Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej


Tom X

Rekomendowane odpowiedzi

Z druku projektu wynikają pewne obowiązki hostingodawcy świadczącego usługi dla co najmniej 500 000 użytkowników poczty lub
dla podmiotów publicznych:
- DKIM, SPF, DMARC;
oraz dla podmiotów publicznych:
- uwierzytelnianie wieloskładnikowe.
Oznacza to, że każda firma hostingowa niezależenie od jej wielkości, chcąc obsługiwać podmioty publiczne musi wdrożyć powyższe funkcjonalności.
Link do projektu ustawy:

https://www.sejm.gov.pl/sejm9.nsf/agent.xsp?symbol=RPL&Id=RM-0610-14-23

Odnośnik do komentarza
Udostępnij na innych stronach

Gość Grzegorz.R

Łatwo będzie to chyba uniknąć jak będzie ktoś chciał to uniknąć to kupi serwer / vps / hosting za granicą bo będzie to obowiązek dla polskich operatorów 

Odnośnik do komentarza
Udostępnij na innych stronach

9 minut temu, Grzegorz.R napisał(a):

Łatwo będzie to chyba uniknąć jak będzie ktoś chciał to uniknąć to kupi serwer / vps / hosting za granicą bo będzie to obowiązek dla polskich operatorów 

Nie. Zapoznaj się z treścią projektu ustawy.

Odnośnik do komentarza
Udostępnij na innych stronach

Tytułem uzupełnienia dodam:
- podmiot publiczny będzie obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy SPF, DMARC, DKIM - 3-miesięczny vacatio legis;

- podmiot publiczny będzie obowiązany do korzystania z usługodawcy poczty elektronicznej, który świadczy usługę uwierzytelniania wieloskładnikowego (bez obowiązku korzystania z tej funkcjonalności) - 6-miesięczny vacatio legis.

Odnośnik do komentarza
Udostępnij na innych stronach

50 minut temu, Kapitan_Bomba napisał(a):

Ciekawe czy 2fa wystarczy, że będzie na webmailu czy musi być też po imap/pop3/smtp?

Ściśle tego ustawodawca nie określa. 2fa musi być w specyfikacji usługi poczty świadczonej podmiotowi publicznemu. Podejrzewam, że webmail będzie wystarczający.

Odnośnik do komentarza
Udostępnij na innych stronach

18 minut temu, Tom X napisał(a):

Podejrzewam, że webmail będzie wystarczający.

 

Nie zgodzę się. W art. 2 ustawy czytamy:

 

Cytat

 

poczta elektroniczna – usługę komunikacji interpersonalnej niewykorzystującą numerów, która umożliwia przekazywanie komunikatu z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;

 

 

 

 

Interesujące nas tutaj przepisy art. 17 odnoszą się do dostawcy "poczty elektronicznej". Z tego względu zabezpieczenie za pomocą uwierzytelniania wieloskładnikowego czyli np. 2FA wyłącznie webmaila, w ujęciu tej ustawy, stanowi zwykły ozdobnik, a nie formę ochrony. Jeżeli usługodawca a) umożliwia dostęp do poczty przez IMAP4/POP3 i b) ten dostęp IMAP4/POP3 nie jest w żaden sposób blokowany, nie można mówić o tym, że ochrona w postaci uwierzytelniania wieloskładnikowego jest spełniona. 

 

O ile w definicjach w art. 2 projektu ustawy nie ma wyjaśnionego, czym jest uwierzytelnianie wieloskładnikowe, to jednak jest to opisane jest w uzasadnieniu do projektu ustawy, a w takich sytuacjach właśnie uzasadnienie stanowi formę wykładni dla podmiotów stosujących prawo (tu np. prezesa UKE):

 

Cytat

 

Wyróżnia się trzy rodzaje składników uwierzytelniania:

1) coś co wiesz – np. hasło lub numer PIN;

2) coś, co posiadasz – karty inteligentne, tokeny, urządzenia kryptograficzne;

3) coś, czym jesteś – odciski palców, wizerunek, głos

 

 

Jak więc widać, gdy dostęp przez IMAP4/POP3 jest aktywny, to 2FA dla webmaila nie spełnia wymogów przyjętego projektu ustawy. 

 

 

Edytowane przez itomek
Odnośnik do komentarza
Udostępnij na innych stronach

Sek w tym, że ustawodawca nie oczekuje ochrony, tylko możliwości stosowania metod 2fa:
"Przepis ten nakazuje dostawcy poczty elektronicznej dla podmiotu publicznego przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego w terminie 6 miesięcy od dnia wejścia w życie ustawy."

