Základy bezpečného používání e-mailů ve firemním prostředí Microsoft 365
Bezpečné používání e-mailů je klíčovým prvkem ochrany firemní komunikace a informací. Tento souhrn zahrnuje praktické kroky pro bezpečné používání e-mailů, šifrování zpráv, elektronický podpis a řadu specifických tipů pro Microsoft 365 a Outlook. Ne, že by některé rady nebyly obecně platné i pro zacházení s osobními účty, ale přece jen firemní prostředí vyžaduje trochu jiný přístup, který zahrnuje správu oprávnění a centralizované bezpečnostní politiky.
1. Základní pravidla bezpečné e-mailové komunikace
Používejte Microsoft Outlook
Outlook je základním nástrojem pro bezpečnou e-mailovou komunikaci v rámci Microsoft 365. Pomocí Outlooku můžete využívat bezpečnostní prvky jako šifrování e-mailů, digitální podpisy a integraci s vícefaktorovým ověřováním (MFA). Doporučujeme používat aplikaci Microsoft Outlook pro web, mobilní zařízení i desktopy, která poskytuje vysokou úroveň zabezpečení a integruje se s dalšími službami Microsoft 365. Oproti jiným e-mailovým klientům má výhodu v bezpečnosti, hlavně díky integraci s Microsoft 365 Security.
Používejte silná hesla a dvoufázové ověření (2FA)
- Používání silných hesel je základ. Doporučujeme používat správce hesel, který dokáže generovat a ukládat složitá hesla (například český KeePass).
- 2FA poskytuje druhou úroveň ochrany před neoprávněným přístupem díky doplňkovému ověření. V rámci Microsoft Entra (dříve Azure AD) jsou dostupné různé možnosti pro druhé ověření, jako jsou SMS, telefonát, bezpečnostní klíče a aplikace pro ověřování. Doporučujeme mobilní aplikaci Microsoft Authenticator, která je uživatelsky přívětivá a poskytuje vysokou úroveň zabezpečení. Navíc její zavedení je uživateli většinou vítáno, když jim vysvětlíte, že jim může pomoct chránit i jejich osobní maily nebo třeba Facebook, kde už skoro každý byl svědkem napadení účtu některého ze svých přátel. Authenticator si můžete stáhnout do svého mobilního zařízení zde:
Dávejte pozor na phishing
Phishing je podvodná technika, při které útočníci získávají citlivé údaje (např. hesla nebo finanční informace) tím, že se vydávají za důvěryhodnou entitu. Je nebezpečný, protože může vést k odcizení identity, úniku dat nebo finančním ztrátám. Aby se zabránilo phishingu ze strany správce, je možné v Microsoft 365 nastavit pravidla pro ochranu proti phishingu pomocí Microsoft Defender for Office 365, který automaticky detekuje a blokuje podezřelé e-maily. Správci mohou také povolit Safe Links a Safe Attachments pro zvýšení ochrany. Uživatelé musí dávat pozor na podezřelé e-maily, neklikat na odkazy a neotvírat přílohy od neznámých odesílatelů. Pravidelné školení zaměřené na rozpoznání phishingu je zde nezastupitelné.
V případě podezření na phishingový e-mail doporučujeme použít tlačítko "Oznámit phishing", které je dostupné v aplikaci Outlook. Pomocí tohoto tlačítka můžete e-mail snadno nahlásit a ochránit tak nejen sebe, ale i ostatní uživatele ve firmě.
Další příklady phishingových e-mailů a rady, jak je rozpoznat, poskytuje Univerzita Karlova na svých stránkách o kyberbezpečnosti. Zde jsou uvedeny konkrétní ukázky podvodných e-mailů, například falešné zprávy o nezdařené platbě za služby jako iCloud nebo podvodné výzvy k nastavení vícefaktorové autentizace s použitím QR kódu.
