Martin arbetar för ett stort företag som använder G Svit där tech team kan åtkomst till de anställdas e-post. Kan han förhindra detta?
Tors 28 Jun 2018 10.26 BST
Senast ändrad Tor 28 Jun 2018 11.37 BST
Ett Gmail-konto: e-post har suddat ut gränsen mellan företags-och privat bruk.
Foto: Dean Murray / Rex Features
Jag arbetar för ett stort företag och använda Gmail ställa upp för mitt konto. Som senior manager, jag har många förtroliga samtal internt och externt via e-post.
Jag har fått reda på att en av tech killar åtkomst till arbetstagarens e-post när du uppmanas att utföra kontroller av VD. Har de rätt att göra detta? Jag tror att det skapar en känsla av misstro och osäkerhet. Kan jag låsa mitt konto så att jag bara kan komma åt det? Martin
Historiskt sett antagande har alltid varit att företag äger och kan komma åt e-post som används för företagets verksamhet. När jag var chef, jag dikterade brev till en sekreterare som skrev dem och lämnat in kopior. Jag har aldrig nått en nivå där dessa arkivskåp var inlåst och otillgänglig, men de innehöll ingenting av personligt intresse.
E-post har suddat ut gränsen mellan företags-och privat användning. Folk brukar skriva sin egen e-post, och även företag e-post tenderar att vara informell. Bekvämlighet plus en illusion av avskildhet har lett fler människor till att använda företagets e-postadresser för personlig e-post.
Icke desto mindre, e-post gör ibland leda till tvister och stämningar, och e-poster kan vara instämd av domstolar. De är en del av en verifieringskedja för många förhandlingar, och som av princip, företag borde backa upp dem och arkivera dem.
Det är därför bättre att undvika att använda företagets e-post adresser för personlig e-post – eller, ja, allt som du inte vill arkivera.
E-post är inte privat
E-post verkar vara mer privat än de brev vi dikteras till sekreterare, men förmodligen inte.
Mycket få personer faktiskt kommer att trålas genom arkivskåp och kopiering saker de har hittat. E-post är däremot mycket lätt att vidarebefordra till andra, inklusive – av misstag – fel människor. Något saftigt kan snart nå en publik i tusentals.
Ytterligare, standard e-post är inte krypterad och är vanligtvis vidare av många routrar där de kan, i teorin, läsas av vem som helst som kan komma åt dem. Den nya GDPR (Allmän uppgiftsskyddsförordning) är att uppmuntra företag att anta säker, krypterad e-tjänster, men det kommer inte att ske över en natt.
Och om kryptering gör e-mindre bekvämt, kommer människor att använda WhatsApp -, Signal-och andra meddelandetjänster som är utom räckhåll för företagets e-post administratörer och revisorer. Det finns en version av WhatsApp för Windows och MacOS, så att du kan överväga det.
Business v sekretess
Jag är inte jurist så jag vill inte komma in i rättsliga frågor, i synnerhet som dessa varierar från land till land. Men det är helt klart en konflikt mellan bolagets behov för att hantera personal och de anställdas rätt till integritet. Slutligen, vilken har företräde, får beslutas i domstol, och ett landmärke fall gick så långt som den Europeiska domstolen för de mänskliga rättigheterna.
Företag som vill att folk ska göra det arbete som de får betalt för att göra, så de bör ha tydliga regler om saker som att göra personliga samtal, läsa Facebook eller tittar på pornografiska webbplatser på jobbet. Dessa saker kan oftast kontrolleras av telefonen och på servern loggar in. Personlig e-post är svårare att övervaka, men det förefaller rimligt för ett företag att ha tillgång till liknande loggar, utan att nödvändigtvis kunna läsa innehållet i e-postmeddelanden.
Några företag har också övervaka e-post genom att söka efter nyckelord som tyder på olagligt eller oetiskt uppförande. Detta skulle kunna omfatta sexuella eller rasistiska trakasserier eller mobbning. Observera att dessa filter kommer också att fånga e-post som skickas från personliga e-postadresser. Om du måste skicka personliga e-postmeddelanden i arbetet, du bör helst använda din egen enhet och antingen en VPN eller din egen internet-anslutning.
