Analiza ryzyka bezpieczeństwa poczty elektronicznej

I. Kontekst

Od stycznia 2023 roku w celu przeciwdziałania spoofingowi i smishingowi, podmioty publiczne są zobowiązane do korzystania z poczty elektronicznej stosującej mechanizmy SPF, DKIM oraz DMARC weryfikujące nadawcę wiadomości. Wymóg ten został wprowadzony ustawą z dnia 5 lipca 2018 roku (Dz.U. 2018 poz. 1409) o zwalczaniu nadużyć w komunikacji elektronicznej. Jak czytamy na stronie: https://www.gov.pl/web/cyfryzacja/bezpieczna-poczta-w-administracji-publicznej,

Powyższe skróty oznaczają:

● SPF - (ang. Sender Policy Framework) - mechanizm bezpieczeństwa poczty elektronicznej, chroniący przed podszywaniem się pod nadawcę wiadomości e-mail;

● DMARC - (ang. Domain-based Message Authentication, Reporting and Conformance) - protokół uwierzytelniania wiadomości e-mail. Został zaprojektowany, aby dać właścicielom domen poczty e-mail możliwość ochrony ich domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail;

● DKIM - (ang. Domain Keys Identified Mail) - metoda uwierzytelniania wiadomości e-mail, która pozwala nadawcom zapobiegać zmianie treści wiadomości podczas procesu dostarczania.

Jednocześnie dostawca poczty elektronicznej dla podmiotu publicznego musi oferować możliwość stosowania metod uwierzytelniania wieloskładnikowego. Nie oznacza to jednak, że podmiot publiczny musi korzystać z tej metody uwierzytelniania. Jednak w czasach tak zaawansowanego postępu technicznego i idącego wraz z nimi rozwojem technik cyberataku zaleca się, aby podmioty publiczne przykładały ogromną wagę do cyberbezpieczeństwa w jednostce. Ministerstwo Cyfryzacji posiada duże bazy danych, wiedzę o obywatelach Janie Kowalskim, przetwarza dane zwykłe jak i dane szczególnej kategorii, a e-mail jest jedną z najpopularniejszych form komunikacji internetowej. Służy często, jako identyfikator, którego używamy w trakcie logowania do różnych serwisów online. Dlatego komunikując się z Janem Kowalskim, Ministerstwem Cyfryzacji, odpowiadając na ich pytania, należy zawsze zweryfikować czy nasza odpowiedź idzie do uprawnionego adresata.

W takim rozumieniu podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 lit. e RODO, co oznacza, że Administrator Danych Osobowych przetwarza dane w celu wykonania zadania realizowanego w interesie publicznym.

II. Cel

Brak odpowiedniego zabezpieczenia poczty elektronicznej daje cyberprzestępcom możliwość wysyłania fałszywych wiadomości, w których mogą oni podszyć się pod dowolnego nadawcę z domeny tego podmiotu. Celem poniższej analizy jest sprawdzenie czy komunikacja z Janem Kowalskim, Ministerstwem Cyfryzacji, innymi jednostkami podległymi pod Ministerstwo Cyfryzacji poprzez e-mail jest chroniona przed cyberatakami.

III. Analiza ryzyka – metodyka

Ministerstwa coraz częściej narażone są na cyberataki, próby wyłudzenia danych, phishing. Przeprowadzenie analizy ryzyka i wdrożenie odpowiednich środków zaradczych jest kluczowe dla zapewnienia zgodności z przepisami prawa oraz ochrony prywatności osób korespondujących z urzędem. Do oszacowania ryzyka zgodnie z art. 35 RODO wykorzystana będzie macierz opracowana i przygotowany przez Ministerstwo Cyfryzacji:

Poziom ryzyka (Istotność) określana jest według wzoru:

Istotność = Prawdopodobieństwo x Skutek

Zagrożony atrybut: Poziom Środki techniczne i organizacyjne Decyzja dotycząca ryzyka

Zagrożenie (źródło ryzyka) Prawdopodobieństwo Skutki wystąpienia ryzyka Skutki istotności ryzyka redukujące ryzyko

Nieautoryzowany dostęp do kont pocztowych Poufność/Dostępność/Rozliczalność • Nieuprawnione osoby mogą uzyskać dostęp do danych osobowych zawartych w wiadomościach e-mail, co prowadzi do naruszenia prywatności • Kradzież tożsamości, dane mogą być wykorzystane do podszywania się pod pracowników lub obywateli • Naruszenia bezpieczeństwa mogą prowadzić do utraty zaufania obywateli do Ministerstwa Cyfryzacji 3 3 wysoki • Szkolenia pracowników z cyberbezpieczeństwa • Polityka nadawania haseł i regulamin korzystania z poczty elektronicznej • Wyznaczenie Administratora systemów informatycznych • Dwuskładnikowa autoryzacja (2FA) • Polityka zarządzania dostępem • Systemy monitorujące logowania i inne działania użytkowników na kontach pocztowych • Oprogramowanie antywirusowe i antyphishingowe • wyeliminowane • zredukowane • zaakceptowane