Pozor na přílohy
Přílohy mohou obsahovat malware. V rámci Microsoft Defender pro Office 365 by měly být povoleny funkce jako Safe Attachments, které přílohy skenují, než je uživatelé otevřou. Koncový uživatel musí přílohu před otevřením vždy zkontrolovat antivirovým programem, ideálně přímo v prostředí e-mailu, a pokud je příloha neočekávaná nebo od neznámého odesílatele, doporučuje se ji vůbec neotvírat. Role školení je i zde nezastupitelná.
Neplést si šifrování a elektronický podpis
- Šifrování: Slouží k ochraně obsahu e-mailu před neoprávněným přístupem tím, že ho převádí do nečitelné podoby. Pouze oprávněný příjemce s odpovídajícím klíčem může obsah dešifrovat a přečíst.
- Elektronický podpis: Slouží k ověření identity odesílatele a zajistí, že zpráva nebyla během přenosu změněna. Elektronický podpis poskytuje jistotu, že e-mail pochází od správného odesílatele a že jeho obsah nebyl pozměněn. Elektronický podpis zahrnuje jak text e-mailu, tak i jeho přílohy, čímž zajišťuje jejich neporušenost. Elektronický podpis ale nezajišťuje šifrování zprávy – k tomu je potřeba šifrování použít samostatně.
Doporučení: Pro maximální bezpečnost e-mailové komunikace by měly být e-maily nejen elektronicky podepsány, ale také zašifrovány. Tím zajistíte jak autenticitu odesílatele a integritu zprávy, tak i ochranu obsahu před neoprávněným přístupem.
2. Šifrování e-mailů a elektronický podpis
2.1 Šifrování
Pro zabezpečení obsahu e-mailů používej end-to-end šifrování. V prostředí Microsoft 365 můžete použít nástroje jako Azure Information Protection nebo Office Message Encryption (OME), které poskytují šifrování zpráv přímo v Outlooku.
- S/MIME (Šifrování a elektronický podpis): Outlook podporuje šifrování a elektronický podpis pomocí technologie S/MIME, která umožňuje šifrovat e-maily a přidat k nim digitální podpis, čímž zajišťuje, že obsah zprávy nikdo nevidí a že e-mail pochází opravdu od vás.
Když obdržíte zašifrovaný e-mail v Outlooku, můžete to rozpoznat podle několika indikátorů:
- Ikona zámku: V seznamu zpráv nebo přímo v otevřeném e-mailu se zobrazí ikona zámku, která signalizuje, že zpráva je šifrovaná.
- Upozornění o šifrování: Při otevření e-mailu je vidět informační pruh nebo zpráva upozorňující, že obsah je šifrovaný pro zvýšení bezpečnosti.
- Omezené možnosti: Některé funkce, jako je přeposlání nebo kopírování obsahu, mohou být u šifrovaných e-mailů omezené nebo nedostupné.
To pomáhá zajistit, že pouze oprávněný příjemce dokáže e-mail přečíst, a poskytuje jistotu o autenticitu odesílatele.
Vy můžete každý jednotlivý mail zašifrovat také velmi jednoduše v Outlooku, jak vidíte na tomto obrázku:
2.2 Automatické šifrování
Microsoft 365 umožňuje nastavit politiky, které automaticky šifrují e-maily na základě specifických pravidel (např. citlivá data, jako jsou osobní údaje nebo finanční informace). Tyto politiky lze vytvořit pomocí Mail Flow Rules v Exchange Admin Center a konfigurovat podle citlivosti e-mailů.
Konfigurace automatického šifrování:
- Definice citlivých typů informací: Můžete využít typy citlivých informací dostupné v Microsoft Purview, jako jsou osobní identifikační údaje (PII), finanční informace nebo zdravotní záznamy. Tyto typy lze automaticky detekovat a na základě toho aplikovat šifrování.
- Pravidla pro šifrování e-mailů: Pomocí Exchange Admin Center nastavte pravidla pro šifrování e-mailů na základě klíčových slov, citlivých informací nebo jiných faktorů. To umožňuje vynucovat šifrování u specifických typů komunikace, aniž by byl nutný zásah uživatele.
