Standardy bezpieczeństwa e-mail w kancelariach prawnych

E-maile są nieodłączną częścią codziennej działalności kancelarii i działów prawnych. Często wymieniane są wrażliwe i poufne informacje. Tym ważniejsze jest podjęcie odpowiednich środków technicznych w celu zapewnienia bezpieczeństwa i poufności komunikacji.

Problem niskiego rozpowszechnienia szyfrowania end-to-end (E2E) poprzez SMIME lub PGP jest znany. Chęć komunikowania się z klientami (przede wszystkim osobami prywatnymi) w sposób zaszyfrowany E2E zazwyczaj kończy się niepowodzeniem ze względu na zwykłą trudność w realizacji.

Wymogi prawne dla adwokatury w zakresie komunikacji przez e-mail

Adwokaci są zawodowymi powiernikami tajemnic. Nie tylko ze względu na tę właściwość mają szczególny obowiązek dbać o to, aby treści komunikacji między nimi a klientem pozostały poufne.

Wytyczne Konferencji niezależnych organów nadzorczych ds. ochrony danych federacji i krajów związkowych z 27 maja 2021 roku rozróżniają między obowiązkami przy normalnym ryzyku a obowiązkami przy wysokim ryzyku. W zależności od tego szyfrowanie transportowe może być wystarczającą ochroną lub konieczne jest kwalifikowane szyfrowanie transportowe, a w razie potrzeby szyfrowanie E2E.

Ponieważ istnienie tajemnicy zawodowej może stanowić oznakę wysokiego ryzyka, zawodowi powiernicy tajemnic muszą szczególnie dokładnie ocenić poziom danego ryzyka.

Kwalifikowane szyfrowanie transportowe powinno być używane standardowo

Obecnie praktycznie nie ma już usług e-mail, w których nie byłoby aktywowane szyfrowanie transportowe. Oznacza to, że przy normalnym ryzyku można w większości przypadków założyć, że komunikacja z klientem jest zgodna z przepisami o ochronie danych. Niemniej jednak pozostaje wysokie ryzyko w poszczególnych przypadkach: Czy zaświadczenie o niezdolności do pracy w sprawie z zakresu prawa pracy mogło być teraz również odbierane lub wysyłane przez e-mail w ramach normalnej komunikacji?

W tym kontekście zaleca się, aby każda kancelaria w każdym przypadku stworzyła techniczne warunki dla kwalifikowanego szyfrowania transportowego.

Kwalifikowane szyfrowanie transportowe według BSI TR-03108

BSI w Wytycznych Technicznych TR-03108 określa wymogi dotyczące bezpiecznej komunikacji e-mail i definiuje stan wiedzy technicznej. Część środków bezpieczeństwa musi być zapewniana lub wdrażana przez dostawców usług e-mail. Jednak dla prawidłowego funkcjonowania i wzajemnego działania różnych protokołów bezpieczeństwa konieczne jest dostosowanie wpisów DNS specyficznych dla domeny.

Nakład pracy związany z kwalifikowanym szyfrowaniem transportowym występuje tylko raz

Biorąc pod uwagę, że kwalifikowane szyfrowanie transportowe musi być skonfigurowane przez kancelariję tylko raz, a następnie bez dalszej interakcji zapewnia znacznie wyższy poziom ochrony w ruchu e-mail, zaskakujące jest, że tylko około 4 procent kancelarii w Niemczech go aktywowało.

W wielu przypadkach administratorzy kancelarii mogliby przeprowadzić konfigurację bez dodatkowych kosztów i bez przestojów.

Badanie: Rozpowszechnienie technologii bezpieczeństwa poczty w adwokaturze

Autorzy przed przygotowaniem tego artykułu pobrali około 25 000 rekordów danych z bazy danych Ogólnokrajowego Urzędowego Rejestru Adwokatów Bundesrechtsanwaltskammer i poddali analizie zawarte w nich adresy e-mail. Przy tym pobrano wpisy specyficzne dla e-mail z serwerów domen dla domen przypisanych do adresów e-mail i przeanalizowano (nieinwazyjnie) zidentyfikowane serwery e-mail.