Awaria serwera, błąd oprogramowania Integralność/Dostępność • Trwała utrata danych osobowych może skutkować brakiem możliwości realizacji usług dla obywateli • Opóźnienia w realizacji zadań administracyjnych • Koszty odzyskiwania danych 2 4 wysoki • Regularne kopie zapasowe danych • Redundancja serwerów i bazy danych • Stałe monitorowanie infrastruktury IT i automatyczne powiadamianie o awariach • Opracowanie i regularne testowanie planów awaryjnych i procedur odzyskiwania danych • Regularne szkolenia dla personelu IT w zakresie zarządzania awariami i odzyskiwania danych • Przechowywanie kopii zapasowych w różnych lokalizacjach, w tym w chmurze • wyeliminowane • zredukowane • zaakceptowane

Ataki złośliwego oprogramowania (malware, ransomware) Poufność/Integralność/Dostępność/Rozliczalność • Zablokowanie dostępu do danych • Utrata danych • Koszty odzyskania danych • Koszty usunięcia złośliwego oprogramowania 3 3 wysoki • Polityka bezpieczeństwa IT (Instrukcja zarządzania systemem informatycznym) • Edukacja dotycząca rozpoznawania złośliwego oprogramowania i bezpiecznego otwierania załączników • Polityka reagowania na incydenty • Regularnie aktualizowane narzędzia do wykrywania i usuwania złośliwego oprogramowania • Systemy do filtrowania załączników i linków w wiadomościach e-mail • Możliwość szybkiej izolacji zainfekowanych systemów od sieci w celu zapobieżenia rozprzestrzenianiu się malware • DLP (Data Loss Prevention) - narzędzia do wykrywania i zapobiegania wyciekom danych • wyeliminowane • zredukowane • zaakceptowane

Nieświadome udostępnianie danych, kradzież danych przez pracowników Poufność/Rozliczalność • Naruszenie przepisów RODO może prowadzić do skarg i potencjalnych sankcji • Nieświadome naruszenia RODO • Kary finansowe nałożone przez Prezesa UODO • Dane mogą być wykorzystane do szantażu lub innych przestępczych działań 2 3 średni • Jasne zasady dotyczące przetwarzania i udostępniania danych osobowych • Regularne szkolenia pracowników na temat RODO i wewnętrznych polityk ochrony danych • Systemy zarządzania dostępem do danych osobowych na podstawie ról i uprawnień • Systemy monitorujące działania pracowników w systemach IT oraz regularne audyty bezpieczeństwa • Szyfrowanie danych osobowych przechowywanych na serwerach i w bazach danych • DLP (Data Loss Prevention) - narzędzia do wykrywania i zapobiegania wyciekom danych • wyeliminowane • zredukowane • zaakceptowane

Brak szyfrowania danych podczas przesyłania Poufność/Integralność • Brak szyfrowania może umożliwić przechwycenie danych osobowych podczas przesyłania • Dane mogą zostać zmienione podczas przesyłania bez odpowiedniego zabezpieczenia • Utrata poufności komunikacji • Koszty związane z zabezpieczeniem systemu po incydencie oraz potencjalne odszkodowania 3 4 wysoki • Wdrożenie szyfrowania SSL/TLS dla poczty elektronicznej • Edukacja na temat bezpiecznych praktyk przesyłania danych i korzystania z VPN • Regularne audyty w celu sprawdzenia zgodności z politykami bezpieczeństwa • Wymóg korzystania z VPN do zdalnego dostępu do systemów pocztowych • Stosowanie bezpiecznych protokołów komunikacyjnych, takich jak S/MIME dla e-maili • wyeliminowane • zredukowane • zaakceptowane

Analiza ryzyka dla ochrony danych osobowych w poczcie elektronicznej z domeną gov.pl wykazała, że kluczowym elementem skutecznej ochrony jest zintegrowane podejście obejmujące:

1. środki organizacyjne,

2. środki techniczne.

Należy zwrócić uwagę, że w celu skutecznego zmniejszenia ryzyka należy w szczególności:

1. regularnie szkolić pracowników, pod względem cyberbezpieczeństwa;

2. wdrożyć w urzędzie procedurę odzyskiwania danych;

3. wykorzystywać narzędzia DLP (Data Loss Prevention).

Zrealizowanie powyższego zmniejsza ryzyko do poziomu akceptowalnego.