Doering & Partnerzy
Konsultacje

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych

.

Paulina Jurkiewicz
Paulina Jurkiewicz

Nowe regulacje prawne odnośnie do bezpieczeństwa skrzynek elektronicznych


Ze względu na rosnące zjawisko podszywania się pod podmioty publiczne w celu wyłudzenia danych, zdecydowano się wprowadzić zabezpieczenia, które dostawcy powinni stosować w skrzynkach elektronicznych u podmiotów publicznych. Mówi o tym ustawa z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej, która w większości paragrafów weszła w życie 25 września 2023 roku. Istotne jest to, że ta ustawa dotyczy zarówno dostawców podmiotów publicznych, jak i też u dostawcy poczty elektronicznej z najmniej 500 tys. użytkownikami.

Zgodnie z art. 24 ustawy, poczta elektroniczna powinna obowiązkowo zawierać takie zabezpieczenia, jak:
SPF (Sender Policy Framework),
• DMARC (Domain-based Message Authentication Reporting and Conformance) oraz
• DKIM (Domain Keys Identified Mail).


Nowe narzędzia do dbania o bezpieczeństwo skrzynek elektronicznych


Co chwilę można zauważyć komunikaty odnośnie do podszywania się, czy to pod instytucje państwowe, czy firmy. Cyberprzestępcy wykorzystują to, gdyż łatwiej jest zdobyć zaufanie obywatela do uzyskania danych, jeśli zobaczą informację pochodzącą z jakiejś instytucji państwowej. Można odnosić wrażenie, że społeczeństwo jest wyczulone na wiadomości, w których podpisują się obce osoby. Brakuje jednak tej ostrożności w przypadku wiadomości, które wykorzystują wizerunek, chociażby samorządu. Trzeba też przyznać, że z każdą nowinką technologiczną, cyberprzestępcy próbują na nowo łamać zabezpieczenia na wszelkie im znane sposoby. Typowy phishing, spoofing i smishing obecnie są najbardziej nagłaśniane z tego względu, że to są jedne z prostych metod do wyłudzenia danych, a zabezpieczenia w ustawie mają pomóc w zniwelowaniu takich przypadków, najlepiej do zera.


Nowe zabezpieczenia – czym one są?


Dostawcy poczty elektronicznej powinni zapewnić dodatkowe mechanizmy uwierzytelniania poczty. W ustawie wskazano dokładnie, że mają to być SPF, DMARC oraz DKIM. Czym one się charakteryzują?


SPF – Sender Policy Framework


Jest odpowiedzialny za poprawną identyfikację serwera pocztowego, uprawnionego do wysyłania poczty elektronicznej w imieniu danej domeny. Ma na celu wprowadzenie zabezpieczenia serwerów pocztowych przed przyjmowaniem poczty z niedozwolonych źródeł. SPF dotyczy tylko komunikacji pomiędzy serwerami SMTP. SPF pozytywnie wpływa na ograniczenie liczby wiadomości mailowych, identyfikowanych jako spam.


DMARC – Domain-based Message Authentication Reporting and Conformance


Protokół uwierzytelniania i raportowania poczty e-mail. Wskazuje, co ma się stać z wiadomościami zidentyfikowanymi jako sfałszowane. Mogą one np. trafić do folderu SPAM lub zostać całkowicie odrzucone. Dodatkowo DMARC umożliwia wysyłanie raportu o wiadomościach, które przeszły (pomyślnie lub negatywnie) ocenę protokołu.


DKIM – Domain Keys Identified Mail


Służy do uwierzytelniania wysyłanych wiadomości. Działa podobnie jak rekord SPF i jest otwartym standardem uwierzytelniania poczty. Funkcjonuje w ustawieniach DNS, ale jego budowa jest bardziej złożona niż SPF. Stanowi podstawę do zabezpieczania wiadomości e-mail. DKIM powoduje, że osoba, która otrzymuje wiadomość, ma pewność, że nadawcą wiadomości jest faktyczny właściciel adresu, a nie ktoś, kto się pod niego podszywa.


Nowy poziom cyberbezpieczeństwa w samorządach


Należy pamiętać, że wśród podmiotów publicznych, mamy samorządy, które muszą sprawdzić, czy ich dostawcy spełniają określone wymagania. W ustawie nałożono na kierownika podmiotu publicznego odpowiedzialność za korzystanie z poczty elektronicznej, która posiada wymienione wcześniej zabezpieczenia. W przypadku, kiedy nie wykonał obowiązku, prezes UKE może nałożyć karę administracyjną w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej.
Do sprawdzenia, czy dany podmiot publiczny ma dostosowaną skrzynkę mailową, CERT Polska założył specjalny serwis https://bezpiecznapoczta.cert.pl/, który umożliwia sprawdzenie konfiguracji wymaganych ustawowo mechanizmów. Aby sprawdzić od razu wszystkie trzy mechanizmy, zaleca się wybrać opcję sprawdzenia konfiguracji przez wysłanie e-maila.

Zapraszamy do współpracy

Zobacz więcej:

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Jak przeprowadzić szkolenie z cyberbezpieczeństwa w urzędzie? Zakres i program

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo kanałów zgłoszeniowych dla sygnalisty

Jak audyt bezpieczeństwa wygląda w praktyce?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Miasto Toruń
Gmina Grzegorzew
Powiat Pucki
Powiat Gnieźnieński
Miasto Szczytno
Gmina Rogowo
Powiat Starogardzki
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Uniwersytet im. Mikołaja Kopernika w Toruniu
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Instytut Technik Węglowych
Toruńska Agencja Rozwoju Regionalnego
Lasy Państwowe
Prywatna Specjalizacyjna Przychodnia Lekarska Nowak & Nowak w Toruniu
EXEA
ADOP
Kancelaria Cieciórski Wacławik Kosiński
Conectio
BNI Polska
Kancelaria MP Legal
Pracodawcy Pomorza i Kujaw

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

referencje w pdf

Usługi

KONTAKT

Dane firmy

Doering & Partnerzy sp. z o.o.
ul. Władysława Łokietka 5
87-100 Toruń
KRS 0000930066
NIP 8792735140
REGON 520316781

Prawa autorskie: Doering & Partnerzy

  Skip to content