Obowiązek nakłada ustawa z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej opublikowana 25 sierpnia, której większość przepisów wchodzi w życie 25 września. Zgodnie z art. 24 ustawy dostawca poczty elektronicznej dla co najmniej 500 tys. użytkowników lub podmiotu publicznego ma obowiązek stosowania przy świadczeniu usługi poczty elektronicznej mechanizm uwierzytelnienia:
- SPF (Sender Policy Framework),
- DMARC (Domain-based Message Authentication Reporting and Conformance) oraz
- DKIM (Domain Keys Identified Mail).
Podmiot publiczny jest obowiązany korzystać wyłącznie z poczty elektronicznej, która wykorzystuje te mechanizmy uwierzytelniania.
Przestrzeganie obowiązku ma kontrolować prezes Urzędu Komunikacji Elektronicznej. Na kierownika podmiotu publicznego, który nie wykonał obowiązku, prezes UKE może nałożyć karę administracyjną w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa GUS w ostatnim komunikacie.
Czytaj też w LEX: Zwalczanie nadużyć w komunikacji elektronicznej >
Nowe regulacje mają zwiększyć cyberbezpieczeństwo urzędów
Brak odpowiedniego zabezpieczenia poczty elektronicznej daje cyberprzestępcom możliwość wysyłania fałszywych wiadomości, w których mogą oni podszyć się pod dowolnego nadawcę z domeny tego podmiotu. Protokół SMTP, używany do wysyłania poczty elektronicznej, nie zakładał bowiem pierwotnie możliwości uwierzytelnienia wysyłanych wiadomości. W konsekwencji jest możliwa sytuacja, w której nadawca wiadomości może wskazać inny adres zwrotny niż jego prawdziwy adres. Często wykorzystują to oszuści, próbując podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej, stosując ataki phishingowe. Możliwy jest również atak typu man in the middle, w którym przestępca modyfikuje treść wiadomości w trakcie jej przesyłania.
Wprowadzone mechanizmy mają temu zapobiec. Dzięki wprowadzonym rozwiązaniom ma zmniejszyć się także liczba oszustw związanych z podszywaniem się pod inne instytucje przy wysyłaniu wiadomości email.
Czytaj też: Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa >>>
Czytaj też w LEX: Poradnik ransomware >>>
CERT uruchomił specjalne narzędzie
Aby ułatwić urzędom weryfikację poprawności konfiguracji zabezpieczeń ich poczty elektronicznej, CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w interecie) uruchomił serwis bezpiecznapoczta.cert.pl. Narzędzie pozwala w prosty sposób sprawdzić konfigurację mechanizmów SPF, DKIM i DMAC. Korzystanie z narzędzia jest szybkie i łatwe. Wystarczy wejść na stronę bezpiecznapoczta.cert.pl i wybrać jedną z dwóch dostępnych opcji: sprawdź konfigurację wysyłając wiadomość e-mail lub sprawdź konfigurację podając domenę. Przy czym CERT rekomenduje korzystanie z pierwszego sposobu, bo pozwala on na sprawdzenie wszystkich trzech mechanizmów. W przypadku podania domeny, nie ma możliwości sprawdzenia konfiguracji mechanizmu DKIM.
Po wysłaniu testowej wiadomości e-mail na wygenerowany przez serwis adres, system zweryfikuje poprawność konfiguracji mechanizmów SPF, DKIM i DMARC i natychmiast przedstawi raport wskazujący ewentualne błędy w konfiguracji zabezpieczeń poczty.
Czytaj też: Zgłaszanie incydentów przez samorządy >>>
Czytaj też: Poradnik dla samorządów - bezpieczny pracownik w sieci >>>
CERT zwraca również uwagę, że domeny nie służące do wysyłki wiadomości, też powinny posiadać poprawną konfigurację SPF i DMARC, aby ograniczyć ryzyko podszycia się pod nie. Je również można sprawdzić, używając narzędzia bezpiecznapoczta.cert.pl.
Na pytanie Prawo.pl CERT odpowiedział, że dotychczas w serwisie bezpiecznapoczta.cert.pl instytucje sprawdziły ponad 7 tys. domen, ale dodatkowo CERT Polska w ramach cyklicznych skanowań stron internetowych w Polsce przy użyciu narzędzia Artemis wykrył ponad 18.5 tys. przypadków błędnie skonfigurowanych mechanizmów weryfikacji nadawcy poczty e-mail. Skanowaniu poddawane są instytucje leżące we właściwości CERT Polska, takie jak np. uczelnie, szkoły, szpitale czy jednostki samorządu terytorialnego.
- Bezpieczna poczta to potrzebny serwis. Pokazują to wyniki weryfikacji. Jeśli chodzi o mechanizm SPF, to 86 proc. sprawdzanych instytucji ma go ustawionego poprawnie. W wypadku DMARC i DKIM to kolejno 49 proc. i 72 proc. poprawnych konfiguracji. Kluczowe jest jednak to, że obserwujemy znaczną liczbę przypadków, gdy pierwotne skanowanie wykazywało błędy np. DMARC, ale następne - już poprawne ustawienie. Ta tendencja oraz uwzględnienie skali sprawdzeń pokazuje, że podmioty publiczne chcą się dostosować do zmieniającego się prawa, a to dobra wiadomość dla użytkowników poczty, bo ich bezpieczeństwo wzrośnie.– wskazują eksperci CERT
Czytaj też: Cyberbezpieczeństwo jako element kontroli zarządczej >>>
Czytaj też: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >>>
Samorządy nie wiedzą o nowym obowiązku
Eksperci o cyberbezpieczeństwa uważają, że zmiany są potrzebne, bo jednostki samorządu terytorialnego są łatwym celem dla cyberprzestępców. Szerzej pisaliśmy o tym w tekście Samorządy w niebezpieczeństwie, bo nie stać ich na cyberspecjalistów oraz Gdy urzędnik pracuje w domu, hakerowi łatwiej wejść do urzędu. Zagrożenia atakiem obawia się też 63 proc. samorządowców, którzy wypowiedzieli się w II edycji badania przygotowanego przez Wolters Kluwer Polska „LEXOMETR Prawno-Samorządowy 2023. Wyzwania i perspektywy dla JST”.
- Myślę, że 90 procent samorządów wiejskich nie wie o nowym obowiązku, bo informacja o tym do nich nie dotarła – przyznaje Leszek Świętalski, dyrektor biura Związku Gmin Wiejskich RP. Podobne obawy ma Sylwester Szczepaniak, radca prawny, koordynator ds. społeczeństwa informacyjnego i Smart City w Biurze Unii Metropolii Polskich
- Szczególnie małe samorządy mogą nie zdawać sobie sprawy o istnieniu tego obowiązku. Już na etapie legislacyjnym podnosiliśmy, aby te przepisy powinny być zawre jako nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa albo ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Tymczasem zdecydowano aby ten obowiązek umieścić w ustawie skierowanej do telekomów – mówi Sylwester Szczepaniak.
Uważa, że Ministerstwo Cyfryzacji powinno lepiej nagłośnić nową powinność podmiotów publicznych.
