E-pasta vēstules ir nozīmīga ikviena uzņēmuma un iestādes ikdienas darba sastāvdaļa. Lielākā daļa biroju darbinieku ik dienu apstrādā neskaitāmas vēstules, grupē tās, atbild utt. Apkopojam būtiskākos aspektus, kas būtu jāņem vērā, raugoties uz e-pasta vēstuļu saimniecību ar informācijas tehnoloģiju eksperta acīm!

Kur atrast kopiju?

Praksē gadās, ka tiek saņemts kāds īpaši svarīgs e-pasts, taču tas nejauši tiek izdzēsts. Šādos brīžos ir svarīgi, kas ir e-pasta servisa nodrošinātājs un vai e-pastiem tiek veiktas rezerves kopijas. Ja tiek izmantots jebkāds publiskais serviss – Gmail.com, inbox.lv un līdzīgus, tad par to noteikti esat atbildīgi Jūs paši un, ja vien neesat pats veicis rezerves kopiju izveidi, šis e-pasts tik tiešām arī paliks neatgriezeniski dzēsts.

Tomēr jebkurš uzņēmums ar savu domēnu (piemēram, www.ossnet.lv) cenšas izmantot ārpakalpojumā šādu pakalpojumu vai uztur e-pasta risinājumu pats. Arī šajā gadījumā ir svarīgi vai e-pasta servisa uzturētājs, vai pašu informācijas tehnoloģiju (IT) administrators veido e-pasta servera datu kopijas. Ja tādas ir, tad noteikti nebūs problemātiski atgūt šādu e-pastu no datu rezerves kopijas. Taču, ja tās netiek veidotas, diemžēl šo e-pastu nevarēs atgūt.

Atzīmēsim gan, ka arī "MS Office 365" pakalpojumā jūsu e-pastiem sistēma nenodrošina e-pastu datu rezerves kopēšanu un par to jāparūpējas atsevišķi. Protams, paliek arī iespēja e-pasta saņēmējam pārjautāt, vai gadījumā viņam nav pieejama šī e-pasta kopija.

Jāievēro etiķete

Izmantojot uzņēmuma oficiālo e-pasta adresi, jāievēro pamata etiķetes lietas, no kurām būtiskākās ir šādas:

  • lietot standarta formatējumu, fontus un krāsas. Arī kopējot un ievietojot informāciju, jāpārliecinās, ka viss teksts ir vienota standarta stilā;
  • norādīt skaidru un saprotamu e-pasta tematu, lai, to izlasot, saņēmējam būtu skaidrs, par ko šajā e-pastā ir runa;
  • jāuzmanās ar Reply to all jeb atbildēt visiem uzreiz un vienmēr jāizvērtē, vai visiem sarakstē esošajiem dalībniekiem būtu jāsaņem rakstītais;
  • vienmēr pārskatīt adresātu sarakstu, it sevišķi, ja sūta pietiekami sensitīvus dokumentus, datnes u. tml.;
  • vienmēr pārbaudīt e-pasta pielikumus, vai tos nav aizmirsts pievienot un vai pievienoti pareizie;
  • jāizvairās no Caps Lock jeb lielo burtu lietošanas e-pastā;
  • nekad nevajag lietot emocijzīmes;
  • censties atbildēt uz e-pastu vismaz 24 stundu laikā;
  • jāparūpējas, lai e-pasta paraksts izskatītos profesionāli un korekti. Vēlams, ka tas organizācijā visiem būtu vienots;
  • neizmantot darba e-pastu privātām vajadzībām. Tas nav labais stils.

Drošības prasības

Nodrošināt šifrētu datu plūsmu, izmantojot TLS (Transport Layer Security) starp e-pasta serveri, darbiniekiem un ārējiem e-pasta serveriem. Ja nepieciešama pastiprināta drošība saziņā ar kādu noteiktu saņēmēju, var izmantot arī e-pasta satura šifrēšanu, taču tad jābūt drošiem, ka saņēmēja puse spēs to korekti atšifrēt un atvērt. Šādiem mērķiem pieejami arī dažādi bezmaksas rīki, piemēram, “VeraCrypt”. Noteikti iesakām vispirms konsultēties ar speciālistiem, lai uzsāktu šādas šifrētas saziņas lietošanu.