- Přidání brandingu do šifrovaných zpráv: Služba Office Message Encryption (OME) umožňuje přidat branding vaší organizace do šifrovaných e-mailů. Toto přizpůsobení zahrnuje logo a barevné schéma, které zvyšují důvěryhodnost zpráv a zajišťují, že příjemci rozpoznají oficiální firemní komunikaci. Nastavení brandingu lze provést prostřednictvím Microsoft Purview v části pro správu šifrovaných zpráv. Tento krok je doporučený pro zlepšení rozpoznatelnosti a profesionálního dojmu při komunikaci s partnery a zákazníky.
2.3 Elektronický podpis
- Digitální podpis: Používání digitálního podpisu u e-mailů zajišťuje, že zpráva nebyla změněna a pochází od ověřeného odesílatele. V Microsoft 365 lze jednoduše nastavit S/MIME nebo či certifikát pro podepisování zpráv.
V České republice existuje několik certifikačních autorit, které mohou vystavit potřebné certifikáty pro elektronický podpis. Mezi hlavní certifikační autority patří PostSignum (Česká pošta), eIdentity, a První certifikační autorita (I.CA). Tyto autority poskytují služby, které zajišťují, že certifikát splňuje zákonné a bezpečnostní požadavky. - Implementace v praxi: Zaměstnanci by měli dostat instrukce o tom, jak digitální podpis používat, a také by měli být vybaveni certifikáty, které zajišťují autentizaci.
3. Další bezpečnostní opatření v Microsoft 365 a Outlooku díky Microsoft 365 Business Premium
Microsoft 365 Business Premium zahrnuje řadu bezpečnostních nástrojů, které poskytují pokročilé funkce zabezpečení a správy zařízení. Tyto nástroje zajišťují komplexní ochranu firemní komunikace a dat, a to nejen v kontextu e-mailů.
- Azure AD Premium P1: Poskytuje pokročilé možnosti správy identity a přístupu, včetně dvoufázového ověřování (MFA), podmíněného přístupu a sledování neobvyklých přihlášení. Podmíněný přístup je základem pro nasazení MFA, protože umožňuje vynucení tohoto zabezpečení. Bez této licence lze MFA pouze povolit, nikoliv však vynutit. To vše přispívá k lepší ochraně identity uživatelů a zajištění, že přístup do systému mají pouze oprávněné osoby.
- Microsoft Endpoint Manager: Nástroj pro správu zařízení, který umožňuje nasazení bezpečnostních zásad a aplikací na firemní zařízení. To zahrnuje jak mobilní telefony, tak počítače. Pomáhá zajistit, aby všechna zařízení splňovala bezpečnostní standardy společnosti a byla chráněna před útoky.
- Azure Information Protection P1: Slouží k ochraně citlivých dokumentů a e-mailů. Umožňuje klasifikovat a chránit data na základě úrovně citlivosti, což zajišťuje, že citlivé informace zůstanou v bezpečí, i když jsou sdíleny mimo společnost.
- Shared Computer Activation: Umožňuje používat licence Office na sdílených počítačích, například ve víceuživatelských prostředích, jako jsou terminálové servery. Tím se zjednodušuje správa licencí a zajišťuje jejich efektivní využití.
- Exchange Online Archiving: Poskytuje pokročilé možnosti archivace e-mailů, včetně dlouhodobého uchovávání a snadného vyhledávání archivovaných zpráv. To je klíčové pro dodržení požadavků na uchovávání dat a rychlé vyhledávání starších e-mailů.
- Data Loss Prevention (DLP): DLP pomáhá chránit citlivé informace před neúmyslným sdílením. Umožňuje definovat pravidla, která blokují nebo varují uživatele při pokusu o sdílení citlivých dat, což výrazně snižuje riziko úniku informací.
