Rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

[Tom X]

Z druku projektu wynikają pewne obowiązki hostingodawcy świadczącego usługi dla co najmniej 500 000 użytkowników poczty lub
dla podmiotów publicznych:
- DKIM, SPF, DMARC;
oraz dla podmiotów publicznych:
- uwierzytelnianie wieloskładnikowe.
Oznacza to, że każda firma hostingowa niezależenie od jej wielkości, chcąc obsługiwać podmioty publiczne musi wdrożyć powyższe funkcjonalności.
Link do projektu ustawy:

https://www.sejm.gov.pl/sejm9.nsf/agent.xsp?symbol=RPL&Id=RM-0610-14-23

[Gość Grzegorz.R]

Łatwo będzie to chyba uniknąć jak będzie ktoś chciał to uniknąć to kupi serwer / vps / hosting za granicą bo będzie to obowiązek dla polskich operatorów 

[Tom X]

9 minut temu, Grzegorz.R napisał(a):

Łatwo będzie to chyba uniknąć jak będzie ktoś chciał to uniknąć to kupi serwer / vps / hosting za granicą bo będzie to obowiązek dla polskich operatorów 

Nie. Zapoznaj się z treścią projektu ustawy.

[Gość Grzegorz.R]

9 minut temu, Tom X napisał(a):

Nie. Zapoznaj się z treścią projektu ustawy.

Masz rację teraz doczytałem

[Tom X]

Tytułem uzupełnienia dodam:
- podmiot publiczny będzie obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy SPF, DMARC, DKIM - 3-miesięczny vacatio legis;

- podmiot publiczny będzie obowiązany do korzystania z usługodawcy poczty elektronicznej, który świadczy usługę uwierzytelniania wieloskładnikowego (bez obowiązku korzystania z tej funkcjonalności) - 6-miesięczny vacatio legis.

[Kapitan_Bomba]

Ciekawe czy 2fa wystarczy, że będzie na webmailu czy musi być też po imap/pop3/smtp?

[Tom X]

50 minut temu, Kapitan_Bomba napisał(a):

Ciekawe czy 2fa wystarczy, że będzie na webmailu czy musi być też po imap/pop3/smtp?

Ściśle tego ustawodawca nie określa. 2fa musi być w specyfikacji usługi poczty świadczonej podmiotowi publicznemu. Podejrzewam, że webmail będzie wystarczający.

[itomek]

18 minut temu, Tom X napisał(a):

Podejrzewam, że webmail będzie wystarczający.

 

Nie zgodzę się. W art. 2 ustawy czytamy:

 

Cytat

 

poczta elektroniczna – usługę komunikacji interpersonalnej niewykorzystującą numerów, która umożliwia przekazywanie komunikatu z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;

 

 

 

 

Interesujące nas tutaj przepisy art. 17 odnoszą się do dostawcy "poczty elektronicznej". Z tego względu zabezpieczenie za pomocą uwierzytelniania wieloskładnikowego czyli np. 2FA wyłącznie webmaila, w ujęciu tej ustawy, stanowi zwykły ozdobnik, a nie formę ochrony. Jeżeli usługodawca a) umożliwia dostęp do poczty przez IMAP4/POP3 i b) ten dostęp IMAP4/POP3 nie jest w żaden sposób blokowany, nie można mówić o tym, że ochrona w postaci uwierzytelniania wieloskładnikowego jest spełniona. 

 

O ile w definicjach w art. 2 projektu ustawy nie ma wyjaśnionego, czym jest uwierzytelnianie wieloskładnikowe, to jednak jest to opisane jest w uzasadnieniu do projektu ustawy, a w takich sytuacjach właśnie uzasadnienie stanowi formę wykładni dla podmiotów stosujących prawo (tu np. prezesa UKE):

 

Cytat

 

Wyróżnia się trzy rodzaje składników uwierzytelniania:

1) coś co wiesz – np. hasło lub numer PIN;

2) coś, co posiadasz – karty inteligentne, tokeny, urządzenia kryptograficzne;

3) coś, czym jesteś – odciski palców, wizerunek, głos

 

 

Jak więc widać, gdy dostęp przez IMAP4/POP3 jest aktywny, to 2FA dla webmaila nie spełnia wymogów przyjętego projektu ustawy. 

 

 

Edytowane 3 Marca 2023 przez itomek

[Tom X]

Sek w tym, że ustawodawca nie oczekuje ochrony, tylko możliwości stosowania metod 2fa:
"Przepis ten nakazuje dostawcy poczty elektronicznej dla podmiotu publicznego przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego w terminie 6 miesięcy od dnia wejścia w życie ustawy."

