Správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, budou muset zabezpečit své e-mailové schránky. Národní úřad pro kybernetickou a informační bezpečnost za tímto účelem dnes vydal tzv. ochranné opatření podle zákona o kybernetické bezpečnosti. Zavedení postupů uvedených v tomto opatření je pro subjekty vyjmenované v opatření povinné.
„E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení. Zavedení těchto opatření je pro většinu správců a provozovatelů systémů, které spadají pod náš zákon, povinné, ale samozřejmě je doporučujeme i těm, kteří pod naši regulaci nespadají, ale chtějí mít svou poštu v bezpečí,“ uvádí ředitel NÚKIB Karel Řehka k aktuálně vydanému ochrannému opatření dle zákona o kybernetické bezpečnosti.
Opatření se týká širokého spektra institucí, mezi které patří hlavně ministerstva, významné úřady a kraje, včetně hlavního města Prahy. Dále se může dotknout řady subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.
K vydání postupů k zabezpečení e-mailových schránek formou plošného a povinného ochranného opatření přistoupil NÚKIB z toho důvodu, že cílem je především zabezpečení komunikace mezi orgány veřejné moci navzájem, interně v rámci těchto orgánů veřejné moci, případně také mezi orgány veřejné moci a dalšími povinnými osobami ze soukromého sektoru. Pokud by tato opatření zavedla jen část subjektů, bude celá komunikace probíhat v neadekvátně zabezpečené (nešifrované) podobě nebo bude náchylná na útoky typu MITM.
Na zavedení opatření mají úřady a firmy různě dlouhé lhůty. V případě státních orgánů v závislosti na tom, zda se budou aktivně podílet na předsednictví České republiky v Radě EU v příštím roce. Státní instituce budou muset některá opatření zavést již k prvnímu lednu příštího roku, další pak k začátku předsednictví, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od prvního ledna 2023.