Niemal każdy użytkownik Internetu, a nawet cyberprzestrzeni, posiada własną skrzynkę e-mail. W Dyrektywie Unijnej dano możliwość przyjmowania zgłoszeń poprzez dedykowaną skrzynkę pocztową. Jednak czy jest to bezpieczny sposób? Czy dedykowana skrzynka e-mail jest w stanie zachować poufność informacji? Więcej na ten temat przeczytasz w poniższym artykule.

Dedykowana skrzynka e-mail – rozwiązanie obciążone ryzykiem

W ostatnim czasie intensywności nabierają prace nad ustawą o ochronie sygnalistów. Kolejna wersja została opublikowana przez Rządowe Centrum Legislacji 29.03.2024, a 02.04 – trafiła przed URM. Ustawa ta ma na celu wcielenie w życie zasad, wyznaczonych przez unijną dyrektywę nr 2019/1937, stanowiącej o ochronie osób zgłaszających naruszenia w środowisku pracy. Wiele samorządów oraz firm już teraz decyduje się na wdrożenia w zakresie ochrony sygnalistów, próbując wyprzedzić bieg wydarzeń i wejść w nową rzeczywistość prawną w stanie pełnej gotowości.

✅ Obecnie aktualny stan projektu ustawy o ochronie sygnalistów regulującej przepisy krajowe jest dostępny pod nowym drukiem UC1.

Różnorodność dopuszczonych w tym zakresie rozwiązań prowadzi do sytuacji, w której nie wszystkie z nich gwarantują równy, optymalny poziom bezpieczeństwa. Jednym ze sposobów, w jaki podmioty obowiązane ustawą chcą obsługiwać zgłoszenia sygnalistów, jest dedykowana skrzynka e-mail. Przyjrzyjmy się powodom, dla których decydują się na to rozwiązanie, i zagrożeniom, jakie niesie korzystanie z niego.

Skrzynka e-mail – dlaczego wybierana?

Najważniejsze czynniki, kształtujące wybór skrzynki e-mail jako kanału zgłoszeniowego, to wrażenie prywatności – pozornej, jak się wkrótce przekonamy – kojarzonej z tą formą komunikacji, oraz aspekt ekonomiczny; mogłoby się wydawać, że koszta, generowane przez utrzymanie skrzynki e-mail jako kanału zgłoszeniowego są jednymi z najniższych, gdy porównamy je z innymi metodami prowadzenia takiego kanału. Gdy jednak uważnie rozpatrzymy czynniki zagrożenia, jakie czyhają na użytkowników tej formy kanału zgłoszeniowego, przekonamy się, że oszczędności mogą nie wystarczyć na pokrycie strat, wywołanych cyber-atakiem lub powstałym na skutek dostępu osób nieuprawnionych do odczytywania zgłoszeń i danych sygnalistów.

 

Potencjalne zagrożenia

Istnieje cały szereg zagrożeń, którymi obciążone jest korzystanie z dedykowanej skrzynki e-mail jako kanału zgłoszeniowego. Jeśli skrzynka znajduje się w domenie giganta technologicznego, to do jej zawartości mają dostęp pracownicy koncernu. Mimo stosowania technologii szyfrujących w ramach wewnętrznych procedur kontroli dostępu do danych, istnieją przykłady sytuacji, w których były one wynoszone przez pracowników firmy i wykorzystywane w nieetycznych celach.

Modelowym przykładem jest choćby sytuacja w Facebooku, która doprowadziła do przesłuchań szefa założyciela Mety przed Kongresem Stanów Zjednoczonych. Zdarza się też, że bazy danych bywają atakowane przez hakerów w ramach doskonalenia ich sztuki – tego typu wydarzenia dotknęły użytkowników portalu LinkedIn. Łączy się z tym kolejne zagrożenie, związane z używaniem domeny e-mail giganta technologicznego, wiąże się z międzynarodową sytuacją polityczną – w zeszłej dekadzie doszło do oficjalnego rozpoznania cyberprzestrzeni jako teatru wojny na arenie międzynarodowej. Procedury bezpieczeństwa gigantów hi-tech są bardzo łakomym kąskiem dla hakerów, pracujących na rzecz obcych mocarstw: ich złamanie przynosi ogromną korzyść zarówno w kwestii użyteczności militarnej – hard data dotyczące aktywności sieciowej, ekonomicznej, powiązań międzyludzkich milionów użytkowników – jak i propagandowej.

Domena lokalna

Alternatywą wydaje się być domena lokalna – znajdująca się pod kontrolą zaufanego, pracującego dla danego podmiotu informatyka. To rozwiązanie jednak niesie ze sobą szereg innych niż wcześniej wymienione problemów. Jeśli administrator kanału zgłoszeniowego nie wskaże informatyka jako osoby odpowiedzialnej za obsługę kanału (koordynatora), ten ma możliwość, wykorzystując swoją wiedzę w zakresie obsługiwanych technologii, kontrolowania takiej skrzynki. Tym samym dochodzi do naruszenia ochrony danych sygnalisty przed osobami niepowołanymi, co skutkuje odpowiedzialnością karną. W przypadku ustanowienia go koordynatorem, zagrożenie przybiera inną formę – jak nikt inny informatyk będzie wiedział, jak skutecznie usunąć ze skrzynki zgłoszenia, które mogą dotyczyć naruszeń dokonywanych przez niego lub osoby, z którymi pozostaje w zażyłych stosunkach.

