Τεκμήρια DMARC για ISO 27001, NIS2, DORA και GDPR

Όλα ξεκινούν όταν ο οικονομικός διευθυντής προωθεί ένα μήνυμα ηλεκτρονικού ταχυδρομείου στον Επικεφαλής Ασφάλειας Πληροφοριών (CISO) στις 07:42.

«Το στείλαμε εμείς αυτό;»

Το μήνυμα φαίνεται άψογο. Ίδιο λογότυπο, ίδιο υποσέλιδο, ίδιο ύφος με την ομάδα τιμολόγησης. Ισχυρίζεται ότι τα τραπεζικά στοιχεία έχουν αλλάξει. Το εμφανιζόμενο όνομα αποστολέα είναι σωστό. Το domain δεν είναι τυπογραφική παραλλαγή που μιμείται το πραγματικό. Ο επιτιθέμενος πλαστογραφεί το πραγματικό domain.

Στις 08:15, η ομάδα ασφάλειας επιβεβαιώνει τη δυσάρεστη πραγματικότητα: υπάρχει SPF αλλά είναι υπερβολικά ευρύ, το DKIM είναι ενεργοποιημένο μόνο για την κύρια πλατφόρμα ηλεκτρονικού ταχυδρομείου, αρκετά εργαλεία μάρκετινγκ αποστέλλουν μη υπογεγραμμένα μηνύματα, το DMARC παραμένει σε λειτουργία παρακολούθησης και κανείς δεν μπορεί να εντοπίσει την τελευταία ανασκόπηση της πολιτικής MTA-STS του domain. Ο οργανισμός έχει την «ασφάλεια ηλεκτρονικού ταχυδρομείου» σε μια παρουσίαση, αλλά τα τεκμήρια είναι διασκορπισμένα σε στιγμιότυπα DNS, πύλες προμηθευτών, παλαιά Jira tickets και ένα υπολογιστικό φύλλο που ανήκε σε κάποιον που αποχώρησε πέρυσι.

Στις 10:30, το νομικό τμήμα ρωτά αν ενδέχεται να εμπλέκονται δεδομένα προσωπικού χαρακτήρα πελατών. Η λειτουργία συμμόρφωσης ρωτά αν το περιστατικό συνδέεται με υποχρέωση αναφοράς βάσει NIS2. Ένας πελάτης χρηματοπιστωτικών υπηρεσιών ρωτά αν η εταιρεία μπορεί να αποδείξει ελέγχους κινδύνων ΤΠΕ ευθυγραμμισμένους με DORA. Ο Εσωτερικός Έλεγχος ρωτά πώς αυτό αντιστοιχίζεται στο ISO/IEC 27001:2022. Το Διοικητικό Συμβούλιο θέτει μια απλούστερη ερώτηση: «Γιατί μπόρεσε κάποιος να μας μιμηθεί;»

Αυτή η ερώτηση εξηγεί γιατί η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου το 2026 δεν είναι πλέον ένα εξειδικευμένο θέμα DNS. Τα DMARC, SPF, DKIM, MTA-STS και TLS-RPT είναι έλεγχοι που παράγουν τεκμήρια. Μειώνουν τον κίνδυνο phishing και πλαστογράφησης domain, αλλά δημιουργούν επίσης τα τεχνουργήματα που αναμένουν οι ελεγκτές: αποφάσεις πολιτικής, ιδιοκτησία, τεχνικές γραμμές βάσης, λογοδοσία προμηθευτών, αρχεία καταγραφής, αρχεία παρακολούθησης, εξαιρέσεις, εγκρίσεις αλλαγών και μηχανισμούς ενεργοποίησης απόκρισης σε περιστατικά.

Το πρόβλημα συμμόρφωσης δεν είναι «Έχουμε DMARC;». Είναι «Μπορούμε να αποδείξουμε ότι η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου διέπεται, παρακολουθείται, ανασκοπείται και συνδέεται με τον κίνδυνο;»

Το κενό τεκμηρίων που εξακολουθούν να εντοπίζουν οι ελεγκτές

Ένα δεύτερο σενάριο είναι εξίσου συνηθισμένο. Ο εξωτερικός έλεγχος βρίσκεται σε εξέλιξη σε μια ταχέως αναπτυσσόμενη εταιρεία fintech. Ο ελεγκτής περνά από την επιχειρησιακή συνέχεια στη διαχείριση περιστατικών και ρωτά τον CISO για το business email compromise.