Pozyskiwanie danych poprzez usługę wyszukiwania Bundesrechtsanwaltskammer

W Niemczech zarejestrowanych jest około 165 800 adwokatów i adwokatek, którzy są dostępni poprzez usługę wyszukiwania BRAK. Strona internetowa Ogólnokrajowego Urzędowego Rejestru Adwokatów oferuje możliwość wyświetlenia dla każdego z 29 okręgów izby wszystkich zarejestrowanych adwokatów i adwokatek. Są one wyświetlane w grupach po sześć wpisów na stronę. Metodą web scrapingu pobraliśmy i zapisaliśmy dla każdego okręgu izby adresy e-mail wszystkich sześciu wymienionych osób na każdej piątej stronie rejestru adwokatów. W ten sposób objęto około 20% zarejestrowanych w Niemczech adwokatów i adwokatek.

Nie dla każdego wpisu można było uzyskać adres e-mail. Bardzo wiele osób zapisanych w rejestrze używa tej samej domeny w swoim e-mailu. Albo dlatego, że nie mają własnej domeny i korzystają z serwera e-mail np. T-Online, albo dlatego, że jako członkowie dużej kancelarii jak np. Fresh*** podali adres e-mail "@fresh***.com".

Po oczyszczeniu uzyskanych danych z błędów i duplikatów można było wygenerować łączną liczbę 12 105 różnych domen e-mail z danych. Domena e-mail oznacza tutaj część adresu e-mail po znaku "@", np. "t-online.de" dla "ra-schmidt2341@t-online.de".

Analiza zaimplementowanych protokołów bezpieczeństwa na domenę e-mail

Protokoły bezpieczeństwa przedstawione w dalszej części artykułu można sprawdzić dla danej domeny e-mail poprzez ukierunkowane zapytania do serwera DNS oraz próby połączenia z serwerem pocztowym zapisanym we wpisie DNS.

W tym celu używane jest narzędzie Linux "dig", a także oprogramowanie open-source mecsa-st opublikowane przez Komisję Europejską w ramach badania z 2020 roku. (Link do narzędzia na GitHub)

Każda z 12 105 domen została następnie zbadana za pomocą obu narzędzi, a wyniki zostały zapisane tymczasowo do dalszych analiz.

Ze względu na charakter badania można było zbadać tylko części protokołów bezpieczeństwa. Dla pełnej analizy prawidłowej implementacji poszczególnych protokołów bezpieczeństwa konieczna byłaby faktycznie przeprowadzona komunikacja przez e-mail z badanym serwerem pocztowym. Analiza ogranicza się zatem do obecności wpisów DNS rozpoznawalnych "z zewnątrz", które następnie pozwalają wnioskować o (prawidłowej) implementacji na serwerze pocztowym.

W odniesieniu do TLS należy dodać, że analiza obejmuje jedynie to, czy serwer pocztowy obsługuje TLS, a nie to, czy odbiera lub wysyła obowiązkowo tylko przez TLS.

Czyszczenie i ocena wyników analizy

Wyniki analizy 12 105 zapytanych domen wymagały przed oceną kilku kroków czyszczenia. Okazało się po analizie, że niektóre często zapytywane serwery pocztowe najwyraźniej zwracały negatywny wynik dla testu STARTTLS, chociaż obsługują STARTTLS. Można to przypisać temu, że przeprowadzona przez autorów analiza przekroczyła limit zapytań na czas na odpowiednich serwerach.

Te niespójności w danych można było usunąć poprzez ręczne kontrole następcze.

Wyniki analizy: Rozpowszechnienie protokołów bezpieczeństwa

Badanie przeprowadzone przez autorów ujawnia w zasadzie pozytywny obraz:

Z 11 546 domen do oceny po korekcie błędów, 11 436 używanych serwerów e-mail wdrożyło TLS z ważnymi certyfikatami (ponad 99%). (W tym miejscu należy zauważyć, że nie można z tego pewnie wnioskować, że pozostałe w ogóle nie wdrożyły TLS. Mogą istnieć różne powody, dla których test daje fałszywie negatywne wyniki w przypadku pojedynczych połączeń.)

