЕС, но в глобальном масштабе это не так.
Что такое общие адреса электронной почты?
Общий адрес электронной почты — это один адрес электронной почты, использующий одну учетную запись электронной почты, которая имеет несколько пользователей. Все пользователи входят в учетную запись с одними и теми же учетными данными. Общие адреса электронной почты могут использоваться дома, семьями и даже в компаниях. Они обычно используются отделами обслуживания клиентов, например, где несколько сотрудников отвечают за ответы на электронные письма, отправленные на один адрес.
Поскольку все члены команды используют одни и те же данные для входа и имеют доступ к одним и тем же электронным письмам, а также поскольку члены команды переходят из одного отдела в другой или даже покидают компанию, это может означать, что доступ к учетной записи получат десятки или более человек. Это оставляет бизнес открытым для атак изнутри, а также увеличивает риск внешних атак.
8 причин, по которым следует избегать общих адресов электронной почты
Общие адреса электронной почты удобны и могут быть полезны в некоторых случаях, но они представляют определенные риски безопасности. Вот несколько распространенных причин, по которым вам следует избегать их использования:
1. Слабые пароли
Безопасные пароли должны состоять из заглавных и строчных букв, цифр и специальных символов. Они не должны включать строки символов, которые являются последовательностями, общеизвестными словами и фразами или чем-либо, что легко угадывается. 8 из 10 взломов бизнеса происходят из-за использования слабых или украденных паролей, что делает выбор и использование безопасных паролей неотъемлемой частью безопасности данных .
Общие учетные записи электронной почты, как правило, имеют простые пароли. Множество пользователей должны иметь доступ к учетной записи, и администратору проще назначить простой пароль. Многие пользователи также используют одни и те же пароли для нескольких разных учетных записей, поэтому, если им был предоставлен пароль для доступа к их электронной почте, есть вероятность, что они будут повторно использовать этот пароль в другом месте.
2. Подотчетность
Если несколько человек имеют доступ к учетной записи электронной почты, используя одно и то же имя пользователя и пароль, то практически невозможно определить, кто что сделал. Если происходит преднамеренная утечка данных и конфиденциальные электронные письма становятся общедоступными, очень сложно определить, кто поделился этой информацией при использовании общих учетных записей электронной почты. С точки зрения бизнеса это также затрудняет определение того, кто отправлял или отвечал на сообщения с учетной записи электронной почты.
Отсутствие ответственности не означает наказание. Если есть нарушение безопасности или риск, сотрудники и пользователи электронной почты должны быть обучены передовым методам. Для этого вам нужно определить, кому необходимо обучение, иначе вы можете оттолкнуть тех пользователей, которые следуют передовым методам. Еще одним элементом ответственности является определение того, кто отвечает на какие электронные письма. Членам команды нужно будет проверять каждое электронное письмо, чтобы убедиться, что на него получен своевременный ответ.
3. Преднамеренное нападение
Электронные письма, даже от клиентов, могут содержать крайне конфиденциальные данные: информацию, которую вы не хотите, чтобы конкуренты или внешние стороны получили доступ. При использовании общих учетных записей электронной почты может оказаться сложно отслеживать, кто именно имеет доступ к учетной записи. Помимо текущих сотрудников, которым нужен доступ, сотрудники уходят из организаций. Не все утечки данных и атаки происходят извне компании. Многие из них спровоцированы сотрудниками или бывшими сотрудниками.
Маловероятно, что пароль электронной почты будет меняться каждый раз, когда происходит внутренняя перестановка или сотрудник уходит. Хотя большинство компаний немедленно ограничивают другие формы доступа, когда сотрудник уходит. Это оставляет компанию открытой для преднамеренных атак со стороны существующих или недовольных бывших сотрудников.
4. Хранение данных
В большинстве случаев сотрудники используют программное обеспечение электронной почты, например Outlook, для доступа к общей электронной почте. Программное обеспечение устанавливается на их компьютер и предоставляет лицам полный доступ к учетной записи. Они могут получать и отправлять электронные письма, загружать вложения и выполнять административные функции в учетной записи.
