Martin arbeider for et stort selskap som bruker G Suite hvor tech team kan får tilgang til ansattes e-post. Kan han forhindre dette?
Tor 28 Jun 2018 10.26 BST
Sist endret på Tor 28 Jun 2018 11.37 BST
En Gmail-konto: e-post har uklare linjer mellom bedrifts-og privat bruk.
Foto: Dean Murray / Rex Features
Jeg jobber i et stort selskap og bruke Gmail satt opp for min konto. Som senior manager, jeg har mange fortrolige samtaler internt og eksternt via e-post.
Jeg har funnet ut at en av tech gutta får tilgang til ansattes e-post når du blir bedt om å gjennomføre en undersøkelse av KONSERNSJEFEN. Har de rett til å gjøre dette? Jeg tror det skaper en følelse av mistillit og utrygghet. Kan jeg låse kontoen min, slik at jeg bare kan få tilgang til den? Martin
Historisk, forutsetningen har vært at selskaper eier og kan få tilgang til e-post brukes for selskapets virksomhet. Da jeg var manager, jeg dikterte brev til en sekretær som har skrevet dem og arkivert kopier. Jeg har aldri nådd et nivå der disse arkivskap var låst og utilgjengelig, men de inneholdt ingenting av personlig interesse.
E-post har uklare linjer mellom bedrifter og private bruker. Folk vanligvis skriver inn sin egen e-post, og selv business e-poster har en tendens til å være uformell. Bekvemmelighet, pluss en illusjon av personvern har ført flere folk til å bruke selskapets e-post-adresser for personlig e-post.
Ikke desto mindre, e-poster gjøre noen ganger føre til kontrakt tvister og rettssaker, og e-poster kan bli innkalt ved domstolene. De er en del av audit trail for mange forhandlinger, og som et spørsmål om prinsipp, selskaper, bør du sikkerhetskopiere dem og lagre dem.
Det er derfor bedre å unngå å bruke e-post-adresser for personlige e-post – eller, faktisk, noe du ikke vil arkivere.
E-post er ikke privat
E-post ser ut til å være mer private enn de brevene vi har diktert til sekretærer, men sannsynligvis ikke.
Svært få mennesker faktisk søkte gjennom arkivskap og kopieres ting de fant. E-post er, derimot, er det svært enkelt å videresende til andre, herunder ved en feil – feil personer. Noe saftig kan snart nå et publikum av tusenvis.
Videre, standard e-postmeldinger er ikke krypterte, og de er vanligvis bestått av mange rutere der de kan, i teorien, bli lest av hvem som helst som kan få tilgang til dem. Den nye GDPR (General Data Protection Regulation) er å oppmuntre selskaper til å vedta sikker, kryptert e-post tjenester, men det vil ikke skje over natten.
Og hvis kryptering gjør e-mindre praktisk, folk vil bruke WhatsApp, Signal-og andre meldingstjenester som er utenfor rekkevidde av selskapets e-post administratorer og revisorer. Det er en versjon av WhatsApp for Windows og MacOS, slik at du kan vurdere det.
Business v personvern
Jeg er ikke en advokat, så jeg ønsker ikke å komme inn i juridiske spørsmål, særlig ettersom disse kan variere fra land til land. Men, det er åpenbart en konflikt mellom selskapets behov for å administrere ansatte og de ansattes rett til personvern. Til slutt, som en forrang kan avgjøres i retten, og ett landemerke saken gikk så langt som den Europeiske menneskerettighetsdomstolen.
Selskapene vil ha folk til å gjøre jobben de er betalt for å gjøre, så de burde ha eksplisitte regler om ting som å lage personlige samtaler, lesing Facebook eller ser på pornografiske nettsteder på jobb. Disse tingene kan vanligvis bli overvåket via telefon og server logger. Personlig e-post er vanskeligere å overvåke, men det synes rimelig for at bedrifter skal ha tilgang til lik logger, uten nødvendigvis å være i stand til å lese innholdet i e-postene.
Noen selskaper også overvåke e-post ved å søke etter nøkkelord som tyder på ulovlig eller uetisk oppførsel. Dette kan inkludere seksuell eller rasistisk trakassering eller mobbing. Merk at disse filtrene vil også fange e-poster sendt fra personlige e-postadresser. Hvis du må sende personlige e-post på jobben, bør du ideelt bruke din egen enhet og enten en VPN-eller din egen internett-tilkobling.
