Audyt logistyczny
Strona główna*O firmie*Nasze usługi doradcze*Nasze projekty i klienci*Mapa serwisu*Kontakt

Strona główna > O firmie, publikacje naszych specjalistów > Netykieta jako jeden z czynników ograniczania wycieku informacji 


Motto:
Bo stawia na głowie kolejność czytania.
>Dlaczego?
>>Odpowiadanie nad cytatem.
>>>Co jest największą plagą Internetu?

Netykieta jako jeden z czynników ograniczania wycieku informacji

Marek Wierzbicki

Artykuł opublikowany oryginalnie w Computerworld 41/2006

Dawno temu, kiedy pracowałem jeszcze jako administrator SQL, dostałem bardzo ciekawy list. Jego temat brzmiał "Płyn do spryskiwaczy", a w pierwszym zdaniu była niezrozumiała dla mnie prośba:

Panie Marku, 
czy może pan dodać te uprawnienia do OLAP'a?

Po chwili zastanowienia doszedłem do wniosku, że nie potrafię dodać do OLAP'a uprawnień zgodnych z tytułem. Zacząłem więc dokładniej przyglądać się przesyłce. Jako że list napisany był niezgodnie z zasadami netykiety (za to w zgodzie z działaniem Outlook'a, często nagminnie stającym się korporacyjnym standardem prowadzenia korespondencji), zawierał w sobie wszystkie poprzednie przesyłki, jednak umieszczone w kolejności odwrotnej do ich naturalnego sposobu czytania. Rozpocząłem więc czytanie tego maila od tyłu i dowiedziałem się kilku ciekawych, nie zawsze przeznaczonych dla mnie, rzeczy. Na jego przykładzie postaram się zwrócic uwagę, że netykieta nie jest tylko bzdurnym pomysłem internetowych purystów, ale ma praktyczny sens biznesowy.

Wspomniany wyżej list zaczynał się (a w zasadzie kończył, gdyby przyjąć sposób czytania zgodny z tradycjami europejskimi) informacją wysłaną przez administratora floty samochodów do wszystkich kierowców. Informacja ta była zgodna z tytułem i brzmiała:

W związku z ciągłymi problemami z kupowaniem i rozliczaniem płynu do spryskiwaczy
zakupiliśmy go w ilościach hurtowych. W garażu oddziału Warszawskiego stoi 200 litrowy 
zbiornik z płynem. Proszę o zachowanie starych pojemników i napełnianie ich tym płynem 
ze zbiornika.

Niestety list był do wiadomości zarządu (w końcu zarząd też jeździ samochodami). Odezwał się więc jeden z dyrektorów:

Czy to dobry pomysł, żeby można było tankować płyn do woli bez żadnej kontroli?

No i jak się Państwo domyślacie zaczęło się:

No to może założyć jakiś zeszyt i się wpisywać?

Ktoś inny:

A kto to będzie kontrolował?

Jeszcze ktoś inny:

A co z rozdziałem kosztów tego płynu? Chyba nie całe koszty pójdą w oddział Warszawski?

No i od słowa do słowa ktoś mądry w końcu napisał:

To może zrobić to w jakims arkuszu, i podpiąć go do zestawienia MRO_ABC_MPK, 
żeby koszty tego płynu były dzielone zgodnie z rzeczywistym zużyciem?

Od tego momentu krąg odbiorców zaczął się poszerzać. Kolejny list został zaadresowany do osoby opiekującej się rozbijaniem kosztów według metody ABC:

Czy mógłby Pan wykonać odpowiednie narzędzie?

Dalej trafiło to do sekretarki zarządu:

Czy mogłaby Pani umieścić tego EXCEL'a w folderach publicznych?

Kolejny list wyszedł już poza naszą firmę i trafił do ousourcera, który opiekuje się między innymi EXCHANGE'm:

Mam problemy z umieszczeniem tego w folderach publicznych pomoże mi Pan?

Po wymianie kilku maili (oczywiście wraz z wianuszkiem dotychczasowych odbiorców, każdy ciągnął za sobą ogon starego tekstu) i dołączeniu jeszcze trzech osób do listy adresów, sekretarka rozesłała do wszystkich uczestniczących w dyskusji (również tych spoza naszej firmy, których niewiele ta kwestia interesowała) list:

Szanowni Państwo
W folderach publicznych znajduje się plik PŁYN.XLS, do którego należy wpisywać 
pobierany płyn do spryskiwaczy. Narzędzie Pana Witka będzie z niego pobierało dane 
i przypisywało koszty tego płynu do konkretnych regionów.