[Gość Grzegorz.R]

Zgodnie z rządową propozycją, podmioty publiczne "będą obowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy uwierzytelniania SPF, DKIM oraz DMARC".

Ta ustawa jest po to aby zmniejszyć ilość phishingów i zabezpieczyć konta służbowe które często mają takie same hasła. Na phishing są narażeni z uwagi na czynione funkcje 

Dzięki temu zmniejszy się liczba oszustw 

[itomek]

17 minut temu, Tom X napisał(a):

"Przepis ten nakazuje dostawcy poczty elektronicznej dla podmiotu publicznego przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego w terminie 6 miesięcy od dnia wejścia w życie ustawy."

 

Czytając art. 17 ust. 6 dowiadujemy się, że na dostawcę usług poczty elektronicznej dla podmiotów publicznych nakłada się obowiązek oferowania poczty elektronicznej z możliwością stosowania metod uwierzytelniania wieloskładnikowego. Nie rozpatrujemy tutaj, czy podmiot publiczny zastosuje (i kiedy) takie rozwiązanie, to dostawca ma obowiązek je oferować i taką ofertę przedstawić podmiotowi publicznemu. Żeby jednak mówić o tym, czy oferowana forma zabezpieczenia jest w rzeczywistości uwierzytelnianiem wieloskładnikowym trzeba brać pod uwagę wszystkie zapisy ustawy oraz dodatkowo uzasadnienie. Skoro wiemy, co w myśl ustawy jest uwierzytelnianiem wieloskładnikowym, jak może być ono realizowane i co ma zabezpieczać (pocztę elektroniczną definiowaną jako SMTP, POP3 i IMAP4) to nie mamy uprawnienia zawężenie jego zakresu działania tylko webmaila, o ile dostęp przez IMAP4/POP3 nie zostanie zablokowany. 

[Tweedlex]

A jeśli zablokujemy możliwość logowania po IMAP/SMTP i zainstalujemy klientowi darmowego rainloopa (lub jego forka)? Rainloop ma w sobie 2fa. Jak dobrze rozumiem wtedy każdy hosting będzie kompatybilny. Nawet nie musimy instalować ponieważ wystarczy pokazać klientowi że jest taka możliwość/oferta.

[Kapitan_Bomba]

@Tweedlex roundcube też ma plugin, choć nie wiem czy aktualny. Ale generalnie tak, wystarczy na firewallu wyciąć porty imap/stmp/pop3 i masz pocztę w 100% po 2fa.
Tylko musisz do tego postawić tak naprawdę osobny serwer + pytanie czy klient się na to zgodzi

[Tweedlex]

Teraz, Kapitan_Bomba napisał(a):

@Tweedlex roundcube też ma plugin, choć nie wiem czy aktualny. Ale generalnie tak, wystarczy na firewallu wyciąć porty imap/stmp/pop3 i masz pocztę w 100% po 2fa.
Tylko musisz do tego postawić tak naprawdę osobny serwer + pytanie czy klient się na to zgodzi

Wiem że roundcube ma 2fa ale dużo firm hostingowych nie ma go doinstalowanego (tutaj jak piszesz pewnie potrzeba by najlepiej oddzielną instancję). Dlatego może wystarczy prosty poradnik na wiki pokazujący klientowi z instytucji publicznej że jest możliwość posiadania poczty 2fa instalując rainloopa. Tak może da się rozwiązać problem w 10 sekund. Rainloop z uwagi że jest skryptem w php to da się go postawić na każdym koncie hostingowym.

 

Wiele firm hostingowych pozwala zablokować logowanie po IMAP/SMTP więc teoretycznie nie ma z tym problemu.

[Kapitan_Bomba]

Jeśli masz możliwość zablokowania imap/smtp + ich webmail (ja takich firm nie kojarzę) oraz możliwość instalacji własnego webmaila (do tego będziesz potrzebować rozszerzenia imap, też nie wszędzie dostępnego), to tak, powinno się udać. Jeśli nie, musisz mieć swój serwer i najprościej wyciąć te porty na iptables.

[Tom X]

Webmaila Roundcube też można postawić na zwykłym shared-hostingu, ponieważ jest napisany w php. Wtyczkę do RC mógłby dodać również hostingodawca oferujący RC w standardzie + możliwość blokady portów z poziomu panelu administracyjnego.

[Tom X]

Edit:
Ustawa jest już po głosowaniach w sejmie, zaakceptowana znakomitą większością głosów. 12-13 lipca trafi pod obrady senatu, gdzie na 99,9% zostanie przegłosowana. Późnej już tylko podpis prezydenta, 30 dni vacatio legis i myślę że najpóźniej z początkiem września zacznie obowiązywać w zakresie powyższym.