Thomson Reuters’ Praktiske Lov nettstedet har en god guide til e-post og internett-bruk på jobben av Michael Hart og Ellen Temperton fra Baker McKenzie LLP. Det inkluderer for eksempel advarsler på internett og e-post misbruk, og en guide til å formulere en firma-policy.
Gmail aktivitet
E-post tjenester som vanligvis holder logger av e-post-tilgang, som kan inkludere IP-adresse og type enhet som brukes. Det er flere måter å sjekke postene for din Gmail-konto. Det enkleste er å bla til bunnen av en side av e-post, finne “Siste konto aktivitet” og klikk på “Detaljer”. Dette vil dukke opp en tabell som viser hvilken type tilgang (nettleseren, mobile, etc.), Posisjon (IP-adresse) og Dato/Klokkeslett. Det vil også vise noen får tilgang laget av autoriserte programmer.
Du bør også gå til https://security.google.com/settings/security/activity for å finne ut hvilke datamaskiner, mobiltelefoner og andre enheter som har tilgang til din konto. I mitt tilfelle, for eksempel, er det tre enheter: en stasjonær PC, en bærbar pc og en smarttelefon.
Alle bør sjekke disse opplysningene fra tid til annen for å se etter en uventet oppføringer.
Hvis firmaet ditt har en G Suite-konto, e-administrator kan du se en oversikt med detaljer som det totale antallet e-poster sendt og mottatt, og siste gang du har fått tilgang til kontoen via en nettleser eller e-post program. Det viser også antall filer som opprettes, redigeres og deles i Google Drive.
G Suite for Utdanning brukes i mange skoler – og G Suite Enterprise gi mer avansert account management funksjoner.
Delegert tilgang
Det er også enkelt å sette opp delegert tilgang, noe som betyr at du kan få tilgang til en Gmail-konto fra en annen Gmail-konto. Dette er nyttig hvis du har en for jobb og en for personlig bruk. Du kan til og med tillate noen andre til å lese og sende e-post på dine vegne, uten å gi dem passordet.
Det er også en måte som andre kan lese din e-post. For å se hvis de er, kan du klikke cogwheel, velge Innstillinger, og gå til “Kontoer og Import” og velg “Gi tilgang til din konto”.
Google tillater ikke administratorer å tvinge delegert tilgang, men noen tredjepart G Suite-programmer. Eksempler inkluderer BetterCloud er FlashPanel og GAT (Generell Revisjon Verktøy). GAM (Google Apps-Manager) ser ut til å gjøre det uten advarsel brukeren.
Passordet tilbakestilles
G Suite administrator kan også få tilgang til kontoen din ved å tilbakestille passordet. Dette er viktig fordi folk noen ganger glemmer sitt passord, får sparken, eller bare slutte.
Selvfølgelig, du vil legge merke til hvis passordet er endret. Imidlertid, e-administratorer kan prøve “social engineering”. De kan For eksempel tilbakestille passord, legge til delegert tilgang, så kan du be brukerne om å tilbakestille sine egne passord “sikkerhetsmessige grunner”. Hvor mange kommer til å sjekke sine Kontoer og Import-innstillingene?
Andre tilnærminger
Det finnes også måter å lese folks Gmail uten å få tilgang til deres konto. For eksempel, en G Suite administrator kan sette opp regler for å kopiere innkommende og utgående e-post til en annen konto, eller å kopiere alle innkommende e-postmeldinger til en annen server.
Alternativt kan de lese alle e-postene i en backup for eksempel Google Hvelv, BetterCloud, Backupify eller hva som helst. Når ukryptert e-post er lagret utenfor din postkasse, det er ingen reell tilgang restriksjoner.
Så, selv om du kan låse kontoen din, din e-post vil fortsatt være tilgjengelig til enhver selskapet smart nok til å holde sikkerhetskopier. De ville fortsatt være tilgjengelig, selv om du har slettet din konto.
En reell løsning ville ha for å være ikke-tekniske. Nærmere bestemt selskapet bør ha en klar uttalelse om sin politikk på e-post og internett-bruk og privatliv, slik at ansatte vet nøyaktig hvor de står. Videre, e-post administrator tilgang bør være overvåket av en databeskyttelse og personvern eller sikkerhet offiser, ikke innfall av administrerende DIREKTØR.
Har du et spørsmål? E-post til Ask.Jack@theguardian.com