Ο CISO εξηγεί ότι η εταιρεία διαθέτει φίλτρα κατά του phishing και τριμηνιαία εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας.

Ο ελεγκτής συμφωνεί και στη συνέχεια ζητά κάτι πιο συγκεκριμένο: «Δείξτε μου τη διακυβέρνηση γύρω από τα DMARC, SPF και DKIM. Χρειάζεται να δω ιδιοκτησία, αρχεία αλλαγών, αξιολόγηση κινδύνου, τεκμήρια παρακολούθησης και πώς αυτά συνδέονται με την κυβερνοϋγιεινή του NIS2 και το πλαίσιο διαχείρισης κινδύνων ΤΠΕ του DORA.»

Η αίθουσα σιωπά.

Η τεχνική ομάδα υλοποίησε το DMARC πριν από μήνες, αλλά το ISMS δεν έχει αναφορά σε πολιτική, δεν υπάρχει κεντρικό πακέτο τεκμηρίων, δεν υπάρχει σύνδεση με το Μητρώο Κινδύνων και δεν υπάρχει εγκεκριμένος οδικός χάρτης εφαρμογής. Ο έλεγχος μπορεί να υφίσταται τεχνικά, αλλά είναι αόρατος για τη διακυβέρνηση.

Αυτό είναι το κενό τεκμηρίων.

Ένα ώριμο πρόγραμμα αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου απαντά σε έξι ελεγκτικά ερωτήματα:

1. Ποια domains και subdomains εμπίπτουν στο πεδίο εφαρμογής;
2. Ποιος είναι υπεύθυνος για κάθε domain, ζώνη DNS, ροή αλληλογραφίας και υπηρεσία αποστολής;
3. Ποια συστήματα επιτρέπεται να αποστέλλουν για λογαριασμό του οργανισμού;
4. Ποιοι μηχανισμοί αυθεντικοποίησης εφαρμόζονται, παρακολουθούνται και ανασκοπούνται;
5. Πώς εγκρίνονται οι εξαιρέσεις, πώς γίνεται η αποδοχή κινδύνου και πώς αποσύρονται;
6. Ποια τεκμήρια αποδεικνύουν ότι ο έλεγχος λειτούργησε διαχρονικά;

Το ISO/IEC 27001:2022 καθιστά το θέμα ζήτημα συστήματος διαχείρισης. Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί το πλαίσιο, τις απαιτήσεις των ενδιαφερόμενων μερών, τα όρια του πεδίου εφαρμογής, τις διεπαφές και τις εξαρτήσεις. Η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου τα επηρεάζει όλα. Ο καταχωρητής domain μπορεί να είναι προμηθευτής. Το DNS μπορεί να φιλοξενείται σε υποδομή νέφους. Το CRM, η πλατφόρμα μισθοδοσίας, το εργαλείο τιμολόγησης, ο πάροχος αυτοματισμού μάρκετινγκ και το σύστημα υποστήριξης πελατών μπορεί όλα να αποστέλλουν ηλεκτρονικό ταχυδρομείο χρησιμοποιώντας το εμπορικό σήμα σας.

Οι ρήτρες 5.1 έως 5.3 καθιστούν το θέμα ζήτημα ηγεσίας. Η ανώτατη διοίκηση πρέπει να αναθέτει αρμοδιότητες και να ενσωματώνει την ασφάλεια πληροφοριών στις επιχειρησιακές διαδικασίες. Μια απόφαση μετάβασης του DMARC από p=none σε p=quarantine ή p=reject μπορεί να επηρεάσει επικοινωνίες πελατών, ειδοποιήσεις οικονομικού τμήματος, διαδικασίες ένταξης προσωπικού, εκστρατείες πωλήσεων και παρόχους εξωτερικής ανάθεσης.