- Defender for Office 365 P1: Nabízí ochranu proti hrozbám, jako jsou phishing, malware a útoky zero-day. Automaticky skenuje e-maily, odkazy a přílohy, aby zamezil šíření škodlivého obsahu a zajistil bezpečnost firemní komunikace.
- Defender for Business: Tento nástroj poskytuje pokročilou ochranu před kybernetickými hrozbami na úrovni koncových bodů. Nabízí funkce jako automatické vyšetřování a reakci na incidenty (AIR), což pomáhá rychle řešit hrozby.
4. Další doporučení pro firemní prostředí
- Monitorování a audit: Pravidelné monitorování přístupů k e-mailovým účtům a auditování odesílaných zpráv pomáhá odhalit podezřelé aktivity.
- Trénink zaměstnanců: Pravidelné školení ohledně rozpoznání phishingu, bezpečného používání hesel a šifrování e-mailů.
- Bezpečnostní politiky: Vytvořte jasné bezpečnostní politiky, které se týkají e-mailů.
4.1Příklady bezpečnostních politik
- Pravidla pro používání šifrování: Definujte, kdy je potřeba e-mail zašifrovat, například při sdílení citlivých informací. Pravidla pro používání šifrování a další bezpečnostní politiky se nastavují v prostředí Microsoft 365 Admin Center a konkrétně pro šifrování e-mailů lze použít nástroje jako Azure Information Protection nebo Office Message Encryption (OME). Tyto služby jsou konfigurovány buď přímo přes Microsoft 365 Security Center nebo pomocí Exchange Admin Center, kde lze vytvořit politiky šifrování, které automaticky uplatňují specifická pravidla na vybrané e-maily.
- Odesílání příloh: Nastavte omezení pro odesílání velkých nebo citlivých příloh. Přílohy by měly být šifrovány a kontrolovány na škodlivý software. Toto lze nastavit v prostředí Microsoft 365 Admin Center, konkrétně v části věnované ochraně před hrozbami, nebo prostřednictvím Exchange Admin Center, kde lze definovat pravidla pro kontrolu a šifrování příloh.
- Správný postup při detekci podezřelého e-mailu: Stanovte kroky, které zaměstnanci mají dodržovat, pokud obdrží podezřelý e-mail, například informovat IT oddělení nebo označit e-mail jako phishing. V Outlooku lze podezřelý e-mail označit jako phishing kliknutím na tři tečky v pravém horním rohu e-mailu a výběrem možnosti "Označit jako phishing".
- Ověřování identity odesílatele: Ujistěte se, že zaměstnanci vědí, jak ověřit identitu odesílatele a kdy použít elektronický podpis. V Outlooku mohou zaměstnanci ověřit identitu odesílatele kontrolou e-mailové adresy, domény a digitálního podpisu. Kliknutím na jméno odesílatele mohou zobrazit podrobnosti o e-mailové adrese a porovnat ji s očekávanou adresou. Dále by měli ověřit, zda e-mail obsahuje platný elektronický podpis, což naznačuje, že zpráva pochází od důvěryhodného zdroje a nebyla během přenosu změněna.
- Politika archivace e-mailů: Definujte, jak dlouho budou e-maily uchovávány a jakým způsobem se bude provádět jejich bezpečné odstraňování. Nastavení archivace lze provést v Microsoft 365 Admin Center, konkrétně v části Compliance (Dodržování předpisů), kde je možné nastavit pravidla uchovávání dat, včetně politik pro archivaci a bezpečné odstranění e-mailů po uplynutí stanovené lhůty.
Bezpečné používání e-mailů ve firemním prostředí je o kombinaci technologických opatření a důkladného vzdělání zaměstnanců. Vhodná kombinace technologií Microsoft 365, nastavení šifrování a pravidelné tréninky mohou efektivně minimalizovat rizika spojená s e-mailovou komunikací.
S nastavením našim klientům samozřejmě pomůžeme. Své požadavky zadávejte na Servicedesk.