Po nitce do kłębka

Netykieta nie jest remedium na wszystkie problemy związane z wyciekiem informacji niejawnych poza firmę za pomocą poczty elektronicznej. Jednak z całą pewnością zapewni przynajmniej częściowe podniesienie bezpieczeństwa.

Netykieta nie jest remedium na wszystkie problemy związane z wyciekiem informacji niejawnych poza firmę za pomocą poczty elektronicznej. Jednak z całą pewnością zapewni przynajmniej częściowe podniesienie bezpieczeństwa.

Dawno temu, kiedy pracowałem jeszcze jako administrator baz danych, dostałem bardzo ciekawy list. Jego temat brzmiał "Płyn do spryskiwaczy", a w pierwszym zdaniu była niezrozumiała dla mnie prośba:

Panie Marku, czy może pan dodać te uprawnienia do OLAP-a?

Po chwili zastanowienia doszedłem do wniosku, że nie potrafię dodać do OLAP-a uprawnień zgodnych z tytułem. Zacząłem więc dokładniej przyglądać się przesyłce. Jako że list napisany był niezgodnie z zasadami netykiety (za to w zgodzie z działaniem Outlooka, często nagminnie stającym się korporacyjnym standardem prowadzenia korespondencji), zawierał wszystkie poprzednie przesyłki, jednak umieszczone w kolejności odwrotnej do ich naturalnego sposobu czytania. Rozpocząłem więc czytanie tego e-maila od tyłu i dowiedziałem się kilku ciekawych, nie zawsze przeznaczonych dla mnie rzeczy. Na jego przykładzie postaram się zwrócić uwagę, że netykieta nie jest tylko bzdurnym pomysłem internetowych purystów, ale ma praktyczny sens biznesowy.

Wspomniany wyżej list zaczynał się (a w zasadzie kończył, gdyby przyjąć sposób czytania zgodny z tradycjami europejskimi) informacją wysłaną przez administratora floty samochodów do wszystkich kierowców. Informacja ta była zgodna z tytułem i brzmiała:

W związku z ciągłymi problemami z kupowaniem i rozliczaniem płynu do spryskiwaczy zakupiliśmy go w ilościach hurtowych. W garażu oddziału warszawskiego stoi 200-litrowy zbiornik z płynem. Proszę o niewyrzucanie starych pojemników i tankowanie do nich tego płynu z wyżej wzmiankowanego zbiornika.

Niestety, list był do wiadomości zarządu (w końcu zarząd też jeździ samochodami). Odezwał się więc jeden z dyrektorów:

Czy to dobry pomysł, żeby można było tankować płyn do woli bez żadnej kontroli?

No i jak się Państwo domyślacie zaczęło się:

No to może założyć jakiś zeszyt i się wpisywać?

Ktoś inny:

A kto to będzie kontrolował?

Jeszcze ktoś inny:

A co z rozdziałem kosztów tego płynu? Chyba nie całe koszty pójdą w oddział warszawski?

No i od słowa do słowa ktoś mądry w końcu napisał:

To może zrobić to w jakimś arkuszu i podpiąć go do zestawienia MRO_ABC_MPK, żeby koszty tego płynu były dzielone zgodnie z rzeczywistym zużyciem?

Od tego momentu krąg odbiorców zaczął się poszerzać. Kolejny list został zaadresowany do osoby opiekującej się rozbijaniem kosztów według metody ABC:

Czy mógłby Pan wykonać odpowiednie narzędzie?

Dalej trafiło to do sekretarki zarządu:

Czy mogłaby Pani umieścić tego Excela w folderach publicznych?

Kolejny list wyszedł już poza naszą firmę i trafił do ousourcera, który opiekuje się między innymi Exchandem:

Mam problemy z umieszczeniem tego w folderach publicznych, pomoże mi Pan?

Po wymianie kilku e-maili (oczywiście wraz z wianuszkiem dotychczasowych odbiorców, każdy ciągnął za sobą ogon starego tekstu) i dołączeniu jeszcze trzech osób do listy adresów, sekretarka rozesłała do wszystkich uczestniczących w dyskusji (również tych spoza naszej firmy, których niewiele ta kwestia interesowała) list:

Szanowni Państwo!

