Dekorativní pozadí stránky

Ochranné opatření NÚKIB a pokyny k zabezpečení e-mailové komunikace

Ochranné opatření NÚKIB a pokyny k zabezpečení e-mailové komunikace

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal na základě § 14 zákona o kybernetické bezpečnosti[1] dne 11. října 2021 ochranné opatření, ve kterém se věnuje zabezpečení e-mailové komunikace. Opatření je dostupné na odkazu zde, přičemž dokument doprovází také podrobná technická metodika a odpovědi na nejčastěji pokládané otázky. Ochranné opatření je účinné pouze pro povinné osoby dle § 3 písm. c) až f) zákona o kybernetické bezpečnosti, přesto nic nebrání ostatním subjektům aplikovat vysoké standardy zabezpečení i do jejich provozu a minimalizovat nedostatečné zabezpečení.

E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení“ uvádí ředitel NÚKIB Karel Řehka.[2]

NÚKIB dále uvádí, že vyhodnotil aktuální úroveň bezpečnosti e-mailové komunikace vzhledem k významu komunikace orgánů veřejné moci jako nedostatečnou, zvláště s ohledem na nadcházející předsednictví v Radě EU, a proto iniciuje její zvýšení. Ochranné opatření pak stanovuje požadavky na zvýšení ochrany informačních systémů a k zajištění důvěrnosti a integrity elektronické komunikace. Zvláštní důraz je pak kladen na zajištění bezpečné komunikace mezi orgány veřejné moci, které se budou podílet na předsednictví České republiky v rámci Rady EU. Jak již bylo řečeno, povinnými subjekty opatření jsou obecně vzato orgány veřejné moci a subjekty poskytující pro stát zásadní služby (respektive takto klasifikované dle zákona o kybernetické bezpečnosti), přesto se běžní uživatelé (např. občané a soukromé společnosti) nemusí obávat žádného omezení při komunikaci. Výsledkem opatření by krom zabezpečení komunikace mezi povinnými osobami měla být také zvýšená ochrana komunikace mezi veřejností a orgány veřejné moci, kdy požadavky opatření směřují k zamezení mj. podvržení e-mailové komunikace (např. zasílání zpráv s podvrženou doménou organizace).

Konkrétním technickým požadavkům se věnuje již zmíněná Metodika k zavedení způsobů zvýšení ochrany dle ochranného opatření ze dne 11. 10. 2021. Ta obsahuje jednotlivé technické požadavky, které es dají rozdělit do tří podkategorií:

  • opatření pro zajištění důvěrnosti a integrity komunikace mezi poštovními servery;
  • opatření pro zajištění důvěrnosti a integrity komunikace mezi klientem elektronické pošty a serverem; a
  • opatření pro zajištění integrity a zamezení podvržení odesilatele elektronické poštovní zprávy.

Metodika odkazuje na několik veřejně přístupných nástrojů, v rámci kterých si může každý jednotlivec nebo společnost otestovat zabezpečení e-mailové komunikace, a to jak při příjmu, tak při odesílání elektronické pošty.[3]

I v případě, že se na Vás ochranné opatření NÚKIB přímo nevztahuje, doporučujeme dobrovolné zavedení technologií a postupů v něm popsaných. Používání doporučených technologií může zásadním způsobem zvýšit zabezpečení i Vaší elektronické komunikace. Rádi pro Vás připravíme komplexní analýzu požadavků ochranného opatření, zajistíme kontrolu jejich správné implementace, a veškeré další nezbytné požadavky na zajištění co možná nejvyšší kyberbezpečnosti. Naše kontakty naleznete na uvedeném odkazu.

V této souvislosti odkazujeme na další články z blogu HAVEL & PARTNERS na téma kyberbezpečnosti: Kybernetické útoky – nelehká ochrana, závažné následky, KYBERBEZPEČNOST V DOBĚ COVIDOVÉ, nebo Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru.

 

[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.

[2] Viz o-line: https://www.nukib.cz/cs/infoservis/aktuality/1758-spravci-klicovych-systemu-musi-zabezpecit-sve-e-mailove-schranky/

[3] Prvním uvedeným nástrojem je MECSA vytvořený Evropskou komisí (https://mecsa.jrc.ec.europa.eu/en/). Pro ověření nastavení je potřeba zadat e-mailovou adresu do pole Test your email provider. Na vyplněnou adresu bude následně poslán e-mail, na který je potřeba odpovědět. Po přijetí zprávy je zobrazen výsledek testu. Druhým nástrojem, v rámci kterého je možné orientačně ověřit některé body opatření, je projekt nizozemské vlády s názvem internet.nl (https://internet.nl/). Pro spuštění testu postačí do pole Test your email vložit doménu použitou pro příjem a odesílání elektronické pošty a následně stisknout tlačítko Start test.

 

Zdroje článku

Související články
Čtyři pruhy, pořád adidas
Karolína Steinerová

Čtyři pruhy, pořád adidas

Znáte lehce ironické rčení „Čím víc proužků, tím víc adidas“? Určitě ano… A znají ho i české soudy! Dokonce natolik dobře, že se dostalo do odůvodnění rozsudku. S jakým výsledkem, to si přečtěte v článku komentujícím soudní bitvu mezi proužky.