Część samorządów czeka na wdrożenie narzuconych ustawowo mechanizmów uwierzytelniania przez zewnętrzne firmy, z którymi są związane umowami. W pozostałych przypadkach kierownicy jednostek muszą się liczyć z karami.

Nowe obowiązki w zakresie stosowania mechanizmów uwierzytelniania poczty elektronicznej (potwierdzania tożsamości nadawcy) nałożyła na podmioty publiczne oraz dostawców tej usługi dla co najmniej 500 tys. użytkowników ustawa z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. poz. 1703).

Ministerstwo Cyfryzacji określiło trzy konkretne mechanizmy, które instytucje, w tym samorządy, powinny co do zasady stosować od 25 września br. Są to: SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). W uzasadnieniu do ustawy resort argumentował, że to powszechnie znane i skuteczne mechanizmy – stosowane częściowo m.in. przez Departament Bezpieczeństwa Narodowego USA – które pozwolą na zmniejszenie liczby incydentów związanych z phishingiem (oszustwo polegające na podszywaniu się pod inne osoby lub instytucje w celu wyłudzenia poufnych informacji – red.). W niektórych samorządach mechanizmy te stosowane są od lat, w innych dotrzymano ustawowego terminu, ale są i takie, które nie zabezpieczyły jeszcze poczty w pełni.

Nie wszędzie się udało

W Białymstoku SPF działa już od 2012 r., DKIM od 2017 r., a DMARC wdrożono rok temu. Gdańskie Centrum Informatyczne obsługujące osiem gminnych jednostek, w tym urząd miasta, wprowadziło zabezpieczenia w 2018 r. W tym samym roku SPF wdrożono w Łodzi, a od 24 września br. pozostałe dwa mechanizmy. – Poczta jest jednym z pierwszych obszarów, który ujednolica się w ramach integracji różnych jednostek w centrach usług wspólnych, ponieważ jest to potencjalnie największy problem w zarządzaniu infrastrukturą i tam jest największe ryzyko bezpieczeństwa. W dużych miastach informatyka i cyberbezpieczeństwo są na wysokim poziomie. Problemy mogą mieć jednostki organizacyjne, które nie są objęte wspólną infrastrukturą i są samodzielne w tym zakresie – komentuje Sylwester Szczepaniak, koordynator ds. społeczeństwa informacyjnego i smart city Unii Metropolii Polskich. Zabezpieczoną pocztą elektroniczną może też pochwalić się Kobylnica (woj. pomorskie), gdzie uwierzytelnianie zostało dostosowane do wymogów ustawowych w sierpniu br.

Nie wszędzie dostosowano się w pełni do nowych obowiązków. Problemów spodziewano się głównie w mniejszych gminach, ale również nie wszystkie duże miasta zdążyły z wdrożeniem przepisów. W Poznaniu jak na razie działa SPF i DMARC. – Mechanizm uwierzytelniania DKIM nie został jeszcze wdrożony, ponieważ Urząd Miasta Poznania kończy migrację serwerów poczty do wersji umożliwiającej zastosowanie tego mechanizmu. Proces migracji będzie realizowany do grudnia br. i wtedy zostanie wdrożona metoda uwierzytelniania DKIM – tłumaczy Katarzyna Joanna Sobkowiak, zastępca dyrektora Biura Cyfryzacji i Cyberbezpieczeństwa Urzędu Miasta Poznania. Podobnie jest w Krakowie, gdzie DKIM i DMARC zaczną działać jeszcze w tym miesiącu. W gminie Korycin (woj. podlaskie) te dwa mechanizmy zostaną uruchomione w listopadzie.

Kary, ale nie dla wszystkich

Ustawa daje uprawnienia kontrolne w zakresie stosowania nowych mechanizmów uwierzytelniania poczty elektronicznej prezesowi Urzędu Komunikacji Elektronicznej. W przypadku niewykonania obowiązku wdrożenia SPF, DMARC i DKIM na kierownika podmiotu publicznego może zostać nałożona kara w wysokości odpowiadającej maksymalnie kwocie przeciętnego wynagrodzenia.

Nie zawsze jednak gmina ma bezpośredni wpływ na to, czy te zabezpieczenia zostały wdrożone, na co od początku prac nad ustawą zwracały uwagę samorządy. – Jeżeli gmina jest samodzielnym dostawcą oprogramowania poczty elektronicznej, to obowiązek jak najbardziej powinien zostać spełniony. Jeżeli jednak samorząd ma zobowiązanie umowne i zewnętrznego dostawcę tego rodzaju narzędzi, wtedy to dostawcy powinni się dostosować. Warto, by gminy jako klienci przypominali im o tym – mówi Sylwester Szczepaniak.

Do takiej sytuacji odnosi się art. 40 ustawy, który nakazuje dostawcom poczty elektronicznej dla podmiotów publicznych wdrożyć odpowiednie mechanizmy w terminie trzech miesięcy od wejścia w życie nowych przepisów, a więc liczone od 25 września br. Taka sytuacja jest m.in. w gminie Łabiszyn (woj. kujawsko-pomorskie) czy we Wrocławiu. – Posiadamy odpowiednie rekordy SPF identyfikujące nasze serwery pocztowe, natomiast nie mamy jeszcze wdrożonego mechanizmu DKIM i DMARC. Czekamy na rozwiązanie producenta oprogramowania, z którego korzystamy, aby zabezpieczyć serwery pocztowe w tym zakresie – informują miejscy urzędnicy. Jeśli firma nie wywiąże się z obowiązku w ustawowym terminie, wtedy podmiot publiczny może jednostronnie zerwać umowę, a dostawcy poczty nie będą z tego tyłu przysługiwać roszczenia.

Można sprawdzić zabezpieczenia

Każda instytucja czy firma, która chce sprawdzić poziom wdrożenia zabezpieczeń swoich serwerów pocztowych, może skorzystać z serwisu Bezpiecznapoczta.cert.pl, udostępnionego przez CERT Polska (zespół działający w strukturach NASK – Państwowego Instytutu Badawczego). Wystarczy wysłać wiadomość na specjalny adres lub podać domenę (w tym drugim przypadku sprawdzane są tylko mechanizmy SPF i DMARC). – Przeskanowano ponad 10,7 tys. domen, ok. 40 proc. z tej grupy stanowią podmioty publiczne – informuje CERT. Sam zespół przeskanował natomiast ok. 33,5 tys. domen i adresów IP, z czego 86 proc. instytucji ma poprawnie ustawiony mechanizm SPF. W przypadku DMARC i DKIM wyniki są nieco słabsze i wynoszą odpowiednio 50 proc. i 75 proc.©℗

ikona lupy />
Coraz więcej cyberataków / Dziennik Gazeta Prawna - wydanie cyfrowe