IT oddělení provozující poštovní služby pro své organizace by měla věnovat pozornost aktuálnímu opatření, především, pokud spadají pod ZoKB.
Příběh začíná u organizací, které spadají pod regulaci Zákona o kybernetické bezpečnosti a spravují či provozují informační systém, který je klíčový pro fungování státu a bezpečí jeho obyvatel. Pro tyto organizace Národní úřad pro kybernetickou a informační bezpečnost vydává ochranné opatření, které určuje ochranné technologie, které tyto subjekty musí zavést a také do kdy tak musí učinit.
Podrobné znění najdete na stránkách NÚKIB i s doplňujícími osvětleními i metodikami.
Z podstaty věci se primárně jedná o systémy související s doručováním, odesíláním a přístupem k elektronické poště. Z našeho kontextu tedy Exchange Online či Exchange Server, ale též další systémy, které pracují se SMTP komunikací.
V zásadě se nejedná, doufejme, pro většinu z vás o žádné technické novinky. Jde o technologie jako například:
- Šifrované SMTP spojení dle STARTTLS
- Využití TLS 1.2 a novějších
- Ochrana pomocí SPF záznamů
- Podpora pro DKIM ochranu předávaných zpráv
- Kontrola a využití DMARC záznamů pro ověření SPF a DKIM
- Použití jen bezpečných mechanismů SMTPS, IMAPS, POP3S, pokud jsou potřeba
- Přístup jen po HTTPS společně s HSTS
- Využití certifikátů od důvěryhodných certifikačních autorit
- Ochrana DNS záznamů pomocí technologie DNSSEC
- Zveřejnění TLSA záznamů pomocí DANE protokolu
- Šifrování pomocí odolných a bezpečných algoritmů
Určitě je tedy záhodno si ověřit, zda pod tuto regulaci nespadáte. Pokud nikoliv, i tak se jedná o technologie, které značně zvýší bezpečnost vaší e-mailové komunikace všemi směry.
Jejich podpora je v různých verzích lokálních Exchange serverů různá, souvisí třeba i s verzí Windows Server, na kterém jsou provozovány. Podpora v Microsoft 365 cloudových službách je téměř kompletní, zbývající technologie jsou již na výhledu pro příští rok. Ale je zapotřebí jejich korektní nastavení.
Pokud po pročtení tohoto opatření nebudete moudří, je ideální čas obrátit se na zkušené partnery společnosti Microsoft, které vás tímto procesem mohou efektivně provést. A třeba vyřešit i další výzvy, jako opuštění dnes již nebezpečné Basic (Forms) autentizace a přechod na moderní autentizaci podporující plně MFA (ověřování druhým faktorem).
Nasazení jednotlivých technologií, ale může mít negativní dopad na tok pošty, pokud je technicky či procesně proveden špatně, nebo komunikujete s organizacemi, které nepodporují většinu z nich.
Proto by uvedená opatření neměla přehlížet ani organizace, u které příběh pokračuje a která pod danou regulaci nespadá. A to nejen z důvodů, pokud si chce v dalších letech vyměňovat elektronickou komunikaci právě s organizacemi pod ni spadající. Ale především z důvodu vlastní bezpečnosti v digitálním světě.
Aktualizace: Ke konci roku 2024 společnost Microsoft oznámila dostupnost a podporu několika málo chybějících technologií. Zákazníci služeb Exchange Online (Office 365 a Microsoft 365) mohou být tedy při správném nastavení plně v souladu s tímto opatřením.