W folderach publicznych znajduje się plik PŁYN.XLS, do którego należy wpisywać pobierany płyn do spryskiwaczy. Narzędzie Pana Witka będzie z niego pobierało dane i przypisywało koszty tego płynu do konkretnych regionów.

Wydawało mi się, że był to już definitywny koniec dyskusji, gdyby nie fakt, że znajdowałem się dopiero w połowie całego listu. Przewinąłem więc ekran dalej (oczywiście w kierunku odwrotnym do naturalnie używanego przy czytaniu) i dowiedziałem się, że wszyscy uczestnicy dyskusji otrzymali od jednej z osób list, przeznaczony do trochę innej grupy odbiorców (jak się można domyślać dotychczasowa lista poszerzyła się o kilka nazwisk, a żadne niepotrzebne nie ubyło):

Skoro rozmawiamy o regionach i podziale kosztów chciałbym zwrócić uwagę, że w ewidencji środków trwałych znajdują się HandHeldy zarówno już zamortyzowane, jak i jeszcze amortyzowane. Nie podoba mi się to, że w regionie północnym są tylko zamortyzowane urządzenia, a w południowym tylko niezamortyzowane. W końcu są to takie same urządzenia kupione w ciągu kilku miesięcy i nie rozumiem dlaczego to nasz rejon ponosi największe koszty amortyzacji, mimo że komputerki te dawno się już wymieszały między regionami.

Tu nastąpiło kilka e-maili ustalających jak podzielić koszty i w ostateczności dyskutanci (z niemym udziałem kilkunastu osób, których naprawdę to nie interesowało) doszli do konsensusu. I znów miałem wrażenie, że wątek się urwał. Wrażenie zostało potwierdzone kolejnym listem do grona poszerzonego o kolejną osobę:

Skoro mówimy o przedstawicielach handlowych, to chciałam zwrócić uwagę, że niektórzy z nich nadmiernie korzystają z prawa udzielania klientom zbyt wysokich rabatów i zbyt długich terminów płatności. Panie Witku, czy mógłby Pan napisać odświeżalny raport, który pozwoli nam to wychwycić?

Pan Witek po krótkim czasie odpisał:

Proszę bardzo, jest w OLAP-ie pod nazwą PH_rabaty_terminy.

Tu nastąpiła wymiana e-maili na temat niemożliwości dostępu do danych prezentowanych w tym raporcie i po ustaleniu przyczyn pojawił się w ostatnim (a w zasadzie pierwszym) wierszu tekst, który mnie zadziwił, czyli:

Panie Marku

Czy może pan dodać te uprawnienia do OLAP-a?

Kiedy prześledziłem cały list doszedłem do wniosku, że uwidacznia on niebezpieczną cechę popularną w wielu firmach, a mianowicie ciągnięcie ze sobą nadmiernego ogona tekstu i uczestników dyskusji. Pozornie sprawa była błaha i nie warta zwracania czyjejkolwiek uwagi. Jednak list był na tyle kuriozalny, że rozesłałem go z informacją, że tego typu praktyki poza tym, że są nieeleganckie i niezgodne z netykietą, mogą kiedyś doprowadzić do wycieku poza firmę ważnych informacji biznesowych. Uznałem, że pracownicy powinni bardziej uważać na to co przesyłają dalej, a najlepszym sposobem na to jest stosowanie w codziennej korespondencji cięcia listów i odpowiadanie pod cytatami (zgodne z netykietą). Oczywiście jak się Państwo domyślają zwrotną pocztą dostałem większość odpowiedzi negatywnych z komentarzami, że taki sposób pisania jest wygodny i umożliwia każdej osobie zapoznanie się z podłożem całego problemu. Jedyna osoba, która zareagowała inaczej, przeczytała ze zrozumieniem prawie cały list i odpowiedziała:

Ale te uprawnienia to dodajesz Ty, więc czemu wysyłasz tego e-maila do mnie?

Pominąłem wszystkie uwagi milczeniem (choćby dlatego, że nie miałem odpowiedniej siły przebicia, aby wymusić takie zachowanie) i żyłem nadzieją, że problem ten nie zemści się kiedyś na nas.

