Как избежать судебных исков, связанных с электронной почтой. Ложные предупреждения. Уязвимость Internet Explorer. Сообщения BugNet.

Как избежать судебных исков, связанных с электронной почтой

Комментарий редактора. Привлечение Министерством юстиции США сообщений электронной почты в качестве доказательства в судебном разбирательстве по обвинению Microsoft в нарушении антимонопольного законодательства привлекло внимание к юридическим вопросам, связанным с электронной почтой. Распространение этого популярного средства передачи информации происходит столь быстрыми темпами, что существующее законодательство не отражает все юридические вопросы, возникающие при его использовании. Но это не означает, что не нужно предпринимать мер предосторожности, которые позволят уберечь вашу компанию от разорительных судебных разбирательств.

Тереза Лоскалцо — один из членов группы, занимающейся вопросами использования Internet и компьютерных сетей в адвокатской фирме Schnader Harrison Segal & Lewis LLP, — выработала пять принципов, опираясь на которые компании могут создать разумную политику в отношении электронной почты и снизить риск судебного преследования. Особое внимание она уделяет производственным конфликтам. Более подробное рассмотрение проблемы — в статье М. Оверли "Электронная почта в законе" в LAN № 7-8 за 1998 год.

1. Фиксирование политики в отношении электронной почты в виде письменного документа. Самый надежный способ избежать судебных процессов, связанных с электронной почтой, — определить корпоративную политику в этой области. Такие документы должны существовать вне зависимости от намерения компании контролировать содержание сообщений электронной почты. Как свидетельствует практика, наличие четко определенных правил и принципов позволит избежать возникновения путаницы в вопросах использования электронной почты и не допустить судебного преследования со стороны сотрудников и других лиц.

2. Введение письменно оформленной политики в обязательном порядке. После того как документы подготовлены, соблюдения закрепленных в них правил следует требовать неукоснительно. Все чаще и чаще причиной судебного разбирательства становится как игнорирование руководством компании необходимости в разработке приемлемой политики в отношении электронной почты, так и недостаточное информирование сотрудников о приемлемом и допустимом использовании почтовой системы. Сотрудники должны знать о корпоративной политике и отдавать себе отчет в том, какими последствиями грозит нарушение принятых в компании правил работы с электронной почтой. Сотрудникам следует периодически напоминать о принятой в компании политике во избежание неверного ее толкования, даже если она закреплена документально. Все изменения в принятых правилах следует немедленно доводить до сведения сотрудников компании.

3. Выделение ответственных лиц с правами контроля за хранящейся в системе информацией. Персональные идентификаторы PIN и настольные системы создают у сотрудников компании ошибочное впечатление, что они являются владельцами всех сообщений и документов, имеющихся в системе. Необходимо четко объяснить, что частные сообщения, как сохраняемые, так и передаваемые сотрудниками, могут быть просмотрены и другими людьми помимо тех, кому они непосредственно предназначались. Особенно важно четко прояснить вопросы доступа, секретности и конфиденциальности сообщений электронной почты.

4. Определение места хранения "забытых" сообщений. Большинство сотрудников не вполне представляют себе, как информация хранится в компьютере и кто имеет доступ к информации в системе. Необходимо четко сказать, что удаленное сообщение в действительности редко уничтожается. Объясните, что в компании принята определенная политика создания архивов и резервных копий, и в течение заданного промежутка времени сообщения остаются на настольной системе. Права на информацию как сотрудника, так и компании должны быть четко сформулированы.

5. Обучение правилам поведения при работе с электронной почтой. Сотрудники компании должны соблюдать "правила хорошего тона" при работе с электронной почтой. Сотрудников необходимо убедить в том, что электронная почта требует столь же серьезного отношения, как и другие формы общения, и в том, что содержание почтовых сообщений может стать причиной для дискриминации, домогательств и других видов неправомерных деяний на работе. Полноценная политика в отношении электронной почты должна объяснять, за какие именно нарушения сотрудники несут ответственность.

ЛОЖНЫЕ ПРЕДУПРЕЖДЕНИЯ И ПОДМЕТНЫЕ ПИСЬМА

Раз уж мы затронули вопрос политики в отношении электронной почты, давайте обратим внимание на два наиболее вредоносных типа почтовых сообщений: ложные предупреждения о вирусе и так называемые "подметные письма". Просто поразительно, сколько здравомыслящих пользователей электронной почты оказываются вовлечены в рассылку подметных писем и ложных предупреждений об обнаружении вируса, таких, как "Join the Crew" и "Good Times".

Хотя все обманутые пользователи обычно руководствуются благими намерениями, рассылаемые ими сообщения могут представлять собой серьезную угрозу для почтового сервера компании и, возможно, даже вызвать сбой на сервере, когда пользователи пытаются разослать пугающие сообщения всем своим друзьям и коллегам. Чтобы воспрепятствовать бесконечной циркуляции подобных сообщений, вашему отделу информационных систем стоит ввести жесткую корпоративную политику в отношении всех сообщений о вирусах и подметных писем.