Οι ρήτρες 6.1.1 έως 6.1.3 απαιτούν αξιολόγηση κινδύνου, αντιμετώπιση κινδύνων, επιλογή μέτρων ελέγχου και Δήλωση Εφαρμοσιμότητας. Η πλαστογράφηση domain πρέπει να αντιμετωπίζεται ως σενάριο κινδύνου, με SPF, DKIM, DMARC, MTA-STS και TLS-RPT να επιλέγονται ως μέρος της αντιμετώπισης όπου ενδείκνυται. Η ρήτρα 8.1 απαιτεί στη συνέχεια επιχειρησιακό σχεδιασμό και έλεγχο, συμπεριλαμβανομένου του ελέγχου εξωτερικά παρεχόμενων διεργασιών, προϊόντων και υπηρεσιών που σχετίζονται με το ISMS.

Τι αποδεικνύει κάθε έλεγχος αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου

Τα SPF, DKIM, DMARC, MTA-STS και TLS-RPT λειτουργούν συνδυαστικά, αλλά αποδεικνύουν διαφορετικά πράγματα.

Το SPF και το DKIM είναι σήματα ταυτότητας και ακεραιότητας. Το DMARC είναι το επίπεδο πολιτικής που μετατρέπει αυτά τα σήματα σε ενέργεια από τον παραλήπτη. Τα MTA-STS και TLS-RPT υποστηρίζουν την ασφαλή μεταφορά ηλεκτρονικού ταχυδρομείου συμβάλλοντας στην πρόληψη κινδύνων υποβάθμισης και εσφαλμένης παραμετροποίησης.

Για τους ελεγκτές, η βαθύτερη αξία είναι τα επαναλήψιμα τεκμήρια. Οι συγκεντρωτικές αναφορές DMARC δείχνουν ποιος αποστέλλει ως το domain σας. Οι αναφορές TLS δείχνουν αν αποτυγχάνει η κρυπτογραφημένη παράδοση. Τα αιτήματα αλλαγών δείχνουν αν υπάρχει διακυβέρνηση. Τα αρχεία προμηθευτών δείχνουν αν οι εξαρτήσεις της εφοδιαστικής αλυσίδας είναι γνωστές.

Καταχωρίστε πρώτα τα domains στο μητρώο περιουσιακών στοιχείων

Η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου δεν μπορεί να διέπεται αν τα domains δεν αντιμετωπίζονται ως περιουσιακά στοιχεία.

Η Πολιτική Διαχείρισης Περιουσιακών Στοιχείων - SME Πολιτική Διαχείρισης Περιουσιακών Στοιχείων - SME εντάσσει ρητά τα domains και τις ταυτότητες που σχετίζονται με το ηλεκτρονικό ταχυδρομείο στο πεδίο εφαρμογής:

«Ψηφιακά διαπιστευτήρια και υπηρεσίες: ονόματα domain, ψηφιακά πιστοποιητικά, API keys, λογαριασμοί ηλεκτρονικού ταχυδρομείου, συνδέσεις σε υπηρεσίες νέφους»

Από την ενότητα «Πεδίο εφαρμογής», ρήτρα πολιτικής 2.2.4.

Για μεγαλύτερους οργανισμούς, η εταιρική Πολιτική Διαχείρισης Περιουσιακών Στοιχείων Πολιτική Διαχείρισης Περιουσιακών Στοιχείων εφαρμόζει την ίδια λογική:

«Λογικά περιουσιακά στοιχεία: ονόματα domain, άδειες χρήσης, λογαριασμοί χρηστών, γραμμές βάσης ρυθμίσεων»

Από την ενότητα «Πεδίο εφαρμογής», ρήτρα πολιτικής 2.2.5.

Αν τα domains είναι περιουσιακά στοιχεία, μπορούν να έχουν ιδιοκτήτες, βαθμολογίες κρισιμότητας, κύκλους ανασκόπησης, εξαρτήσεις από προμηθευτές, ελέγχους αλλαγών και τοποθεσίες τεκμηρίων. Αν είναι απλώς εγγραφές DNS, συνήθως μένουν χωρίς διαχείριση μέχρι να παρουσιαστεί πρόβλημα.

