Dekorativní pozadí stránky

Ochranné opatření NÚKIB a pokyny k zabezpečení e-mailové komunikace

Ochranné opatření NÚKIB a pokyny k zabezpečení e-mailové komunikace

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal na základě § 14 zákona o kybernetické bezpečnosti[1] dne 11. října 2021 ochranné opatření, ve kterém se věnuje zabezpečení e-mailové komunikace. Opatření je dostupné na odkazu zde, přičemž dokument doprovází také podrobná technická metodika a odpovědi na nejčastěji pokládané otázky. Ochranné opatření je účinné pouze pro povinné osoby dle § 3 písm. c) až f) zákona o kybernetické bezpečnosti, přesto nic nebrání ostatním subjektům aplikovat vysoké standardy zabezpečení i do jejich provozu a minimalizovat nedostatečné zabezpečení.

E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení“ uvádí ředitel NÚKIB Karel Řehka.[2]

NÚKIB dále uvádí, že vyhodnotil aktuální úroveň bezpečnosti e-mailové komunikace vzhledem k významu komunikace orgánů veřejné moci jako nedostatečnou, zvláště s ohledem na nadcházející předsednictví v Radě EU, a proto iniciuje její zvýšení. Ochranné opatření pak stanovuje požadavky na zvýšení ochrany informačních systémů a k zajištění důvěrnosti a integrity elektronické komunikace. Zvláštní důraz je pak kladen na zajištění bezpečné komunikace mezi orgány veřejné moci, které se budou podílet na předsednictví České republiky v rámci Rady EU. Jak již bylo řečeno, povinnými subjekty opatření jsou obecně vzato orgány veřejné moci a subjekty poskytující pro stát zásadní služby (respektive takto klasifikované dle zákona o kybernetické bezpečnosti), přesto se běžní uživatelé (např. občané a soukromé společnosti) nemusí obávat žádného omezení při komunikaci. Výsledkem opatření by krom zabezpečení komunikace mezi povinnými osobami měla být také zvýšená ochrana komunikace mezi veřejností a orgány veřejné moci, kdy požadavky opatření směřují k zamezení mj. podvržení e-mailové komunikace (např. zasílání zpráv s podvrženou doménou organizace).

Konkrétním technickým požadavkům se věnuje již zmíněná Metodika k zavedení způsobů zvýšení ochrany dle ochranného opatření ze dne 11. 10. 2021. Ta obsahuje jednotlivé technické požadavky, které es dají rozdělit do tří podkategorií:

  • opatření pro zajištění důvěrnosti a integrity komunikace mezi poštovními servery;
  • opatření pro zajištění důvěrnosti a integrity komunikace mezi klientem elektronické pošty a serverem; a
  • opatření pro zajištění integrity a zamezení podvržení odesilatele elektronické poštovní zprávy.

Metodika odkazuje na několik veřejně přístupných nástrojů, v rámci kterých si může každý jednotlivec nebo společnost otestovat zabezpečení e-mailové komunikace, a to jak při příjmu, tak při odesílání elektronické pošty.[3]

I v případě, že se na Vás ochranné opatření NÚKIB přímo nevztahuje, doporučujeme dobrovolné zavedení technologií a postupů v něm popsaných. Používání doporučených technologií může zásadním způsobem zvýšit zabezpečení i Vaší elektronické komunikace. Rádi pro Vás připravíme komplexní analýzu požadavků ochranného opatření, zajistíme kontrolu jejich správné implementace, a veškeré další nezbytné požadavky na zajištění co možná nejvyšší kyberbezpečnosti. Naše kontakty naleznete na uvedeném odkazu.

V této souvislosti odkazujeme na další články z blogu HAVEL & PARTNERS na téma kyberbezpečnosti: Kybernetické útoky – nelehká ochrana, závažné následky, KYBERBEZPEČNOST V DOBĚ COVIDOVÉ, nebo Předcházet kyberútokům se vyplatí, zvlášť v době koronaviru.

 

[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.

[2] Viz o-line: https://www.nukib.cz/cs/infoservis/aktuality/1758-spravci-klicovych-systemu-musi-zabezpecit-sve-e-mailove-schranky/

[3] Prvním uvedeným nástrojem je MECSA vytvořený Evropskou komisí (https://mecsa.jrc.ec.europa.eu/en/). Pro ověření nastavení je potřeba zadat e-mailovou adresu do pole Test your email provider. Na vyplněnou adresu bude následně poslán e-mail, na který je potřeba odpovědět. Po přijetí zprávy je zobrazen výsledek testu. Druhým nástrojem, v rámci kterého je možné orientačně ověřit některé body opatření, je projekt nizozemské vlády s názvem internet.nl (https://internet.nl/). Pro spuštění testu postačí do pole Test your email vložit doménu použitou pro příjem a odesílání elektronické pošty a následně stisknout tlačítko Start test.

 

Zdroje článku

Související články
Jak chránit digitální produkty proti padělkům?
Radek Riedl, Lucie Šímová

Jak chránit digitální produkty proti padělkům?

Prodej a šíření padělků a neoprávněný přístup k originálním produktům je rostoucí problém, se kterým se potýkají značky napříč odvětvími. Zdaleka nejde jen o dovoz „fejkových“ kabelek a prodej napodobenin obrazů vydávaných za originály slavných mistrů. EUIPO na platformě ACAPT (Anti-Counterfeiting a
Fajfka nebo pruhy, to je oč tu běží...
Karolína Steinerová, Jan Šturm

Fajfka nebo pruhy, to je oč tu běží...

A zase ten adidas… Co si budeme namlouvat, pruhy zkrátka táhnou. Ale! Kdy je užití pruhovaného vzoru konkurencí ještě pořád fér a kdy už ne? A co když k pruhům přidáme jinou slavnou ochrannou známku? Třeba fajfku společnosti Nike? Mění se tím něco? Přinášíme Vám další zajímavé rozhodnutí, tentokrát