Wydawało mi się, że był to już definitywny koniec dyskusji, gdyby nie fakt, że znajdowałem się dopiero w połowie całego listu. Przewinąłem więc ekran dalej (oczywiście w kierunku odwrotnym do naturalnie używanego przy czytaniu) i dowiedziałem się, że wszyscy uczestnicy dyskusji otrzymali od jednej z osób list, przeznaczony do trochę innej grupy odbiorców (jak się można domyślać dotychczasowa lista poszerzyła się o kilka nazwisk, a żadne niepotrzebne nie ubyło):

Skoro rozmawiamy o regionach i podziale kosztów chciałbym zwrócic uwagę, 
że w ewidencji środków trwałych znajdują się HandHeldy zarówno już zamortyzowane, 
jak i jeszcze amortyzowane. Nie podoba mi się to, że w regionie północnym 
są tylko zamortyzowane urządzenia, a w Południowym tylko niezamortyzowane. 
W końcu są to takie same urządzenia kupione w ciągu kilku miesięcy i nie rozumiem 
dlaczego to nasz rejon ponosi największe koszty amortyzacji, mimo że komputerki te 
dawno się już wymieszały między regionami.

Tu nastąpiło kilka maili ustalających jak podzielić koszty i w ostateczności dyskutanci (z niemym udziałem kilkunastu osób, których naprawdę to nie interesowało) doszli do konsensusu. I znów miałem wrażenie, że wątek się urwał. Wrażenie zostało potwierdzone kolejnym listem do grona poszerzonego o kolejna osobę:

Skoro mówimy o przedstawicielach handlowych to chciałam zwrócić uwagę, 
że niektórzy z nich nadmiernie korzystaja z prawa udzielania klientom 
zbyt wysokich rabatów i zbyt długich terminów płatności. Panie Witku, 
czy mogłaby Pan napisać odświeżalny raport, który pozwoli nam to wychwycić?

Pan Witek po krótkim czasie odpisał:

Proszę bardzo, jest w OLAP'ie pod nazwą PH_rabaty_terminy

Tu nastąpiła wymiana maili na temat niemożliwości dostępu do danych prezentowanych w tym raporcie i po ustaleniu przyczyn pojawił się w ostatnim (a w zasadzie pierwszym) wierszu tekst, który mnie zadziwił, czyli:

Panie Marku, 
czy może pan dodać te uprawnienia do OLAP'a?

Kiedy prześledziłem cały list doszedłem do wniosku, że uwidacznia on niebezpieczną cechę popularną w wielu firmach, a mianowicie ciągnięcie ze sobą nadmiernego ogona tekstu i uczestników dyskusji. Pozornie sprawa była błaha i nie warta zwracania czyjejkolwiek uwagi. Jednak list był na tyle kuriozalny, że rozeslałem go z informacją, że tego typu praktyki poza tym, że są nieeleganckie i niezgodne z netykietą, mogą kiedyś doprowadzić do wycieku poza firmę ważnych informacji biznesowych. Uznałem, że pracownicy powinni bardziej uważać na to co przesyłają dalej, a najlepszym sposobem na to jest stosowanie w codziennej korespondencji cięcia listów i odpowiadanie pod cytatami (zgodne z netykietą). Oczywiście jak się Państwo domyślają zwrotną pocztą dostałem większość odpowiedzi negatywnych z komentarzami, że taki sposób pisania jest wygodny i umożliwia każdej osobie zapoznanie się z podłożem całego problemu. Jedyna osoba, która zareagowała inaczej przeczytała ze zrozumieniem prawie cały list i odpowiedziała:

Ale te uprawnienia to dodajesz Ty, więc czemu wysyłasz tego maila do mnie?

Pominąłem wszystkie uwagi milczeniem (choćby dlatego, że nie miałem odpowiedzniej siły przebicia, aby wymusić poprawne zachowanie użytkowników) i żyłem nadzieją, że problem ten nie zemści się kiedyś na nas.

