Správci klíčových systémů musí zabezpečit své e-mailové schránky

e-mailové schránky

Správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, budou muset zabezpečit své e-mailové schránky. Národní úřad pro kybernetickou a informační bezpečnost za tímto účelem dnes vydal tzv. ochranné opatření podle zákona o kybernetické bezpečnosti. Zavedení postupů uvedených v tomto opatření je pro subjekty vyjmenované v opatření povinné.

„E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení. Zavedení těchto opatření je pro většinu správců a provozovatelů systémů, které spadají pod náš zákon, povinné, ale samozřejmě je doporučujeme i těm, kteří pod naši regulaci nespadají, ale chtějí mít svou poštu v bezpečí,“ uvádí ředitel NÚKIB Karel Řehka k aktuálně vydanému ochrannému opatření dle zákona o kybernetické bezpečnosti.

Opatření se týká širokého spektra institucí, mezi které patří hlavně ministerstva, významné úřady a kraje, včetně hlavního města Prahy. Dále se může dotknout řady subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.

K vydání postupů k zabezpečení e-mailových schránek formou plošného a povinného ochranného opatření přistoupil NÚKIB z toho důvodu, že cílem je především zabezpečení komunikace mezi orgány veřejné moci navzájem, interně v rámci těchto orgánů veřejné moci, případně také mezi orgány veřejné moci a dalšími povinnými osobami ze soukromého sektoru. Pokud by tato opatření zavedla jen část subjektů, bude celá komunikace probíhat v neadekvátně zabezpečené (nešifrované) podobě nebo bude náchylná na útoky typu MITM (pozn.: tzv. Man in the middle útok, kdy se útočník nachází na cestě mezi odesílatelem a příjemcem pošty a může ji cestou číst či měnit její obsah).

Veškeré způsoby zvýšení zabezpečení jsou vyjmenovány v samotném textu ochranného opatření, který je k dispozici na odkazu zde a v anglické verzi zde. Kromě tohoto opatření vydáváme též podrobnou metodiku, která slouží jako návod k zavedení zvýšení ochrany e-mailové komunikace. Dalším zveřejněným dokumentem jsou odpovědi na nejčastěji pokládané otázky.

Na zavedení opatření mají úřady a firmy různě dlouhé lhůty. V případě státních orgánů v závislosti na tom, zda se budou aktivně podílet na předsednictví České republiky v Radě EU, které nás čeká v příštím roce. Státní instituce budou muset některá opatření zavést již k prvnímu lednu příštího roku, další pak k začátku předsednictví, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od prvního ledna 2023.

Součástí ochranného opatření je kromě opatření samotného také jeho odůvodnění, včetně zvláštní části nazvané Technické odůvodnění. Ta povinným osobám blíže vysvětluje účel, fungování a význam zavedení jednotlivých bezpečnostních technologií. Technická stránka opatření byla konzultována s experty z Masarykovy univerzity a společností CESNET a CZ.NIC.

„Věřím, že zavedení těchto opatření přispěje velkou měrou k bezpečnější komunikaci státních institucí i dalších provozovatelů klíčových systémů na území České republiky,“ uzavírá Karel Řehka.

Zdroj: NÚKIB

@RadekVyskovsky