Większość wdrożyła również ważne protokoły DKIM i SPF. Co ciekawe, odpowiadający wpis DMARC jest ustawiony tylko w niespełna jednej czwartej testowanych domen z wartością "quarantine" lub "reject". Jest to zaskakujące, ponieważ jest on bezpośrednio oparty na DKIM i SPF i nie oznacza dodatkowego nakładu pracy wdrożeniowej dla danego adwokata lub kancelarii.

Zdecydowanie w tyle znajdują się jednak DANE i DNSSEC. Istnieje kilku dostawców, którzy już standardowo wdrażają te protokoły bezpieczeństwa. Jeśli kancelaria lub adwokat lub adwokatka korzysta z tej usługi bezpośrednio (czyli bez własnej domeny), natychmiast z tego korzysta.

Wdrożenie dla kancelarii

Większość kancelarii i działów prawnych nie prowadzi własnych serwerów pocztowych, ale korzysta z usług dostawców zewnętrznych, takich jak Microsoft 365 lub Google Workspace. Niemniej jednak zazwyczaj mają własną domenę.

Aby móc korzystać ze środków takich jak SPF, DKIM, DMARC lub DANE, należy utworzyć i wprowadzić wymagane wpisy DNS dla własnej domeny. Rzeczywiste kontrole i działania są następnie wykonywane przez serwery pocztowe dostawców usług. W istocie chodzi o ustawienia, które należy wykonać tylko raz.

TLS jest już standardem we wszystkich popularnych serwerach pocztowych i zazwyczaj nie wymaga żadnych działań ze strony kancelarii. Obserwowana, praktycznie pełna implementacja tego standardu nie jest zatem zaskakująca.

Przy tym niezbędne ustawienia mogą być wprowadzane przez administratorów (lub biegłych adwokatów i adwokatek) do systemu DNS własnej domeny.

DANE i DNSSEC są już obsługiwane przez wielu rejestratorów domen. Jednak implementacja jest różna: Niektórzy dostawcy oferują wygodną aktywację za naciśnięciem przycisku i automatycznie dokonują niezbędnych ustawień. Inni wymagają bardziej złożonej konfiguracji do przeprowadzenia przez administratora kancelarii.

Aby móc wdrożyć DANE, po aktywacji DNSSEC należy ustawić tzw. rekordy TLSA. Nie mamy pełnego przeglądu rynku, ale musieliśmy z własnego (bolesnego) doświadczenia stwierdzić, że na przykład Microsoft ze swoją ofertą serwera pocztowego (Exchange 365) nie może łatwo zapewnić niezbędnych informacji:

W kontekście tego, że Wytyczne Techniczne BSI-TR-03108 uznają wdrożenie DANE za niezbędne dla bezpiecznego ruchu e-mail, kancelarie będą musiały w razie potrzeby przyjrzeć się obsługiwanym aspektom bezpieczeństwa dostawców usług pocztowych.

Podsumowanie

Bezpieczeństwo e-mail jest ważnym tematem dla każdej kancelarii. Środki takie jak TLS, SPF, DKIM i DMARC mogą być wdrożone przy rozsądnym nakładzie pracy i oferują skuteczną ochronę przed wieloma zagrożeniami. DANE i DNSSEC są prawnie już dzisiaj niezbędne, jednak biorąc pod uwagę ich rozpowszechnienie i przeszkody we wdrożeniu, można je obecnie określić jako obiecujące.

Platforma MaraDocs Upload

Jako uzupełnienie naszego obecnego produktu MaraDocs aktywnie rozwijamy platformę przesyłania, aby umożliwić wymianę plików między kancelariami a klientami. Platforma zapewni, że pliki wymieniane między kancelariami a klientami będą poufne i bezpieczne.

Bądźcie z nami na bieżąco i zapiszcie się do naszego newslettera.