Lietot tikai un vienīgi unikālas un pietiekami sarežģītas paroles, kas satur lielos un mazos burtus, kā arī skaitļus un simbolus. Nekādā ziņā neizmantot vienkāršās paroles, piemēram, "0123456789", – tā viegli var kļūt par kompromitēta e-pasta īpašnieku. Šāda situācija var radīt gana lielus draudus un finansiālos zaudējumus uzņēmumam. Iedomāsimies situāciju: ļaundaris piekļūst e-pasta saturam, visiem tur esošajiem kontaktiem, dažus mēnešus analizē uzņēmuma darbinieku saraksti un uzsāk viņu vārdā izplatīt rēķinus klientiem par līdzīgiem pakalpojumiem, taču nomainot bankas kontu uz jau ļaundarim piederošo.

__________________________________________________________________________

Uzņēmumam jāizglīto savi darbinieki – pat labākās IT drošības sistēmas nespēj tikt galā un novērst lielākos draudus tā biznesam, proti, cilvēcisko ziņkāri! 

__________________________________________________________________________

Drošu paroļu izveidei var izmantot paroļu ģenerētājus, kas pieejami tīmeklī, kā arī likt lietā savu izdomu. Piemēram, "1B1zn35%.Lv" parole tika veidota no ibizness.lv, taču, kā redzam, satur jau lielos un mazos burtus, skaitļus un speciālo simbolu. Šāda veida parole jau kļūst daudz drošāka.

Ja izmantotais e-pasta risinājums atbalsta divfaktoru autentifikāciju, noteikti tas jāieslēdz un jāizmanto. 2FA jeb divfaktoru autentifikācija nodrošina: lai piekļūtu uzņēmuma e-pastam, nepietiks tikai ar paroli, būs nepieciešams vēl otrs faktors, piemēram, SMS kods uz adresāta tālruni. Pie divfaktoru autentifikācijas mēs visi sen jau esam pieraduši, lietojot internetbanku. Agrāk tās bija kodu kartes (šis arī ir otrais faktors), šobrīd – kodu kalkulators vai “Smart-ID”.

Uzņēmumam jāizglīto savi darbinieki – pat labākās IT drošības sistēmas noteikti nespēj tikt galā un novērst lielākos draudus tā biznesam, proti, cilvēcisko ziņkāri! Šobrīd vairāk nekā 40% surogātpastu ir tā sauktie blended attack jeb, vienkāršāk sakot, e-pasts ar ļaunu hipersaiti tajā. Īstais ļaunums, kas varētu kompromitēt uzņēmuma datortīklu, ir nevis pats e-pasts, kurš spējis palikt nemanīts drošības vārtejām, bet gan šajā e-pastā esošā hipersaite. Un problēmas sākas tad, kad nudien ziņkārīgs darbinieks uzklikšķina uz tās.

Lietot pietiekami gudrus antivīrusu risinājumus. Ar “gudrus” mēs domājam uzņēmuma lielumam un vajadzībām atbilstošus, taču vajadzēs apbēdināt, ka 99% gadījumu tie diemžēl nebūs bez maksas (kas būs pietiekami mājas lietotājam), taču spēs pieskatīt un novērst lielu daļu uzbrukumu, kas var tikt mērķēti, izmantojot lietotāja e-pastu.

Nekad neizmantot publiskus un atvērtus “Wi-Fi” tīklus, lai piekļūtu uzņēmuma svarīgām lietām, piemēram, e-pastam un internetbankai.

Kā uzglabāt e-pastus ar darbinieku iesniegumiem?

