Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – nowe obowiązki dla dostawców poczty elektronicznej i instytucji publicznych
25.09.2023
Zespół CERT Polska uruchomił serwis bezpiecznapoczta.cert.pl, który ułatwia dostawcom poczty elektronicznej oraz zainteresowanym instytucjom sprawdzenie poprawności konfiguracji ich serwerów.
Przeciwdziałanie phishingowi i spoofingowi
25 sierpnia 2023 r. została opublikowana ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Regulacje w niej zawarte nakładają na przedsiębiorców telekomunikacyjnych oraz dostawców poczty elektronicznej obowiązki związane ze zwalczaniem nadużyć w komunikacji elektronicznej.
Nowe obowiązki dla podmiotów publicznych już od 25 września
Od 25 września br., w celu przeciwdziałania spoofingowi i smishingowi, podmioty publiczne są zobowiązane do korzystania z poczty elektronicznej stosującej mechanizmy SPF, DKIM oraz DMARC weryfikujące nadawcę wiadomości:
- SPF - (ang. Sender Policy Framework) - mechanizm bezpieczeństwa poczty elektronicznej, chroniący przed podszywaniem się pod nadawcę wiadomości e-mail;
- DMARC - (ang. Domain-based Message Authentication, Reporting and Conformance) - protokół uwierzytelniania wiadomości e-mail. Został zaprojektowany, aby dać właścicielom domen poczty e-mail możliwość ochrony ich domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail;
- DKIM - (ang. Domain Keys Identified Mail) - metoda uwierzytelniania wiadomości e-mail, która pozwala nadawcom zapobiegać zmianie treści wiadomości podczas procesu dostarczania.
Dodatkowo, dostawca poczty elektronicznej dla podmiotu publicznego musi oferować również możliwość stosowania metod uwierzytelniania wieloskładnikowego.
Jeżeli instytucja nie ma poprawnie skonfigurowanych mechanizmów podnoszących bezpieczeństwo poczty elektronicznej naraża się na duże ryzyko. Daje bowiem cyberprzestępcom możliwość podszywania się pod wiadomości dowolnego nadawcy.
Dowiedz się: Czym jest spoofing? Jak go rozpoznać i nie dać się nabrać?
Walczymy z cyberoszustami, którzy wykorzystują w swoich działaniach pocztę elektroniczną
Aby ułatwić podmiotom publicznym weryfikację poprawności konfiguracji zabezpieczeń ich poczty elektronicznej, CERT Polska przygotował narzędzie bezpiecznapoczta.cert.pl.
W serwisie https://bezpiecznapoczta.cert.pl można w prosty sposób sprawdzić konfigurację mechanizmów SPF, DKIM i DMAC poprzez podanie domeny lub wysłanie wiadomości na specjalny adres e-mail.
Ponadto, przy pomocy serwisu można również sprawdzić domeny, które nie służą do wysyłki wiadomości, a które również powinny posiadać poprawną konfigurację SPF i DMARC, aby ograniczyć ryzyko podszywania się pod nie.
Co istotne, używanie mechanizmów SPF, DKIM i DMARC wymaga konfiguracji od administratora poczty, natomiast nie wymaga dodatkowych działań od użytkownika.
Narzędzie przygotowane przez CERT Polska jest dostępne na stronie: https://bezpiecznapoczta.cert.pl/.
Pytania i wątpliwości można przesyłać na adres: bezpiecznapoczta@cert.pl.
Zespół CERT Polska (CSIRT NASK), działa w strukturach Państwowego Instytutu Badawczego NASK i jest jednym z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym. Do zadań CERT Polska należy monitorowanie cyberprzestrzeni i reagowanie na incydenty oraz rozwój narzędzi, które służą edukacji i profilaktyce w obszarze bezpieczeństwa online.
Więcej informacji o nowej regulacji znajdziesz w bazie wiedzy o cyberbezpieczeństwie:
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej już niedługo wejdzie w życie – sprawdź korzyści jakie niesie to dla Ciebie i Twoich bliskich