Správci a provozovatelé klíčových informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, budou muset zabezpečit e-mailové schránky. Národní úřad pro kybernetickou a informační bezpečnost vydal ochranné opatření podle zákona o kyberbezpečnosti. Zavedení postupů je pro vyjmenované subjekty povinné.
Kompletní znění opatření jsou k dispozici v textu veřejné vyhlášky. Jsou zde uvedeny požadavky na SMTP, DNS, TLS, SSL a podobně. Dále je k dispozici metodia společně s nejčastějšími otázkami a odpověďmi (vše v PDF).
Technická opatření byla konzultována s organizacemi CESNET, CZ.NIC a Masarykovou univerzitou.
“K vydání postupů k zabezpečení e-mailových schránek formou plošného a povinného ochranného opatření přistoupil NÚKIB z toho důvodu, že cílem je především zabezpečení komunikace mezi orgány veřejné moci navzájem, interně v rámci těchto orgánů veřejné moci, případně také mezi orgány veřejné moci a dalšími povinnými osobami ze soukromého sektoru. Pokud by tato opatření zavedla jen část subjektů, bude celá komunikace probíhat v neadekvátně zabezpečené (nešifrované) podobě nebo bude náchylná na útoky typu MITM (man in the middle útok, kdy se útočník nachází na cestě mezi odesílatelem a příjemcem pošty a může ji cestou číst či měnit její obsah),” uvádí kyberúřad.
“Na zavedení opatření mají úřady a firmy různě dlouhé lhůty. V případě státních orgánů v závislosti na tom, zda se budou aktivně podílet na předsednictví České republiky v Radě EU, které nás čeká v příštím roce. Státní instituce budou muset některá opatření zavést již k prvnímu lednu příštího roku, další pak k začátku předsednictví, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od prvního ledna 2023.”
