Jak nastavit e-mail, aby se nestal branou do vaší firmy?

Barbora Nováková

Barbora Nováková
28. 03. 2023

Jak nastavit e-mail, aby se nestal branou do vaší firmy?

SDÍLET

Významná část kybernetických útoků začíná škodlivým e-mailem. E-maily si totiž posíláme už přes 50 let a základ této technologie je pořád stejný. Přesto ale můžeme i v dnešní době používat e-maily bezpečně. 

Exkurzů do historie netřeba. Stačí vědět, že první e-mail poslal v roce 1971 programátor Ray Tomlinson (na rozdíl od prvních telegramistů či telefonistů okamžitě zapomněl, co v něm psal) a od té doby jeho „vynález“ nenašel přemožitele. Objevilo se sice mnoho pokusů o efektivnější a bezpečnější komunikaci, jako Skype nebo Teams, ale e-mail si díky své jednoduchosti dodnes udržel výsadní postavení na poli digitální, především firemní komunikace. Jeho největší výhoda se ale zároveň stala největší slabinou. E-mail dnes sice vypadá líp a umí toho víc než před 50 lety, ale v jádru je pořád stejně primitivní.

Drtivá většina všech odesílaných e-mailů je spam. Chraňte své e‑maily s O2 Antispam

Jak toho hackeři zneužívají?  

Hackeři velmi často útočí pomocí tak zvaných phishingových e-mailů. Ty tak patří mezi dobrou ukázkou toho, jak se slabin e-mailu dá zneužít. V dnešní době už existují různé online nástroje, se kterými byste to zvládli i vy. Stačí zadat pár údajů a za vteřinu je ve schránce. Nejedná se přitom o žádné důmyslné vychytávky. To jen technologie e-mailu je takhle jednoduchá. Z průzkumu GFI Software mezi partnery v ČR a na Slovensku z dubna 2022 vyplývá, že e-mailům s podvrženými adresami čelilo 47 % zákazníků. 

Přemýšlíte teď nad tím, jak tomu ve své firmě předejít? Seznamte své kolegy s tím, jak phishingové kampaně vypadají, a trénujte je v jejich rozpoznávání. Už dávno neplatí, že podvodné maily mají špatnou češtinu. Právě naopak. Je proto nutné být obezřetný. Dejte si pozor, když:  

  • na vás odesílatel vyvíjí časový nátlak a žádá vás o rychlou akci
  • vás někdo prosí o nestandardní požadavek  
  • se adresa příjemce, pokud na e-mail odpovídáte, liší od původní adresy odesílatele 
  • se po najetí kurzoru na odkaz v e-mailu ukáže skutečná URL adresa a liší se od uváděného odkazu

Zda jsou zaměstnanci dostatečně ostražití, je dnes běžné ověřovat pomocí testovacích phishingových kampaní. Vyzkoušejte naši e-learningovou platformu. Systematickou a zábavnou formou vás připraví na všechny typy útoků včetně phishingu.

Ale zpět k e-mailu. Proč je vlastně jeho zneužití tak jednoduché?  

E-mail je jako dopis 

Je to podobné jako s dopisem. Jeho odesílatel se taky může tvářit jako kdokoli jiný a záleží jen na vás, jestli poznáte jeho rukopis, slovní zásobu nebo podpis. A dopisová analogie jde ještě dál. Stejně jako si může pošťák váš dopis přečíst a cokoli do něj připsat (má-li stejnou propisku a dokáže napodobit písmo odesílatele), mohou i hackeři „po cestě“ přečíst a pozměnit obsah vašeho e-mailu. Nestačí tedy jen unikátní (elektronický) podpis, ale i kvalitní šifrování. A tím už se dostáváme k jádru věci.

Abyste zabránili tomu, že kdokoli na světě bude moci vaším jménem a z vaší e-mailové adresy napsat cokoli vašim zákazníkům, požádat vaše kolegy o přístupové údaje k firemnímu účtu, databázi zákazníků či peníze za včerejší oběd nebo upravit to, co posíláte vy, zajistěte si alespoň jeden z následujících nástrojů pro zabezpečení pošty: 

Nástroje pro zabezpečení pošty  

  • S/MIME – protokol poskytující digitální zapečetění zprávy a úplné end-to-end šifrování.  
  • SPF – záznam potvrzující, které servery a domény jsou autorizované posílat e-maily za vaši firmu. 
  • DKIM – protokol podepisující e-maily klíčem, který dokazuje, že zpráva nebyla změněna a že e-mail skutečně pochází z odesílatelovy domény. 
  • DMARC – s jehož pomocí definujete, co se má stát se zprávou, která pravidlům SPF a DKIM nevyhovuje. DMARC vás navíc umí upozornit na pokusy o zneužití domény. 
  • VMC – certifikát, který – při správně nastavené doméně (BIMI) –zobrazuje příjemcům e-mailu ve většině e-mailových klientů vaše logo. 