Даже если пользователь удаляет конфиденциальное письмо, если содержимое письма находится в почтовом программном обеспечении другого пользователя или он загрузил прикрепленные файлы, эти данные все еще существуют . Это может быть проблематично с конфиденциальными деловыми данными. Это также может представлять угрозу безопасности с фишинговыми письмами и подозрительными файлами. Один пользователь может распознать мошенничество и удалить письмо, но если это письмо уже было открыто или загружено, оно все равно представляет риск для всей компании.
5. Несоблюдение
В некоторых отраслях, например, в здравоохранении, действуют строгие политики защиты данных и коммуникаций, включая требования безопасности электронной почты . Организации в этой отрасли должны следовать этим политикам, иначе они могут быть потенциально подвергнуты карательным мерам. В самых серьезных случаях компании могут лишиться лицензий на осуществление деятельности.
Большинство политик соответствия требованиям к данным требуют, чтобы пользователи имели отдельные учетные записи электронной почты, поскольку это помогает обеспечить целостность данных, затрудняет внешние атаки и защищает данные отдельных лиц.
6. Повышенная сложность
Совместное использование учетных данных для входа в электронную почту может показаться самым простым решением. Каждому, кому нужен доступ, предоставляется одно и то же имя пользователя и пароль, и все пользователи могут отвечать на электронные письма. Однако, если бизнес хочет обеспечить хорошую безопасность данных, это на самом деле увеличивает сложность во многих отношениях.
Каждому пользователю необходимо предоставить данные для входа. Когда пользователь покидает отдел, и особенно если он покидает компанию, эти данные следует изменить. Это означает, что необходимо предоставить новые данные для входа всем членам команды. Неизбежно, кто-то забудет новые данные. И если произойдет утечка данных или другая проблема безопасности, ИТ-отделу придется много копать, чтобы найти причину утечки и укрепить защиту от будущих атак. И хотя некоторым пользователям может потребоваться административный доступ, чтобы иметь возможность вносить изменения в саму учетную запись электронной почты, другим пользователям он не понадобится, что означает попытку создания ограничений доступа пользователей к общей учетной записи.
7. Дополнительные риски социальной инженерии
Социальная инженерия — одна из наиболее часто используемых тактик для получения доступа к учетным записям электронной почты и другим критически важным данным. Фишинг — одна из форм социальной инженерии, убеждающая получателя электронной почты щелкнуть ссылку и ввести имя пользователя и пароль на поддельном сайте. Однако существуют и другие тактики социальной инженерии, и чем больше пользователей имеют доступ к общей учетной записи, тем больше потенциальных точек входа для хакеров, использующих эту тактику.
Самый эффективный способ закрыть эти дыры — иметь отдельные учетные записи с отдельными учетными данными для входа для всех пользователей. По крайней мере, пересылка электронной почты может помочь закрыть некоторые дыры в безопасности.
8. Ограничение доступа
Не всем членам команды нужен одинаковый уровень доступа к учетной записи, и разным членам команды может потребоваться доступ к определенным электронным письмам. С общими учетными записями электронной почты это невозможно. Каждый, у кого есть доступ к учетной записи, сможет видеть и даже отвечать на каждое электронное письмо. Аналогично, некоторым пользователям потребуется иметь возможность доступа и изменения данных учетной записи, в то время как другим потребуется только доступ к электронной почте.
Этого можно добиться, предоставив некоторым пользователям программное обеспечение электронной почты и предоставив другим пользователям доступ к самой учетной записи, но это становится еще сложнее, и как только у пользователя появляются имя пользователя и пароль для учетной записи, он все равно может получить онлайн-доступ, чтобы потенциально вносить изменения.
Подведение итогов
Общие электронные письма кажутся удобными, поскольку у них есть только одно имя пользователя и пароль. Они общие для всех пользователей, и каждый может получить доступ и ответить на электронные письма в учетной записи. Однако общие электронные письма представляют большую угрозу безопасности и могут фактически повысить уровень сложности для компаний, которые серьезно относятся к безопасности данных.
Защитите свой домен и улучшите безопасность электронной почты с помощью передовых решений PowerDMARC по защите электронной почты. Попробуйте бесплатно сегодня!
- Рост числа фишинговых атак с использованием претекстов - 15 января 2025 г.
- DMARC станет обязательным для индустрии платежных карт с 2025 года - 12 января 2025 г.
- Изменения в NCSC Mail Check и их влияние на безопасность электронной почты в государственном секторе Великобритании - 11 января 2025 г.