Thomson Reuters Praktiska Lag webbplats har en bra guide till e-post och internet i arbetet av Michael Hart och Ellen Temperton från Baker McKenzie LLP. Det har prov varningar på internet och e-post missbruk och en guide till att utforma en policy.
Gmail aktivitet
E-tjänster brukar hålla loggar för e-post tillgång, som kan inkludera IP-adress och typ av enhet som används. Det finns flera sätt att kontrollera dokumentationen för ditt Gmail-konto. Det enklaste är att rulla ned till slutet av en sida med e-post, hitta “Sista konto aktivitet” och klicka på “Detaljer”. Detta kommer att dyka upp en tabell som visar vilken typ av åtkomst (webbläsare, mobil, etc), Plats (IP-adress) och Datum/Tid. Det kommer också att visa några öppningar som görs av godkända ansökningar.
Du bör också gå till https://security.google.com/settings/security/activity för att ta reda på vilka datorer, mobiltelefoner och andra enheter som har åtkomst till ditt konto. I mitt fall, till exempel, det finns tre enheter: en stationär DATOR, en laptop och en smartphone.
Alla bör kontrollera dessa uppgifter från tid till tid, för att leta efter oväntade poster.
Om ditt företag har en G Suite-konto, så den e-administratör kan se en instrumentpanel med information, så som det totala antalet e-post som skickas och tas emot, och sista gången du öppnat konto via en webbläsare eller ett e-post program. Det visar också antalet filer som skapas, redigeras och delas på Google Drive.
G Suite för Utbildning som används av många skolor – och G Suite Enterprise erbjuda mer avancerade account management-funktioner.
Delegerade tillgång
Det är också lätt att ställa upp delegerade tillgång, vilket innebär att du kan få åtkomst till ett Gmail-konto från ett annat Gmail-konto. Detta är praktiskt om du har ett för företag och ett för personligt bruk. Du kan till och med tillåta någon annan att läsa och skicka e-post för din räkning, utan att ge dem ditt lösenord.
Det är också ett sätt att någon annan kan läsa din e-post. För att se om de är, klicka på kugghjulet, välj Inställningar, gå till “Konton och Import” och kontrollera att “Bevilja åtkomst till ditt konto” – sektionen.
Google tillåter inte administratörer för att tvinga delegerade tillgång, men vissa tredje part G Suite-program. Exempel BetterCloud är FlashPanel och GAT (Allmän Revision Verktyg). GAM (Google Apps Manager) verkar göra det utan att varna användaren.
Lösenord
Din G Suite administratören kan också få tillgång till ett konto genom att återställa lösenord. Detta är nödvändigt eftersom folk ibland glömmer sina lösenord, få sparken, eller bara sluta.
Naturligtvis, du skulle märka om ditt lösenord har ändrats. Men e-administratörer kan försöka “social ingenjörskonst”. De kan till exempel återställa lösenord, lägga till delegerade tillgång, och sedan berätta för användarna att återställa sina lösenord “av säkerhetsskäl”. Hur många kommer att kontrollera sina Konton och Import settings?
Andra tillvägagångssätt
Det finns också olika sätt att läsa av människors Gmail utan att få tillgång till deras konto. Till exempel, en G Suite-administratören kan sätta upp regler för att kopiera inkommande och utgående e-postmeddelanden till ett annat konto, eller för att kopiera alla inkommande e-postmeddelanden till en annan server.
Alternativt kan de läsa allas e-post inom en backup som Google Vault, BetterCloud, Backupify eller vad som helst. När din okrypterade e-postmeddelanden lagras utanför ditt e-postkonto, det finns inga egentliga begränsningar för åtkomst.
Så, även om du kan låsa ditt konto, din e-post skulle ändå vara tillgängliga för alla företag som är tillräckligt smarta för att hålla säkerhetskopior. De skulle fortfarande vara tillgänglig även om du raderat ditt konto.
En verklig lösning skulle vara icke-tekniska. Specifikt, ditt företag ska ha ett tydligt uttalande om sin politik på e-post och internet-användning och integritet, så att medarbetarna vet exakt var de står. Ytterligare, e-administratören åtkomst bör övervakas av ett skydd eller sekretess eller säkerhet officer, inte nycker VD.
Har du en fråga? E-post till Ask.Jack@theguardian.com