Odnośnik do komentarza
Udostępnij na innych stronach

Gość Grzegorz.R

Zgodnie z rządową propozycją, podmioty publiczne "będą obowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy uwierzytelniania SPF, DKIM oraz DMARC".

Ta ustawa jest po to aby zmniejszyć ilość phishingów i zabezpieczyć konta służbowe które często mają takie same hasła. Na phishing są narażeni z uwagi na czynione funkcje 

Dzięki temu zmniejszy się liczba oszustw 

Odnośnik do komentarza
Udostępnij na innych stronach

17 minut temu, Tom X napisał(a):

"Przepis ten nakazuje dostawcy poczty elektronicznej dla podmiotu publicznego przedstawienie oferty poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego w terminie 6 miesięcy od dnia wejścia w życie ustawy."

 

Czytając art. 17 ust. 6 dowiadujemy się, że na dostawcę usług poczty elektronicznej dla podmiotów publicznych nakłada się obowiązek oferowania poczty elektronicznej z możliwością stosowania metod uwierzytelniania wieloskładnikowego. Nie rozpatrujemy tutaj, czy podmiot publiczny zastosuje (i kiedy) takie rozwiązanie, to dostawca ma obowiązek je oferować i taką ofertę przedstawić podmiotowi publicznemu. Żeby jednak mówić o tym, czy oferowana forma zabezpieczenia jest w rzeczywistości uwierzytelnianiem wieloskładnikowym trzeba brać pod uwagę wszystkie zapisy ustawy oraz dodatkowo uzasadnienie. Skoro wiemy, co w myśl ustawy jest uwierzytelnianiem wieloskładnikowym, jak może być ono realizowane i co ma zabezpieczać (pocztę elektroniczną definiowaną jako SMTP, POP3 i IMAP4) to nie mamy uprawnienia zawężenie jego zakresu działania tylko webmaila, o ile dostęp przez IMAP4/POP3 nie zostanie zablokowany. 

Odnośnik do komentarza
Udostępnij na innych stronach

A jeśli zablokujemy możliwość logowania po IMAP/SMTP i zainstalujemy klientowi darmowego rainloopa (lub jego forka)? Rainloop ma w sobie 2fa. Jak dobrze rozumiem wtedy każdy hosting będzie kompatybilny. Nawet nie musimy instalować ponieważ wystarczy pokazać klientowi że jest taka możliwość/oferta.

Odnośnik do komentarza
Udostępnij na innych stronach

Teraz, Kapitan_Bomba napisał(a):

@Tweedlex roundcube też ma plugin, choć nie wiem czy aktualny. Ale generalnie tak, wystarczy na firewallu wyciąć porty imap/stmp/pop3 i masz pocztę w 100% po 2fa.
Tylko musisz do tego postawić tak naprawdę osobny serwer + pytanie czy klient się na to zgodzi :)

Wiem że roundcube ma 2fa ale dużo firm hostingowych nie ma go doinstalowanego (tutaj jak piszesz pewnie potrzeba by najlepiej oddzielną instancję). Dlatego może wystarczy prosty poradnik na wiki pokazujący klientowi z instytucji publicznej że jest możliwość posiadania poczty 2fa instalując rainloopa. Tak może da się rozwiązać problem w 10 sekund. Rainloop z uwagi że jest skryptem w php to da się go postawić na każdym koncie hostingowym.

 

Wiele firm hostingowych pozwala zablokować logowanie po IMAP/SMTP więc teoretycznie nie ma z tym problemu.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli masz możliwość zablokowania imap/smtp + ich webmail (ja takich firm nie kojarzę) oraz możliwość instalacji własnego webmaila (do tego będziesz potrzebować rozszerzenia imap, też nie wszędzie dostępnego), to tak, powinno się udać. Jeśli nie, musisz mieć swój serwer i najprościej wyciąć te porty na iptables.

Odnośnik do komentarza
Udostępnij na innych stronach

Webmaila Roundcube też można postawić na zwykłym shared-hostingu, ponieważ jest napisany w php. Wtyczkę do RC mógłby dodać również hostingodawca oferujący RC w standardzie + możliwość blokady portów z poziomu panelu administracyjnego.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 miesiące temu...

Edit:
Ustawa jest już po głosowaniach w sejmie, zaakceptowana znakomitą większością głosów. 12-13 lipca trafi pod obrady senatu, gdzie na 99,9% zostanie przegłosowana. Późnej już tylko podpis prezydenta, 30 dni vacatio legis i myślę że najpóźniej z początkiem września zacznie obowiązywać w zakresie powyższym.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.