Kto i dlaczego nie chroni urzędowych e-maili

Generalny Inspektor Ochrony Danych Osobowych udostępnił opinię w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej. Inicjatywa bezwzględnie potrzebna, niestety trudno uznać ten dokument za przełomowy i… praktyczny.


Poczta elektroniczna to wciąż jeden z głównych kanałów infekcji komputerów w firmach i urzędach. Jest wykorzystywana przez przestępców zarówno do masowej wysyłki ransomware, jak i w atakach celowanych na konkretne instytucje. Łatwo jest bowiem pozyskać adres e-mail osoby odpowiedzialnej np. za księgowość, a potem anonimowo przesłać do niej „fakturę” zawierającą złośliwy kod. Jak słusznie zauważa w swojej opinii GIODO poczta elektroniczna w swym podstawowym standardzie nie była i nie jest narzędziem zapewniającym jakiekolwiek mechanizmy służące weryfikacji tożsamości. (…) Praktycznie każdy może podszyć się pod prywatną bądź publiczną instytucję, wysyłając korespondencję. Między innymi dlatego w kontaktach z administracją posługujemy się elektroniczną skrzynką podawczą i podpisami elektronicznymi.

Większość badanych podmiotów nie zarządza usługami realizowanymi za pomocą systemów teleinformatycznych zgodnie z przepisami KRI Polskie Towarzystwo Informatyczne

Sześciostronicowy dokument opisuje zagrożenia i metody zapobiegania im w odniesieniu do poufności korespondencji, bezpieczeństwa transmisji i składowania poczty oraz weryfikacji tożsamości. Odwołuje się przy tym do zapisów Krajowych Ram Interoperacyjności, rekomendacji KRMC w sprawie stosowania środków identyfikacji oraz prac Grupy Roboczej Art. 29 i opinii Europejskiego Inspektora Ochrony Danych. Szkopuł w tym, że opinia GIODO nie ma sprecyzowanego adresata, przez co trudno ją uznać za komunikatywną. Informatycy doskonale bowiem znają przedstawione rozwiązania. Z kolei dla kierownictwa jest to treść zapisana językiem technicznym, czyli tzw. czarna magia. Trudo też za praktyczną uznać poradę stosowania 7-ZIP do szyfrowania załączników przesyłanych pocztą elektroniczną. Wartościowsze byłoby – jeśli już – określenie, jakiego rodzaju informacje powinno się w ten sposób chronić lub w jakich konkretnych wypadkach takie rozwiązanie stosować.

Podstawą prawną stosowania środków ochrony poczty elektronicznej w podmiotach realizujących zadania publiczne jest rozporządzenie KRI. Nie jest ono jednak przestrzegane, o czym informowała Najwyższa Izba Kontroli oraz Polskie Towarzystwo Informatyczne. Szkoda, że opinia GIODO nie zauważa tych analiz i nie wyciąga z nich wniosków. W efekcie powstał dokument wtórny do wydanych w czerwcu 2015 r. rekomendacji resortu cyfryzacji. Przypomnę, że KRMC zalecało w nich wdrożenie certyfikatów cyfrowych do logowania użytkowników na stacje robocze i do ochrony e-maili najpóźniej do końca 2016 . Warto zauważyć, że GIODO się do nich nie zastosowało, najwyraźniej w myśl powiedzenia, że szewc bez butów chodzi.



O serwisie