Ένα μητρώο domain και αποστολής ηλεκτρονικού ταχυδρομείου έτοιμο για έλεγχο πρέπει να περιλαμβάνει:

Το μητρώο αυτό υποστηρίζει τον έλεγχο A.5.9 Απογραφή πληροφοριών και άλλων συναφών περιουσιακών στοιχείων, τον A.8.9 Διαχείριση ρυθμίσεων, τον A.5.19 Ασφάλεια πληροφοριών στις σχέσεις με προμηθευτές και τον A.5.23 Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών νέφους του Παραρτήματος A του ISO/IEC 27001:2022. Υποστηρίζει επίσης τα αποτελέσματα απογραφής του NIST CSF 2.0 για περιουσιακά στοιχεία, υπηρεσίες, προμηθευτές και κρισιμότητα.

Χρησιμοποιήστε διαχείριση αλλαγών για αποφάσεις DNS και ροής αλληλογραφίας

Η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου αστοχεί όταν η διαχείριση αλλαγών είναι αδύναμη. Μια ομάδα πωλήσεων προσθέτει πλατφόρμα προσέγγισης πελατών. Το HR υιοθετεί εργαλείο παρακολούθησης υποψηφίων. Το οικονομικό τμήμα αλλάζει λογισμικό τιμολόγησης. Το μάρκετινγκ μεταβαίνει σε νέο πάροχο υπηρεσιών ηλεκτρονικού ταχυδρομείου. Κάθε επιχειρησιακή απόφαση δημιουργεί έναν νέο αποστολέα.

Η εταιρική Πολιτική Διαχείρισης Αλλαγών Πολιτική Διαχείρισης Αλλαγών καθιστά ρητή την απαίτηση τεκμηρίων:

«Όλα τα αιτήματα αλλαγών, οι ανασκοπήσεις, οι εγκρίσεις και τα υποστηρικτικά τεκμήρια πρέπει να καταγράφονται στο κεντρικοποιημένο Σύστημα Διαχείρισης Αλλαγών.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.

Ένα ισχυρό αίτημα αλλαγής για αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου πρέπει να περιλαμβάνει:

• Επιχειρησιακή αιτιολόγηση για τον νέο αποστολέα.
• Domain ή subdomain που επηρεάζεται.
• Επίπτωση SPF include ή IP αποστολής.
• DKIM selector και ιδιοκτησία κλειδιού.
• Αποτέλεσμα δοκιμής ευθυγράμμισης DMARC.
• Επίπτωση σε MTA-STS ή MX, εφόσον υπάρχει.
• Ταξινόμηση δεδομένων των μηνυμάτων που αποστέλλονται.
• Αναφορά ανασκόπησης ασφάλειας προμηθευτή.
• Σχέδιο επαναφοράς.
• Έγκριση από τον ιδιοκτήτη domain και την ασφάλεια.
• Τεκμήρια δοκιμών μετά την υλοποίηση.
• Ημερομηνία ανασκόπησης ή λήξης για προσωρινές ρυθμίσεις.

Αυτή είναι η διαφορά μεταξύ του «ένας διαχειριστής DNS άλλαξε μια εγγραφή» και του «το ISMS έλεγξε μια αλλαγή σχετική με τον κίνδυνο».

Πρακτικό σχέδιο 30 ημερών για τεκμήρια DMARC, SPF, DKIM και MTA-STS

Ένας CISO δεν χρειάζεται έργο μετασχηματισμού έξι μηνών για να βελτιώσει την ωριμότητα των τεκμηρίων. Ένας στοχευμένος κύκλος 30 ημερών μπορεί να δημιουργήσει μια τεκμηριώσιμη γραμμή βάσης.

Εβδομάδα 1: Εντοπισμός domains, αποστολέων και ιδιοκτησίας

Εξαγάγετε όλα τα domains από τον καταχωρητή και τον πάροχο DNS. Αντλήστε δεδομένα ροής αλληλογραφίας από την πύλη ηλεκτρονικού ταχυδρομείου, το CRM, το helpdesk, την πλατφόρμα μάρκετινγκ, το σύστημα τιμολόγησης και τις υπηρεσίες ειδοποιήσεων νέφους. Δημιουργήστε το μητρώο domains και αποστολής.

Συμπεριλάβετε επίσης σταθμευμένα domains και αμυντικές καταχωρίσεις. Τα σταθμευμένα domains συχνά αγνοούνται, αλλά μπορούν να καταχραστούν αν το DMARC απουσιάζει ή είναι αδύναμο.

Εβδομάδα 2: Διόρθωση ευθυγράμμισης SPF και DKIM

Ανασκοπήστε το SPF για υπερβολικά επιτρεπτικούς μηχανισμούς, παρωχημένα includes, διπλότυπους παρόχους και κινδύνους ορίων αναζητήσεων. Για το DKIM, εντοπίστε κάθε αποστολέα που δεν υπογράφει μηνύματα ή υπογράφει με domain που δεν θα ευθυγραμμιστεί με το DMARC.

Μην εγκρίνετε έναν αποστολέα SaaS απλώς επειδή η αλληλογραφία λειτουργεί. Εγκρίνετέ τον επειδή:

• Ο προμηθευτής περιλαμβάνεται στο μητρώο αποστολής.
• Η διαμόρφωση SPF και DKIM είναι τεκμηριωμένη.
• Οι DKIM selectors έχουν απογραφεί.
• Η ιδιοκτησία κλειδιών και οι προσδοκίες ανασκόπησης είναι σαφείς.
• Η τεκμηρίωση ασφάλειας προμηθευτή υποστηρίζει τον ασφαλή χειρισμό αλληλογραφίας.
• Ο ιδιοκτήτης επιχειρησιακής λειτουργίας αποδέχεται οποιαδήποτε προσωρινή εξαίρεση.

Εδώ το NIS2 και το DORA γίνονται πρακτικά. Το NIS2 Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων της ανάλυσης κινδύνου, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας, της ασφάλειας εφοδιαστικής αλυσίδας, της ασφαλούς απόκτησης και συντήρησης, της αξιολόγησης αποτελεσματικότητας, της κυβερνοϋγιεινής, της κρυπτογραφίας, του ελέγχου πρόσβασης και των ασφαλών επικοινωνιών. Το DORA Article 28 απαιτεί από τις χρηματοπιστωτικές οντότητες να διαχειρίζονται τον κίνδυνο ΤΠΕ τρίτων μερών ως μέρος του πλαισίου διαχείρισης κινδύνων ΤΠΕ, συμπεριλαμβανομένων της δέουσας επιμέλειας, των συμβατικών προσδοκιών, της παρακολούθησης και του σχεδιασμού εξόδου.

Αν ένας πάροχος μάρκετινγκ αποστέλλει μη αυθεντικοποιημένο ηλεκτρονικό ταχυδρομείο χρησιμοποιώντας το domain σας, δεν πρόκειται μόνο για ζήτημα μάρκετινγκ. Είναι κίνδυνος προμηθευτή, κίνδυνος πλαστοπροσωπίας εταιρικής ταυτότητας και δυνητική βλάβη πελατών.

Εβδομάδα 3: Μετακίνηση του DMARC προς εφαρμογή

Η λειτουργία παρακολούθησης είναι χρήσιμη, αλλά το μόνιμο p=none χωρίς εγκεκριμένο οδικό χάρτη αποτελεί αδύναμο τεκμήριο.

Ένα τεκμηριώσιμο σχέδιο εφαρμογής DMARC πρέπει να περιλαμβάνει:

• Ανασκόπηση συγκεντρωτικών αναφορών γραμμής βάσης.
• Εντοπισμό νόμιμων και μη νόμιμων πηγών.
• Αποκατάσταση νόμιμων πηγών που αποτυγχάνουν.
• Επιχειρησιακή επιβεβαίωση κρίσιμων ροών αλληλογραφίας.
• Σταδιακή αύξηση πολιτικής σε pct=25, pct=50, pct=100.
• Μετάβαση από p=none σε p=quarantine.
• Μετάβαση σε p=reject όταν το επιτρέπουν ο κίνδυνος και η επιχειρησιακή ετοιμότητα.
• Ξεχωριστό χειρισμό subdomains με sp=.
• Μητρώο Εξαιρέσεων με ημερομηνίες λήξης.
• Έγκριση από τη διοίκηση για τον υπολειπόμενο κίνδυνο.

Αυτό υποστηρίζει τη ρήτρα 6.1.3 αντιμετώπιση κινδύνων και τη ρήτρα 8.1 επιχειρησιακός σχεδιασμός και έλεγχος του ISO/IEC 27001:2022. Παρέχει επίσης στον Εσωτερικό Έλεγχο σαφή διαδρομή: απόφαση, υλοποίηση, παρακολούθηση, εξαίρεση, έγκριση και ανασκόπηση.

Εβδομάδα 4: Επικύρωση MTA-STS, TLS-RPT και παρακολούθησης

Το MTA-STS συχνά παραβλέπεται επειδή δεν σταματά την εξερχόμενη πλαστογράφηση εταιρικής ταυτότητας με τον ίδιο τρόπο που το κάνει το DMARC. Είναι όμως ιδιαίτερα σχετικό με τις ασφαλείς επικοινωνίες και την προστασία πληροφοριών κατά τη μεταφορά. Υποδεικνύει στους συμβατούς διακομιστές αποστολής ότι η αλληλογραφία προς το domain σας πρέπει να παραδίδεται μέσω TLS και επικυρώνει την ταυτότητα MX.

Η εταιρική Πολιτική Κρυπτογραφικών Ελέγχων Πολιτική Κρυπτογραφικών Ελέγχων θέτει σαφή γραμμή βάσης ασφάλειας μεταφοράς:

«Ασφάλεια μεταφοράς: TLS 1.2 ή νεότερο (κατά προτίμηση TLS 1.3)»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.5.

Για ΜΜΕ, η Πολιτική Κρυπτογραφικών Ελέγχων - SME Πολιτική Κρυπτογραφικών Ελέγχων - SME περιλαμβάνει ρητά τη μετάδοση ηλεκτρονικού ταχυδρομείου:

«Δεδομένα που μεταδίδονται μέσω ηλεκτρονικού ταχυδρομείου, εταιρικών VPN και διαδικτυακών πυλών»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.4.

Οι δοκιμές πρέπει να περιλαμβάνουν επικύρωση MX TLS, διαθεσιμότητα αρχείου πολιτικής MTA-STS, υγεία πιστοποιητικού HTTPS, ανασκόπηση αναφορών TLS-RPT και αρχεία αρχικής αξιολόγησης για αστοχίες.

Αντιστοίχιση της αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου στο Παράρτημα A του ISO/IEC 27001:2022

Το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης της Clarysec Zenith Controls βοηθά στη σύνδεση των τεχνικών τεκμηρίων με τις προσδοκίες ελέγχου σε διάφορα πλαίσια. Δεν αποτελεί ξεχωριστό σύνολο ελέγχων. Είναι οδηγός αντιστοίχισης και ελέγχου για τους ελέγχους του ISO/IEC 27001:2022 και συναφή πρότυπα.

Για τον έλεγχο A.5.14 Μεταφορά πληροφοριών του Παραρτήματος A του ISO/IEC 27001:2022, το Zenith Controls εξηγεί τη σχέση με την κρυπτογραφία:

«Η ασφαλής μεταφορά πληροφοριών βασίζεται σε κρυπτογραφικούς ελέγχους όπως περιγράφονται στο 8.24.»

Αυτή είναι η σχέση μεταξύ επιχειρησιακού ηλεκτρονικού ταχυδρομείου, DKIM, MTA-STS και TLS. Το ηλεκτρονικό ταχυδρομείο είναι δίαυλος μεταφοράς πληροφοριών. Το DKIM υποστηρίζει την αυθεντικότητα και την ακεραιότητα των μηνυμάτων. Τα MTA-STS και TLS υποστηρίζουν την προστασία της μεταφοράς.

Για τον έλεγχο A.8.24 Χρήση κρυπτογραφίας του Παραρτήματος A, το Zenith Controls συνδέει την κρυπτογραφία με τη μεταφορά πληροφοριών, την ιδιωτικότητα, την προστασία δεδομένων προσωπικού χαρακτήρα, την ταξινόμηση και τη διαχείριση ευπαθειών. Για τους ελέγχους A.8.15 Καταγραφή και A.8.16 Δραστηριότητες παρακολούθησης του Παραρτήματος A, ο οδηγός συνδέει τα αρχεία καταγραφής και την παρακολούθηση με τη διαχείριση συμβάντων, τη συλλογή τεκμηρίων, την ανασκόπηση, την ανάλυση και τη δυνατότητα ελέγχου.

Η Πολιτική Καταγραφής και Παρακολούθησης - SME Πολιτική Καταγραφής και Παρακολούθησης - SME αναφέρει:

«Η καταγραφή πρέπει να ενεργοποιείται και να διαμορφώνεται όπου είναι διαθέσιμη»

Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.5.1.1.

Η εταιρική Πολιτική Καταγραφής και Παρακολούθησης Πολιτική Καταγραφής και Παρακολούθησης περιλαμβάνει:

«Εξωτερικές επικοινωνίες και μηχανισμούς ενεργοποίησης κανόνων τείχους προστασίας»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.6.

Για την αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου, οι εξωτερικές επικοινωνίες πρέπει να περιλαμβάνουν συμβάντα πύλης αλληλογραφίας, επεξεργασία συγκεντρωτικών αναφορών DMARC, τάσεις αστοχιών DKIM, ύποπτη υποδομή προέλευσης, αστοχίες TLS-RPT και απόπειρες πλαστογράφησης που ενεργοποιούν αρχική αξιολόγηση περιστατικών.

Το Zenith Blueprint: Οδικός χάρτης 30 βημάτων για ελεγκτές Zenith Blueprint το εντάσσει σε πρακτική επικύρωση ελέγχων. Στη φάση «Έλεγχοι σε λειτουργία», στο Βήμα 20, καθοδηγεί τις ομάδες να επικυρώσουν την ασφάλεια υπηρεσιών δικτύου:

«Καταγράψτε όλες τις εσωτερικές και εξωτερικές υπηρεσίες δικτύου (DNS, VPN, SMTP, DHCP, API gateways κ.λπ.).

✓ Για καθεμία, επιβεβαιώστε ότι χρησιμοποιεί ασφαλή πρωτόκολλα (π.χ. DNSSEC, TLS 1.2+, SSH αντί για Telnet).
✓ Ανασκοπήστε πώς ελέγχεται η πρόσβαση σε κάθε υπηρεσία (π.χ. λίστες επιτρεπόμενων IP, αυθεντικοποίηση, πιστοποιητικά).
✓ Αν η διαχείριση γίνεται από τρίτα μέρη (π.χ. DNS, SD-WAN, φιλοξενούμενο VPN), ανασκοπήστε τις ρήτρες ασφάλειας στη συμφωνία επιπέδου υπηρεσιών ή στη σύμβαση προμηθευτή. Επικαιροποιήστε το Μητρώο Υπηρεσιών και σημειώστε πού βρίσκονται οι αρμοδιότητες ασφάλειας, εσωτερικά ή εξωτερικά.»

Εφαρμοσμένο στο ηλεκτρονικό ταχυδρομείο, αυτό γίνεται σχέδιο εργασίας για DNS, SMTP, TLS, φιλοξενούμενες πύλες αλληλογραφίας, αποστολείς προμηθευτών και όρια αρμοδιοτήτων.

Αντιστοίχιση διασταυρούμενης συμμόρφωσης: ένα πακέτο τεκμηρίων, πολλές υποχρεώσεις

Το ίδιο πακέτο τεκμηρίων μπορεί να υποστηρίξει ISO/IEC 27001:2022, NIS2, DORA, GDPR και NIST CSF 2.0, εφόσον είναι σωστά δομημένο.