Коммуникации — это основа деятельности компании. Конечные пользователи должны пересылать предупреждения о вирусах и подметные письма только конкретному администратору электронной почты. Кроме того, пользователи должны быть предупреждены о возможности сбоя системы вследствие рассылки ими многочисленных сообщений.

Информируя пользователей и оперативно реагируя на сообщения о вирусах и подметные письма посредством широковещательной рассылки почтового сообщения или публикации информации на корпоративной доске объявлений, ваш отдел информационных систем приучает пользователей к мысли, что это единственный надежный источник почтовой информации. Кроме того, открытая публикация подметных писем уменьшает вероятность того, что суеверный пользователь передаст это сообщение так, на всякий случай, в надежде, что оно вдруг принесет счастье.

Наконец, пользователям следует напомнить, что простое чтение сообщений электронной почты не может причинить системе вреда, — чтобы вирус смог инфицировать систему, нужно запустить его код. Однако открывать вложенный файл в сообщении от неизвестного источника — очень рискованно.

УЯЗВИМОСТЬ INTERNET EXPLORER

Комментарий редактора. В этом разделе Роберт Ричардсон, редактор бюллетеня Small Office Tech, рассказывает об уязвимости Internet Explorer. Вы можете подписаться на бесплатный бюллетень, издаваемый Ричардсоном, по адресу: http://www.smallofficetech.com .

Недавно Microsoft исправила ошибку в Internet Explorer 4.x, благодаря наличию которой недобросовестные администраторы Web могли создавать страницы, способные копировать файлы из систем конечных пользователей, при условии, что имена файлов были им заранее известны. Если вы еще не установили эту заплатку, то ее можно загрузить с узла http://www.microsoft.com/windows/ie/security/?/windows/ie/security/paste.htm .

Хуан Карлос Куартанго — программист, обнаруживший эту ошибку, упоминает еще об одной потенциальной слабости узлов, где используются горячие ссылки Mailto. При работе с определенным узлом Web некоторые почтовые программы (в частности, Outlook 98) могут присоединять к сообщению копию файла с вашего локального жесткого диска. Здесь есть одна хитрость. Присоединенные файлы размещаются в самом низу сообщения в той его части, которая выходит за пределы экрана, из-за чего вы можете просто не заметить, что к сообщению что-то было присоединено. Представители Microsoft справедливо заявляют, что на самом деле это не ошибка, а просто злонамеренная хитрость, но, вероятно, ее стоит иметь в виду.

Защититься от этого "трюка" можно довольно просто. Перед тем как отправлять сообщение, убедитесь, что оно не содержит линейку прокрутки. Если линейка прокрутки присутствует, прокрутите ее до конца на случай, если там запрятан один из ваших файлов.

СООБЩЕНИЯ BUGNET

Комментарий редактора. Мы регулярно публикуем сообщения BugNet в разделе "Тысяча мелочей". Более подробную информацию об ошибках и методах их исправления можно найти по адресу: http://www.bugnet.com .

Novell GroupWise 5

Если в GroupWise 5.1 и 5.2 вы просматриваете вложенные файлы из сообщения, находящегося в разделяемой папке, и нажимаете комбинацию клавиш для создания нового почтового сообщения, то окно сообщения может содержать в поле адреса From вместо вашего собственного имени имя владельца разделяемой папки, в которой вы сейчас работаете.

Таким образом, любой пользователь может послать сообщение от чужого имени, в силу чего вполне вероятна любая путаница, если не прямой вред.

Наши тесты показали, что подобная ошибка проявляется и в GroupWise 5.5. Однако при выполнении описанных выше шагов в GroupWise 5.5 вы получите сообщение General Protection Fault.

То же происходит при нажатии комбинации клавиш или . Если вложенный файл открыт или находится не в разделяемой папке, то ошибки не возникает.

Чтобы обойти эту проблему, в версии 5.2 Novell предлагает сбросить ключ Registry. Ввиду опасности самостоятельного редактирования Registry, BugNet советует вам обратиться за помощью к специалистам Novell и прочитать документ Novell Technical Information Document TID2933812.

Novell Z.E.N.works

При работе с клиентом Novell Zero Effort Networks (Z.E.N.works) вы можете столкнуться с проблемами во время запуска диалогового окна NetWare Login из NetWare Administrator 95 и NT при попытке просмотра дерева, ваши права доступа к которому не подтверждены. В качестве решения Novell предлагает перейти на Windows Explorer и просматривать Network Neighborhood. Здесь вы можете получить права доступа к новому дереву, не закрывая NWAdmnNT или NWAdmn95. Другой способ — использовать NWAdmn32 вместо NetWare Administrator 95 и NT.

УВАЖАЕМЫЕ ЧИТАТЕЛИ!

Вы можете поделиться своим опытом решения проблем, возникающих при работе в сети (возможно, очень полезным многим читателям в их повседневной работе). Наиболее интересные материалы будут опубликованы в ближайших номерах журнала LAN.