Problem ten rozciąga się na przedstawicieli innych profesji, którzy mogliby zostać administratorami danych i koordynatorami, zwłaszcza gdy mowa o podmiotach zatrudniających około 50 osób. W tego typu organizacjach każdy pracownik zna pozostałych i jest wobec nich osobiście ustosunkowany. W grę wchodzi więc czynnik ludzki, oparty o emocjonalne zaangażowanie, sympatie i antypatie, politykę biurową. Ustawa zabrania podejmowania czynności odwetowych wobec sygnalisty; aby ten mógł uzyskać ów status, musi jednak istnieć jakaś forma raportu zgłoszenia, którego dokonał. Jeśli nie ma po nim śladu, to nieprzychylny mu zwierzchnik mający wgląd w skrzynkę e-mail będzie szukał sposobu na to, aby uprzykrzyć mu życie i pracę – i z pewnością taki sposób znajdzie. Skrzynki na małych domenach nie są też wolne od zagrożenia cyber-atakami. Według raportu firmy IBM średni koszt pojedynczego wycieku danych na świecie w 2023 wynosił 4,45 miliona dolarów.

Możliwe oszustwa z wykorzystaniem skrzynki e-mail

Przeglądającego skrzynkę mailową mogą spotkać również rozmaite, popularne schematy oszustw z wykorzystaniem poczty elektronicznej. Phishing przy użyciu wiadomości wyglądających na wysyłane z odpowiedniego, korporacyjnego adresu, to jeden z najczęstszych sposobów nabierania pracowników. W treści maila zazwyczaj znajdziemy załącznik, lub link do strony, która wygląda na przypisaną do domeny poważanej firmy lub instytucji, wymagając od nas podania rozmaitych danych (pharming).

Wspomniane załączniki zawierają z kolei oprogramowanie infekujące komputer, takie jak:

  • spyware (szpiegowskie, śledzące aktywność);
  • adware (wyświetlające niechciane reklamy, nierzadko fałszywe, mające stanowić furtkę dla innego złośliwego oprogramowania);
  • ransomware (wirus wymuszający na nas określone działania pod groźbą szantażu).

Mimo ogromnych nakładów, jakie przeznaczają na cele szkoleń antyphishingowych firmy, schemat wciąż działa na naiwnych, pozostawiając za sobą pasma niebotycznie kosztownych szkód.

 

Zewnętrzna obsługa zgłoszeń gwarancją anonimowości i bezpieczeństwa

Powierzenie utworzenia kanału zgłoszeniowego firmie zewnętrznej, specjalizującej się we wdrażaniu takich rozwiązań jest najlepszą gwarancją, że dane będą przechowywane przez profesjonalistów w zakresie ich ochrony. Sygnalista24.info gwarantuje zgodną z europejskimi normami ochronę zarówno zgłaszającym sygnalistą, jak i osobom, których dotyczą zgłoszenia. Umożliwiamy zarówno tworzenie kanału, obsługiwanego przez podmiot którego dotyczą kanały zgłoszeniowe, jak i obsługę naruszeń przez nasz zespół specjalistów. Sygnalista24.info zmienia się wraz z przepisami o ochronie sygnalistów, odpowiadając na potrzeby klientów, oszczędzając im trudu dostosowywania się do sytuacji własnymi nakładami.

Ochrona sygnalistów

Jeśli jesteś świadkiem naruszenia prawa w pracy masz prawo zgłosić to w miejscu pracy, za pomocą procedury chroniącej sygnalistów zgłaszających naruszenia. Przeczytaj kim jest sygnalista?

Jeśli w Twojej ocenie doszło do naruszenia prawa przez pracodawcę, masz prawo to jako pracownik zgłosić. Na początek powinieneś to zgłosić w ramach wewnętrznych procedur chroniących sygnalistów i wyznaczonym poufnym kanałem zgłoszeniowym, takim jak np. SYGNALISTA24.info. Reguluje to ustawa o sygnalistach. Ta ustawa również chroni Ciebie jako sygnalistę.

Pamiętaj! Ustawa chroniąca sygnalistów przewiduje kary za stosowanie sankcji czy odwetu na pracowniku/sygnaliście. Prawo również przewiduje kary za zgłaszanie nieprawdziwych informacji.

Kto jest zobowiązany do wdrożenia ustawy chroniącej sygnalistów?

Tutaj znajdziesz listę podmiotów zobowiązanych wdrożyć ustawę o ochronie osób zgłaszających naruszenia prawa (ustawa o sygnalistach) oraz listę instytucji obowiązanych wdrożenie ustawy AML o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu i stworzenie anonimowych i poufnych kanałów zgłoszeniowych.

Bezpieczny kanał zgłoszeniowy

Pamiętaj! Nie każdy pracodawca tworzy poufny kanał zgłoszeniowy lub ma dobrze przygotowane procedury/regulamin chroniący sygnalistów.

Jeśli uznasz, że system dotyczący sygnalistów nie wyznaczył stosownych procedur lub stworzone kanały zgłoszeniowe nie są bezpieczne i grozi Ci odwet, możesz przestępstwo zgłosić również na policję lub do prokuratury.

Zapraszamy do współpracy

Doering & Partnerzy


Załącznik, do pobrania:

Zobacz również:

Zobacz więcej: