Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal na základě § 14 zákona o kybernetické bezpečnosti[1] dne 11. října 2021 ochranné opatření, ve kterém se věnuje zabezpečení e-mailové komunikace. Opatření je dostupné na odkazu zde, přičemž dokument doprovází také podrobná technická metodika a odpovědi na nejčastěji pokládané otázky. Ochranné opatření je účinné pouze pro povinné osoby dle § 3 písm. c) až f) zákona o kybernetické bezpečnosti, přesto nic nebrání ostatním subjektům aplikovat vysoké standardy zabezpečení i do jejich provozu a minimalizovat nedostatečné zabezpečení.
„E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení“ uvádí ředitel NÚKIB Karel Řehka.[2]
NÚKIB dále uvádí, že vyhodnotil aktuální úroveň bezpečnosti e-mailové komunikace vzhledem k významu komunikace orgánů veřejné moci jako nedostatečnou, zvláště s ohledem na nadcházející předsednictví v Radě EU, a proto iniciuje její zvýšení. Ochranné opatření pak stanovuje požadavky na zvýšení ochrany informačních systémů a k zajištění důvěrnosti a integrity elektronické komunikace. Zvláštní důraz je pak kladen na zajištění bezpečné komunikace mezi orgány veřejné moci, které se budou podílet na předsednictví České republiky v rámci Rady EU. Jak již bylo řečeno, povinnými subjekty opatření jsou obecně vzato orgány veřejné moci a subjekty poskytující pro stát zásadní služby (respektive takto klasifikované dle zákona o kybernetické bezpečnosti), přesto se běžní uživatelé (např. občané a soukromé společnosti) nemusí obávat žádného omezení při komunikaci. Výsledkem opatření by krom zabezpečení komunikace mezi povinnými osobami měla být také zvýšená ochrana komunikace mezi veřejností a orgány veřejné moci, kdy požadavky opatření směřují k zamezení mj. podvržení e-mailové komunikace (např. zasílání zpráv s podvrženou doménou organizace).
Konkrétním technickým požadavkům se věnuje již zmíněná Metodika k zavedení způsobů zvýšení ochrany dle ochranného opatření ze dne 11. 10. 2021. Ta obsahuje jednotlivé technické požadavky, které es dají rozdělit do tří podkategorií:
- opatření pro zajištění důvěrnosti a integrity komunikace mezi poštovními servery;
- opatření pro zajištění důvěrnosti a integrity komunikace mezi klientem elektronické pošty a serverem; a
- opatření pro zajištění integrity a zamezení podvržení odesilatele elektronické poštovní zprávy.
Metodika odkazuje na několik veřejně přístupných nástrojů, v rámci kterých si může každý jednotlivec nebo společnost otestovat zabezpečení e-mailové komunikace, a to jak při příjmu, tak při odesílání elektronické pošty.[3]
I v případě, že se na Vás ochranné opatření NÚKIB přímo nevztahuje, doporučujeme dobrovolné zavedení technologií a postupů v něm popsaných. Používání doporučených technologií může zásadním způsobem zvýšit zabezpečení i Vaší elektronické komunikace. Rádi pro Vás připravíme komplexní analýzu požadavků ochranného opatření, zajistíme kontrolu jejich správné implementace, a veškeré další nezbytné požadavky na zajištění co možná nejvyšší kyberbezpečnosti. Naše kontakty naleznete na uvedeném odkazu.
V této souvislosti odkazujeme na další články z blogu HAVEL & PARTNERS na téma kyberbezpečnosti: Kybernetické útoky – nelehká ochrana, závažné následky, KYBERBEZPEČNOST V DOBĚ COVIDOVÉ, nebo Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru.
[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.
[2] Viz o-line: https://www.nukib.cz/cs/infoservis/aktuality/1758-spravci-klicovych-systemu-musi-zabezpecit-sve-e-mailove-schranky/
[3] Prvním uvedeným nástrojem je MECSA vytvořený Evropskou komisí (https://mecsa.jrc.ec.europa.eu/en/). Pro ověření nastavení je potřeba zadat e-mailovou adresu do pole Test your email provider. Na vyplněnou adresu bude následně poslán e-mail, na který je potřeba odpovědět. Po přijetí zprávy je zobrazen výsledek testu. Druhým nástrojem, v rámci kterého je možné orientačně ověřit některé body opatření, je projekt nizozemské vlády s názvem internet.nl (https://internet.nl/). Pro spuštění testu postačí do pole Test your email vložit doménu použitou pro příjem a odesílání elektronické pošty a následně stisknout tlačítko Start test.
Zdroje článku
- zde https://www.nukib.cz/download/uredni_deska/2021-10-08_OchranneOpatreni_final.pdf
- podrobná technická metodika https://www.nukib.cz/download/uredni_deska/2021-10-08_Metodika_final.pdf
- odpovědi na nejčastěji pokládané otázky https://www.nukib.cz/download/uredni_deska/2021-10-08_FAQ-Opatreni_final.pdf
- uvedeném odkazu https://www.havelpartners.cz/
- Kybernetické útoky – nelehká ochrana, závažné následky /blog/kyberneticke-utoky-nelehka-ochrana-zavazne-nasledky/251
- KYBERBEZPEČNOST V DOBĚ COVIDOVÉ https://www.havelpartners.cz/kyberbezpecnost-v-dobe-covidove/
- Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru http://www.havelpartners.blog/blog/predchazet-kyberutokum-se-vyplati-zvlast-v-dobe-koronaviru/191
- https://mecsa.jrc.ec.europa.eu/en/ https://mecsa.jrc.ec.europa.eu/en/
- https://internet.nl/ https://internet.nl/