Niestety, nie musiałem długo czekać. W czasie zdejmowania palety z towarem spadła ona z wózka widłowego i większość towaru uległa uszkodzeniu. Sprytny operator wózka napisał e-maila do dobrego kolegi z działu kontaktów z dostawcami:

Spadła nam z widłaka jedna paleta z dostawy od XXX. Napisz do nich informację, że po rozpakowaniu okazało się, że towar był zniszczony, mimo tego że opakowanie było niezniszczone, i że zwracamy im ten towar jako defekty powstałe przed dostawą.

Odbiorca listu zgodnie ze zwyczajami panującymi w firmie... przesłał ten list dalej z dopiskiem na górze:

Zwracamy Wam jedną paletę towaru, która zawiera zdefektowany towar.

Chyba nie muszę opisywać jaka burza się rozpętała. Dostawca zażądał zrewidowania wszystkich zdefektowanych dostaw i wyciągnął na światło dzienne te, które nie zawierały zdjęć uszkodzonych opakowań. Przez kolejny rok każda wątpliwość była traktowana jako próba wielkiego oszustwa w stosunku do niego.

Poza klasycznym utraconym dobrym imieniem i czasem zmarnowanym na lepsze dokumentowanie niektórych przypadków, takie zachowanie może być przyczyną groźniejszych wpadek. Najbardziej klasyczne to przypadki, gdy e-mail zawiera informacje budżetowe bądź ważny projekt firmowy i z głupoty jest on przesyłany dalej (np. do dostawcy niektórych usług) z zaznaczeniem, że danego dostawcy dotyczy tylko pewien fragment. Uważam, że przypadki takie wynikają właśnie ze zwyczaju pozostawiania całych oryginalnych listów elektronicznych bez cięcia cytatów. Gdyby autor takiego listu na co dzień stosował klasyczną netykietę e-mailową polegającą na odpowiadaniu wyłącznie pod cytatami i to tylko mającymi sens w kontekście danej wypowiedzi, takich przypadków byłoby znacznie mniej.

Innym problemem jest niepotrzebne mnożenie odbiorców. Często e-mail wysyłany jest do wiadomości wielu osób (w tym kierownictwa), tylko po to by pokazać, że dana osoba wykonuje jakiekolwiek czynności na swoim stanowisku pracy (bądź stanowi zabezpieczenie kolokwialnie nazywane "dupochronem"). W miarę zmiany zakresu listu następni pracownicy dodają nowych odbiorców, nie usuwając starych, często niepotrzebnych już adresów. Wynika to zapewne z braku kompetencji lub przekonania, że wszyscy uczestniczący w dyskusji chcą wiedzieć jak się zakończyła. Niejako przy okazji problem mnożenia listów okazuje się czasami równie ważny jak sama wyciekająca treść. Lista kilkudziesięciu najważniejszych osób z potwierdzonymi i wiarygodnymi e-mailami może być dla spamerów czy osób uprawiających socjotechnikę bardzo ważnymi danymi.

Z e-maila można często wywnioskować, kto ma jakie stanowisko. Spróbujcie (z konta spoza firmy) napisać do własnego zarządu list o treści:

Pani Prezes!

Jestem nowym pracownikiem helpdesku, pracującym na nocną zmianę. Czy mogłaby Pani podać mi swój login i hasło, żebym mógł przeindeksować pliki Pani poczty, aby podnieść jej szybkość pracy?

Jak myślicie, ile osób się nabierze?

Oczywiście netykieta nie jest remedium na wszystkie problemy związane z wyciekiem informacji niejawnych poza firmę za pomocą poczty elektronicznej. Jednak można mieć nadzieję, że zapewni przynajmniej częściowe podniesienie bezpieczeństwa. Niestety, co było już wielokrotnie podnoszone w wielu dyskusjach, źródłem problemów często bywa zarząd, który chciałby stanowić wyjątek i wyrwę w procedurach bezpieczeństwa. Tu też zapewne chciałby, żeby jego nie dotyczyły ograniczenia i konieczność stosowania nie zawsze wygodnych reguł. A jak wiadomo ryba psuje się od głowy, czyli trudno wytłumaczyć zwykłemu użytkownikowi, że nie powinien zachowywać się w ten sposób, skoro zarząd tak właśnie postępuje.

Ale to już zupełnie inna bajka.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200