Viðkvæm gögn í tölvupósti

Hjalti Magnússon

3. May 2024

tölvupóstur

netöryggi

persónuvernd

Blog background image

Persónuvernd

Það er staðreynd að trúnaðargögn og viðkvæmar upplýsingar eru sendar með tölvupósti á hverjum degi. Flestir upplifa þetta sem örugga leið til að senda gögn. Eins og í tilfelli Toby sendir hann trúnaðarskjal til samstarfsmanns. Hann notar tölvupóst fyrirtækisins og telur að skjalinu sé ekki deilt „utan“ fyrirtækisins. En það eru samt margar spurningar sem þarf að spyrja. Er tölvupóstþjónninn keyrður innanhúss, er honum útvistað eða er verið að nota SaaS tölvupóstlausn? Hver hefur aðgang að tölvupóstþjónum? Eru til afrit af tölvupóstþjóninum? Hver hefur aðgang að afritunum? Hvar eru þau geymd?

Sensitive data in email

Öryggi

Auk persónuverndar og geymsluaðferða, verðum við einnig að huga að þeirri staðreynd að tölvupóstur er algengt skotmark meinfýsinna aðila. Tölvupóstur er algengur fyrsti aðgangsstaður sem meinfýsnir aðilar nota til að ná fótfestu, oft með árásum eins og vefveiðum. Það er ekki aðeins mikilvægt til að öðlast aðgang að reikningum tengdum netfanginu, heldur inniheldur tölvupóstur einnig mikið af upplýsingum sem finna má í gömlum skilaboðum.

Í júlí 2019 varð dómsmálaráðuneyti Oregon fyrir vefveiðiárás sem gaf árásaraðilum aðgang að fimm tölvupóstreikningum starfsmanna, sem innihéldu persónulegar upplýsingar um meira en 6.000 manns. Gögnin innihalda nöfn, fæðingardaga, kennitölur og fjárhagsupplýsingar.

Í ágúst 2020 uppgötvaði Einstein Healthcare Network að óviðkomandi aðilar höfðu komist inn á tölvupóstreikninga starfsmanna. Farið var yfir innihald tölvupósta þessara starfsmanna og reyndust þeir innihalda ýmis gögn um sjúklinga, þar á meðal sjúkraskrár, greiningar og kennitölur. Einstaklingarnir sem urðu fyrir áhrifum höfðuðu hópmálsókn sem leiddi til sátta.

Í október 2022 urðu starfsmenn STG International fyrir vefveiðiárás sem leiddi til óviðkomandi aðgangs að tölvupóstreikningumá milli október 2020 og janúar 2021. Upplýsingarnar sem árásaraðilar komust yfir voru m.a. ökuskírteini, vegabréfsnúmer, fjárhagsupplýsingar, kennitölur, greiðslukortaupplýsingar, notendanöfn og lykilorð.

These are just a few examples of the vast number of reported instances of email compromise, but they all demonstrate that simply by gaining access to a handful of email accounts, a threat actor can potentially expose vast amounts of sensitive information.

Þetta eru aðeins örfá dæmi um innbrot í tölvupóst, en þau sýna öll að einfaldlega með því að fá aðgang að handfylli tölvupóstreikninga getur meinfýsinn aðili hugsanlega afhjúpað gríðarlegt magn viðkvæmra upplýsinga.

Sharecurely

Sharecurely bregst við þessari áhættu með því að tryggja að engar viðkvæmar upplýsingar endi í tölvupósti, aðeins einnota hlekkir sem gera notendum kleift að hlaða niður skjölum. Öðlist meinfýsinn aðili aðgang að slíkum tölvupósti, eftir að skjalið hefur verið sent, nýtist það honum ekki neitt. Ennfremur gerir Sharecurely notendum kleift að nota rafræn skilríki. Þetta tryggir að jafnvel þótt meinfýsinn aðili sé að fylgjast með tölvupóstreikningi í rauntíma, mun hann ekki geta fengið aðgang að deildum skjölum, án þess að komast yfir rafræn skilríki viðtakanda.

Kjarnavirkni Sharecurely er og verður alltaf frí fyrir einstaklinga, en þannig viljum við stuðla að betri skjaladeilingavenjum og hærra öryggisstigi. Fyrirtækjum býðst að prófa Sharecurely frítt í 30 daga án skuldbindingar.

Prófa Sharecurely