Noteikti šo jautājumu neanalizēsim no juridiskā aspekta, taču uzskatām, ka darbinieku iesniegumu e-pastus var korekti eksportēt uzreiz "PDF" formātā un saglabāt vietnē (tīkla koplietošanas diski vai jebkura centrāla vietne, kas paredzēta šādiem mērķiem), kurā tiek nodrošinātas atbilstošas piekļuves tiesības. Nerekomendējam šādus iesniegumu e-pastus glabāt e-pastā, turklāt šis jautājums jāskata arī kontekstā ar regulas 2016/679 jeb Vispārīgās datu aizsardzības regulas (Regula) prasībām.

Ko darīt ar e-pastiem, kam ir pielikumi?

Viss atkarīgs no tā, cik liela ir pastkastītē pieejamā diska vieta, kā arī vai šajos e-pastos atrodami personas dati (tad uz tiem attiecas Regulas prasības ar datu apstrādes mērķi).

Dažādās darbības jomās e-pastos cirkulē pietiekami apjomīgi pielikumi vairāku desmitu megabaitu apmērā, līdz ar to iesakām šādai lielu failu datu apmaiņai izmantot “Cloud” risinājumus (“OneDrive”, “NextCloud”, “Seafile”), lai e-pastos varētu sūtīt tikai saites uz šiem dokumentiem, tādā veidā nenoslogojot e-pasta sistēmas un neģenerējot liekus datus.

Kā grupēt e-pastus?

Vairākumam e-pasta lietotāju jau ir izveidojušies savi paradumi, kas viņiem šķiet tie ērtākie, līdz ar to nav iespējams ieteikt kādu labāko veidu. Katrā ziņā e-pasta klientiem var veidot dažādus filtrus ar nosacījumiem (pēc sūtītāja, pielikuma vai tā izmēra u. tml.), kas īstenojas, ja atbilstošs e-pasts ir sasniedzis uzņēmuma pastkastīti. Tāpat plaši tiek lietota e-pastu marķēšana, kas arī atvieglo e-pasta organizēšanu.

Pēc cik ilga laika izdzēst e-pasta vēstuli?

Viss atkarīgs no tā, cik ilgi šis e-pasts vai tajā esošā informācija ir nepieciešama, lai veiktu savu darbu, kā arī uzņēmumā jābūt noteiktai personas datu apstrādes kārtībai, mērķiem un datu glabāšanas termiņam, tajā skaitā e-pastos. Ar šo informāciju noteikti jāiepazīstina visi darbinieki, kas šos datus apstrādā. Katrā ziņā rekomendējam neaktuālu informāciju e-pastā neglabāt un regulāri to izdzēst.

Kādos gadījumos izdrukāt e-pastu?

Mēs teiktu – nekādos gadījumos! Taču šis arī ir iekšējo procedūru stāsts, kas iesakņojies no pagājušā gadsimta deviņdesmitajiem un šā gadsimta pirmās desmitgades laikiem, kad e-pasti tika drukāti, likti mapēs, reģistrēti lietvedībā utt. Uzskatām, ka arguments “man tā vieglāk lasīt” vairs neiztur kritiku, ņemot vērā mūsdienu portatīvo datoru un monitoru attēla kvalitāti.

Ja drukāt e-pastu uzdod par pienākumu kāda iekšējā procedūra, tad noteikti rekomendējam mainīt procedūru, paralēli izvēloties informācijas sistēmu, kas spēj šādus e-pastus uzglabāt. Ja ir neliels uzņēmums, kas savu lietvedības sistēmu nevar atļauties un pietiek ar veco, labo izklājlapu (Excel sheet), tad rekomendējam šādus e-pastus vienkārši eksportēt "PDF" formātā un noglabāt drošā vietā.

Ko darīt, ja saņemts citam cilvēkam domāts e-pasts?

Gandrīz ikviens kļūdas pēc ir saņēmis citam adresātam paredzētu e-pasta vēstuli, un tad rodas jautājums – kā pareizi rīkoties šādā gadījumā?

