Coraz częściej obywatele mogą wysyłać skargi i inne pisma pocztą elektroniczną w formie załączników. Problem w tym, że również hakerzy przesyłają e-mail o treści zachęcającej do otwarcia załącznika, w którym znajduje się złośliwe oprogramowanie – szyfrujące lub wykradające dane. Problem pojawił się m. in. w UOKiK, który uruchomił specjalny adres e-mailowy do informowania o zmowach. Skąd urzędnik ma wiedzieć, który załącznik można otwierać?
– Administracja ma obowiązek odbierać korespondencję od obywatela, który podpisze swój dokument elektroniczny profilem zaufanym ePUAP – wskazuje radca prawny Maciej Gawroński – Z punktu widzenia prawa urząd musi obywatelowi zaufać na tyle, żeby podjąć próbę otwarcia przesłanego dokumentu elektronicznego. Nie może jednak ufać obywatelowi do tego stopnia, by nie zastosować środków cyberbezpieczeństwa – dodaje.
Z kolei zgodnie z rozporządzeniem Rady Ministrów dotyczącym Krajowych Ram Interoperacyjności urzędy mają przyjmować m.in. pliki: .doc, .docx, .xls, .xlsx, .pdf, a zatem takie, które potencjalnie mogą zawierać kod złośliwy (malware).
– Dlatego przy projektowaniu zabezpieczenia systemu teleinformatycznego urzędu trzeba zastosować takie zabezpieczenia, aby w najgorszym przypadku infekcja złośliwym kodem ograniczyła się do stacji roboczej, na której kod został uruchomiony, i nie rozprzestrzeniła się – informuje Ministerstwo Cyfryzacji. Resort zwraca też uwagę na konieczność szkolenia osób korzystających z systemu.
– Aby zmniejszyć ryzyko, można do otwierania takich treści używać programów o ograniczonej funkcjonalności, np. „czytników" konkretnego rodzaju dokumentów zamiast pełnego edytora – mówi Przemysław Jaroszewski, kierownik CERT Polska w NASK. – Należy też zwrócić uwagę na komunikaty wyświetlane przy otwarciu dokumentu i nie pozwalać na wykonywanie skryptów, makr czy innych aktywnych treści – dodaje.