Neméně důležité je také to, aby o veškerých rizicích měli povědomí vaši zaměstnanci. Proč jim nastavujete to a to a proč se tohle mění na tamto. Vysvětlujte. Jednoduše, lidsky. Edukovaný uživatel je bezpečnější uživatel, takže těch pár minut vysvětlování můžete klidně brát jako investici do kyberbezpečnosti. 

Pamatujte, že šifrování zpráv byste měli používat vždy, aby si obsah vašich e-mailů nepřečetl nikdo, kdo nemá. Stejně tak byste měli e-maily zaopatřit elektronickým podpisem, aby jejich obsah nemohl „cestou“ nikdo pozměnit.  

99,9 % všech e-mailů je posláno přes protokol MIME bez šifrování, který neumožňuje ověření pravosti odesílatele ani nezaručuje, že zpráva nebyla cestou změněna. 90 % firem nepoužívá dostupné technologie (DKIM, SPF a DMARC), které jejich obchodní e-maily dokážou ochránit. 

 Jak chránit svou e-mailovou schránku? 

 Až doteď jsme se bavili jen o tom, jak někdo může vaše e-maily zneužít, aniž by znal heslo do vaší schránky. Prolomení hesel k e-mailu vašich zaměstnanců představuje ale další obrovské bezpečnostní riziko. 

Věděli jste, že? Pokud jste někdy poslali kolegům nešifrovaným e-mailem třeba databázi klientů a jejich údajů, dopustili jste se porušení GDPR. 

Hlavně proto, že na e-mail je dnes navázána řada dalších služeb. Pokud tedy někdo získá přístup do vaší e-mailové schránky, má v podstatě otevřené dveře na vaše sociální sítě, cloudová úložiště a do různých firemních účtů, kde už si posbírá vše, co potřebuje. 

Vaše schránka navíc určitě ukrývá i spoustu přihlašovacích údajů, dokumentů a čísel, která jste nechtěli zapomenout nebo ztratit, tak jste si je poslali sami sobě. A potenciálním útočníkům. 

Složitá hesla a dvoufaktorové ověření 

Právě proto doporučujeme nejen používat složitá a dlouhá hesla (ale nikdy si je nenechte vygenerovat v online nástrojích), ale hlavně dvoufaktorové ověření. Ať už pomocí SMS zprávy na vaše telefonní číslo, nebo specializovanými autentizačními aplikacemi, které nejspíš znáte z mobilního bankovnictví.  

V roce 2022 byla nejpoužívanější hesla Čechů: 123456, heslo, maminka, martin, password. Na jedenáctém místě bylo heslo: „superhry” a na dvacátém „slunicko“. 

  • 37 % Čechů používá jako heslo (nebo jeho část) jméno člena rodiny nebo zvířecího mazlíčka 
  • 59 % lidí používá ve svém hesle své jméno nebo datum narození 
  • 65 % lidí používá stejné heslo k přihlášení do více služeb 
  • 43 % lidí s někým sdílí alespoň jedno své heslo.  

Nastavit si dvoufaktorové ověření nebo složité heslo je jednoduché a měli byste to udělat hned teď. Nejen ve firemním e-mailu, ale i na Facebooku a Instagramu. 

Ale kompletní zabezpečení e-mailu na úrovni celé firmy trvá násobně déle a je o dost složitější, proto je lepší nechat ho na profesionálech. Špatné nastavení totiž nejenže může pustit do firmy stovky phishingových e-mailů, ale navíc může ohrozit i doručování těch „chtěných“.  

Potřebujete poradit se správným a dokonale zabezpečeným nastavením Office 365? 

Co si z článku odnést? 

  • E-maily už si posíláme přes 50 let a základ jejich technologie je pořád stejný. Na jejich bezpečnost se tehdy vůbec nemyslelo. 
  • Každý může odeslat e-mail, který se tváří, jako byste ho odeslali vy. Hackeři si dokonce umí přečíst nebo pozměnit obsah e-mailu, který jste skutečně odeslali vy.  
  • Správným zabezpečením dokážete obojímu zabránit. Určitě si zajistěte alespoň šifrování a elektronický podpis. 
  • Nastavte si dvoufaktorové ověření přístupu do e-mailu. Jistě tam máte spousty cenných informací a souborů, které by nikdo neměl získat. 


Barbora Nováková Barbora Nováková
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?
CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?