IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Upozornění na účinnost ochranného opatření k zabezpečení e-mailové komunikace

zabezpečení e-mailové komunikace

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 11. října 2021 ochranné opatření, které zavazuje správce a provozovatele informačních systémů regulovaných dle zákona o kybernetické bezpečnosti, jejichž součástí je elektronická pošta, ke zvýšení zabezpečení a zavedení požadovaných technologií.

Toto opatření má dělenou účinnost, kdy v prvních dvou vlnách se týkalo organizací, které se účastnily předsednictví České republiky v Radě EU. Třetí vlna se týká všech orgánů a osob uvedených v § 3 písm. c) až f) zákona o kybernetické bezpečnosti, jejichž elektronická pošta je součástí informačního nebo komunikačního systému, na který se vztahují požadavky zákona o kybernetické bezpečnosti. Relevantní body z opatření měly být takovými subjekty splněny nejpozději do 1. ledna 2023. Česká republika se i díky tomuto ochrannému opatření a úsilí správců informačních systémů dle Evropské komise stává lídrem v zavádění vyžadovaných technologií, tedy i ve zvyšování bezpečnosti elektronické komunikace.

Ochranné opatření bylo vydáno s ohledem na důležitost e-mailových systémů a zvyšující se intenzitu kybernetických bezpečnostních incidentů týkajících se právě elektronické komunikace. Česká republika se tak stala průkopníkem komplexní regulace v této oblasti minimálně z pohledu států Evropské unie a je inspirací i pro další státy. Zároveň jako druhý stát na světě vyžaduje pro veřejné instituce implementaci technologie DANE, která účinně brání možnosti čtení nebo modifikaci e-mailových zpráv při přenosu.

NÚKIB pravidelně kontroluje dodržování tohoto opatření a může konstatovat, že postupně dochází ke zvyšování bezpečnosti těchto systémů díky zavádění požadovaných technologií. Největší výzvou pro organizace je zavádění technologie DNSSEC a DANE, která stále není podporována některými dodavateli technologií nebo cloudovými poskytovateli e-mailových služeb. Také proto NÚKIB v minulém roce v dané věci komunikoval s některými poskytovateli, aby nastínil situaci regulovaných subjektů a napomohl tak k jejímu zlepšení.

Jednotlivé body opatření doporučuje NÚKIB zavést i v případě, že vaše organizace nebo váš e-mailový systém nespadá pod regulaci zákona o kybernetické bezpečnosti. Pro ověření funkčnosti některých bezpečnostních technologií je možné využít například službu Internet.nl provozovanou nizozemskou vládou.

TZ