Niestety nie musiałem długo czekać. W czasie zdejmowania palety z towarem spadła ona z wózka widłowego i większość towaru uległa uszkodzeniu. Sprytny operator wózka napisał maila do dobrego kolegi z działu kontaktów z dostawcami:

Spadła nam z widłaka jedna paleta z dostawy od XXX. Napisz do nich informację, 
że po rozpakowaniu okazało się, że towar był zniszczony, mimo tego, że opakowanie 
było nienaruszone i ze zwracamy im ten towar jako defekty powstałe przed dostawą.

Odbiorca listu zgodnie ze zwyczajami panującymi w firmie ... przesłał ten list dalej z dopiskiem na górze:

Zwracamy Wam jedną paletę, która zawiera zdefektowany towar

Chyba nie muszę opisywać jaka burza się rozpętała. Dostawca zażądał zrewidowania wszystkich zdefektowanych dostaw i wyciągnął na światło dzienne te, które nie zawierały zdjęć uszkodzonych opakowań. Przez kolejny rok każda wątpliwość była traktowana jak próba wielkiego oszustwa w stosunku do niego.

Poza klasycznym utraconym dobrym imieniem i czasem zmarnowanym na lepsze dokumentowanie niektórych przypadków takie zachowanie może być przyczyna groźniejszych wpadek. Najbardziej klasyczne, to przypadki, gdy mail zawiera informacje budżetowe bądź ważny projekt firmowy i z głupoty jest on przesyłany dalej (na przykład do dostawcy niektórych usług) z zaznaczeniem, że danego dostawcę dotyczy tylko pewien fragment. Uważam, że przypadki takie wynikają właśnie ze zwyczaju pozostawiania całych oryginalnych listów elektronicznych bez cięcia cytatów. Gdyby autor takiego listu na co dzień stosował klasyczną netykietę mailową polegającą na odpowiadaniu wyłącznie pod cytatami i to tylko mającymi sens w kontekście danej wypowiedzi, takich przypadków byłoby znacznie mniej.

Innym problemem jest niepotrzebne mnożenie odbiorców. Często mail wysyłany jest do wiadomości wielu osób (w tym kierownictwa), tylko po to by pokazać, że dana osoba wykonuje jakiekolwiek czynności na swoim stanowisku pracy (bądź stanowi zabezpieczenie kolokwialnie nazywane dupochronem). W miarę zmiany zakresu listu następni pracownicy dodają nowych odbiorców, nie usuwając starych, często niepotrzebnych już adresów. Wynika to zapewne z braku kompetencji, lub przekonania, że wszyscy uczestniczący w dyskusji chcą wiedzieć jak się zakończyła. Niejako przy okazji problem mnożenia listów okazuje się czasami równie ważny jak sama wyciekająca treść. Lista kilkudziesięciu najważniejszych osób z potwierdzonymi i wiarygodnymi mailami może być dla spamerów czy osób uprawiających socjotechnikę bardzo ważnymi danymi. Z maila można często wywnioskować kto ma jakie stanowisko. Spróbujcie (z konta spoza firmy) napisać do własnego zarządu list o treści:

Pani Przezes
Jestem nowym pracownikiem helpdesku, pracującym na nocną zmianę. Czy mogłaby Pani 
podać mi swój login i hasło, żebym mógł przeindeksować pliki Pani poczty, 
aby podnieść jej szybkość pracy?

Jak myślicie ile osób się nabierze?

Oczywiście netykieta nie jest remedium na wszystkie problemy związane z wyciekiem informacji niejawnych poza firmę za pomocą poczty elektronicznej. Jednak można mieć nadzieję, że zapewni przynajmniej częściowe podniesienie bezpieczeństwa. Niestety, co było już wielokrotnie podnoszone w wielu dyskusjach, źródłem problemów często bywa zarząd, który chciałby stanowić wyjątek i wyrwę w procedurach bezpieczeństwa. Tu też zapewne chciałby, żeby jego nie dotyczyły ograniczenia i konieczność stosowania nie zawsze wygodnych reguł. A jak wiadomo ryba psuje się od głowy, czyli trudno wytłumaczyć zwykłemu użytkownikowi, że nie powinien zachowywać się w ten sposób, skoro zarząd tak własnie postępuje.

Ale to już zupełnie inna bajka.