Protams, nav nekāda rakstīta pienākuma uz to reaģēt, taču uzskatām: ir tikai cilvēka cienīgi vienmēr atbildēt sūtītājam, ka e-pasts ir sasniedzis nepareizu adresātu, un minēt faktu, ka nepareizi saņemtais e-pasts līdz ar šīs atbildes vēstules nosūtīšanu tiks izdzēsts.

"CERT.LV" ieteikumi

Lūdzām šo tēmu komentēt arī "CERT.LV", Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas ekspertiem. Apkopojam būtiskākos ieteikumus, ko darba devējiem vajadzētu norādīt saviem darbiniekiem!

  • darba e-pasts jālieto tikai darba vajadzībām. Privātai sarakstei un informācijas apmaiņai jālieto privātais e-pasts. Neizmantot darba e-pastu, lai reģistrētos sociālajos tīklos un citās vietnēs un platformās, ja vien tām nav strikti profesionāls raksturs, piemēram, ar darbu saistīta konference, nozares profesionāļu forums utml.- Darba e-pasti un dokumenti netiek pārsūtīti uz privāto e-pasta kastīti vēlākai aplūkošanai vai apstrādei;
  • ja e-pastam ir pielikums, vēl pirms pielikuma atvēršanas rūpīgi jāaplūko dokumenta/ faila paplašinājums - burti faila nosaukumā aiz pēdējā(!) punkta (labajā galā). Ierastie dokumentu formāti varētu būt ".DOC", ".DOCX', ".XLS", ".PDF", ".PPT". Šos ierastos formātus uzbrucēji cenšas imitēt ļaundabīgo failu nosaukumos, piemēram, Invoice67543281.PDF.exe. Piemērā minētais dokuments mēģina izskatīties pēc ierastā .PDF, taču, aplūkojot nosaukumu vērīgāk, redzams, ka aiz "PDF" seko vēl viens  punkts, un aiz šī punkta redzams .EXE, kas norāda uz izpildāmo failu jeb programmu, kas diezgan droši nozīmē vīrusu. Biežāk izmantotie kaitīgo pielikumu formāti ".ZIP", ".EXE", ".ISO", bet var tikt lietoti arī citi;
  • ja ir saņemts e-pasts no nepazīstama adresāta, kur pielikumā ir arhīvs 'WinRAR", "WinZIP", '7-ZIP' vai citi, kas aizsargāts ar paroli un parole ir e-pasta tekstā, nekādā gadījumā šo failu neatvērt;
  • ja ir saņemts e-pasts, ka pastkastīte pilna vai e-pasti kaut kādu iemeslu dēļ nav piegādājami – sazināties ar IT atbalstu un nekādā gadījumā neatvērt piedāvātās saites, kas apsola automātiski problēmu atrisināt;
  • jābūt piesardzīgiem, ja atsūtītais "Word" vai "Excel" dokuments aicina iespējot Macros funkcionalitāti, norādot, ka tas nepieciešams satura attēlošanai vai saderības nodrošināšanai. Macros ir dokumentā iekļauta programma, un, atļaujot Macros, tiek atļauta šīs programmas izpilde. Uzbrucēji izmanto Macros, lai nogādātu datorā vīrusus, tādēļ Macros nav ieteicams atļaut. Ja e-pastā ir iekļautas saites, vēl pirms saites atvēršanas ieteicams pārbaudīt saites patieso galamērķi, lai pārliecinātos, vai saite tiešām aizved uz norādīto vietni. To var izdarīt, uzbraucot ar kursoru (peli) uz saites, bet nenoklikšķinot. E-pasta pārlūka ("Outlook", "Thunderbird" u.c.) vai interneta pārlūka ("Firefox", "Chrome" u.c.) apakšējā malā parādīsies lodziņš ar interneta adresi, kas norādīs uz vietni, kurp nokļūsiet pēc noklikšķināšanas. E-pasta tekstā var būt norādīts www.tavabanka.lv, bet, pārbraucot saitei ar kursoru, var atklāties, ka patiesā vietne ir www.gributavusdatus.xyz/tavabanka/lietotajs24/dabutparoli;