Podmioty publiczne zostaną zobowiązane do korzystania z poczty elektronicznej wykorzystującej trzy, określone mechanizmy uwierzytelniania, będą też mogły złożyć wniosek, by wpisać swoje telefony do wykazu numerów służących wyłącznie do odbierania połączeń - zakłada rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, który właśnie trafił do Sejmu.
Zgodnie z rządową propozycją, podmioty publiczne "będą obowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy uwierzytelniania SPF, DKIM oraz DMARC".
Nowe zasady konfiguracji poczty elektronicznej w samorządach
W ocenie skutków regulacji zapewniono, że proponowane rozwiązania nie spowodują dodatkowych skutków finansowych dla sektora finansów publicznych, w tym budżetu państwa i budżetów jednostek samorządu terytorialnego.
"Należy podkreślić, że obowiązki związane z konfiguracją poczty elektronicznej nie będą wymagały zatrudnienia nowych pracowników. Tego typu zmiana wymaga maksymalnie kilku dni roboczych osób zajmujących się administrowaniem pocztą elektroniczną" - czytamy w uzasadnieniu projektu.
Według autorów projektu, nałożenie obowiązków dotyczących określonego uwierzytelniania poczty elektronicznej "efektywnie przełoży się na zmniejszenie liczby incydentów związanych z phishingiem stosowanym wobec użytkowników poczty elektronicznej, a w szczególności pracowników podmiotów publicznych, którzy są wysoce narażeni na phishing z uwagi na pełnione przez nich funkcje".
"Dzięki wprowadzonym rozwiązaniom zmniejszy się także liczba oszustw związanych z podszywaniem się pod inne instytucje przy wysyłaniu wiadomości email" - czytamy w uzasadnieniu projektu.
Kontrolę realizacji nowych obowiązków przez podmioty publiczne będzie sprawować Prezes Urządu Komunikacji Elektronicznej.
Poczta elektroniczna - metody uwierzytelniania wieloskładnikowego
Projekt przewiduje ponadto, że dostawcy poczty elektronicznej dla podmiotu publicznego będą musieli oferować możliwość stosowania metod uwierzytelniania wieloskładnikowego. Chodzi o to, że obecnie do korzystania z poczty elektronicznej powszechnie wykorzystywane jest uwierzytelnianie jednoskładnikowe, za pomocą loginu i hasła.
"Jest ono niewystarczające. Przestępcy mogą użyć wielu rodzajów cyberataków w celu uzyskania dostępu do konta poczty elektronicznej – np. ataki typu brute force czy phishing. Często użytkownicy poczty elektronicznej korzystają z 32 bardzo podobnych haseł, co osłabia ich skuteczność. Dlatego wiele organizacji zajmujących się cyberbezpieczeństwem zaleca stosowanie uwierzytelniania wieloskładnikowego" - czytamy w uzasadnieniu regulacji.
Wyróżnia się trzy rodzaje składników uwierzytelniania:
1) coś co wiesz – np. hasło lub numer PIN;
2) coś, co posiadasz – karty inteligentne, tokeny, urządzenia kryptograficzne;
3) coś, czym jesteś – odciski palców, wizerunek, głos.
Podmiot publiczny - zgodnie z projektem nie będzie miał obowiązku korzystanie z metody uwierzytelniania wieloskładnikowego, istotne jest jedynie aby dostawca poczty elektronicznej dawał możliwość skorzystania z takiej usługi.
Projektodawcy przestrzegają bowiem, że podmioty publiczne są szczególnie zagrożone atakami ukierunkowanymi na przejęcie dostępu do poczty elektronicznej.
"Realizują one każdego dnia wiele zadań publicznych na rzecz obywateli. Przejęcie przez przestępców dostępu do poczty elektronicznej tych podmiotów może w znaczący sposób utrudnić realizację zadań oraz narazić dane o obywatelach na upublicznienie. Z tego powodu proponuje się nałożenie obowiązku po stronie dostawcy poczty elektronicznej dla podmiotu publicznego, aby oferował pocztę elektroniczną z możliwością stosowania metod uwierzytelniania wieloskładnikowego" - czytamy.
Wykazu numerów służących wyłącznie do odbierania połączeń głosowych
Projektowana regulacja zakłada ponadto, że jednostki sektora finansów publicznych czyli m.in. JST oraz ich związki, samorządowe zakłady budżetowe, czy instytucje kultury, będą uprawnione do złożenia wniosku o wpis swojego numeru do wykazu numerów służących wyłącznie do odbierania połączeń głosowych.
Wykaz takich numerów prowadził będzie Urząd Komunikacji Elektronicznej.
"Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Chodzi tutaj o to, aby połączenie było inicjowane tylko w jednym kierunku przez np. konsumenta, który ze swojego numeru dzwoni na numer infolinii np. banku" - czytamy w uzasadnieniu projektu.