Το NIS2 είναι ιδιαίτερα σχετικό για βασικές και σημαντικές οντότητες, καθώς και για ορισμένες κατηγορίες ψηφιακών υποδομών και ψηφιακών παρόχων. Το Article 20 καθιστά τη διακυβέρνηση κυβερνοασφάλειας αρμοδιότητα του διοικητικού οργάνου, ενώ το Article 21 καθορίζει τη γραμμή βάσης διαχείρισης κινδύνων. Τα τεκμήρια αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου βοηθούν να αποδειχθεί ότι οι ασφαλείς επικοινωνίες, οι σχέσεις με προμηθευτές, ο χειρισμός περιστατικών, η αξιολόγηση αποτελεσματικότητας και η κυβερνοϋγιεινή λειτουργούν στην πράξη και δεν είναι θεωρητικά.

Για τις χρηματοπιστωτικές οντότητες, το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025. Τα Articles 5 και 6 απαιτούν λογοδοσία του διοικητικού οργάνου και τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Το Article 17 απαιτεί διαδικασίες για την ανίχνευση, διαχείριση, καταγραφή, ταξινόμηση, κλιμάκωση και αποκατάσταση περιστατικών που σχετίζονται με ΤΠΕ. Το Article 28 καθιστά τη διαχείριση κινδύνων ΤΠΕ τρίτων μερών επίσημη αρμοδιότητα. Πάροχοι ηλεκτρονικού ταχυδρομείου, πλατφόρμες μάρκετινγκ, συστήματα ειδοποιήσεων πληρωμών και εργαλεία επικοινωνίας πελατών μπορούν όλα να γίνουν μέρος αυτής της αλυσίδας εξαρτήσεων ΤΠΕ.

Για το GDPR, το βασικό ερώτημα είναι αν το ηλεκτρονικό ταχυδρομείο χρησιμοποιείται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το Article 5 περιλαμβάνει ακεραιότητα, εμπιστευτικότητα και λογοδοσία. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα. Αν τιμολόγια, μηνύματα HR, ειδοποιήσεις λογαριασμού, tickets υποστήριξης ή μηνύματα διαδικασίας ένταξης περιέχουν δεδομένα προσωπικού χαρακτήρα, η αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου και η ασφάλεια μεταφοράς γίνονται μέρος των τεκμηρίων ασφάλειας της επεξεργασίας.

Απόκριση σε περιστατικά: όταν οι αναφορές γίνονται έγκαιρη προειδοποίηση

Οι συγκεντρωτικές αναφορές DMARC δεν είναι μόνο τεκμήρια συμμόρφωσης. Είναι δεδομένα έγκαιρης προειδοποίησης. Μια απότομη αύξηση αποτυχημένης αυθεντικοποίησης από άγνωστη υποδομή μπορεί να υποδεικνύει ενεργή πλαστογράφηση, shadow IT, εσφαλμένη παραμετροποίηση προμηθευτή ή συμβιβασμένο αποστολέα.

Βάσει του NIS2 Article 23, οι βασικές και σημαντικές οντότητες πρέπει να κοινοποιούν σημαντικά περιστατικά χωρίς αδικαιολόγητη καθυστέρηση, χρησιμοποιώντας σταδιακή αναφορά που περιλαμβάνει έγκαιρη προειδοποίηση, κοινοποίηση περιστατικού και τελική αναφορά. Δεν είναι κάθε απόπειρα πλαστογράφησης κοινοποιητέα, αλλά ο οργανισμός πρέπει να μπορεί να αξιολογεί σοβαρότητα, επιχειρησιακή διακοπή, οικονομική απώλεια, διασυνοριακό αντίκτυπο και βλάβη στους παραλήπτες.

Βάσει του DORA Article 17, οι χρηματοπιστωτικές οντότητες πρέπει να ορίζουν και να υλοποιούν διαδικασία διαχείρισης περιστατικών που σχετίζονται με ΤΠΕ, να καταγράφουν περιστατικά και σημαντικές κυβερνοαπειλές, να εντοπίζουν βασικές αιτίες, να χρησιμοποιούν δείκτες έγκαιρης προειδοποίησης, να ταξινομούν κατά σοβαρότητα και κρισιμότητα υπηρεσίας, να αναθέτουν ρόλους, να ορίζουν επικοινωνίες και να κλιμακώνουν μείζονα περιστατικά. Το DORA Article 19 καλύπτει στη συνέχεια την αναφορά μείζονων περιστατικών που σχετίζονται με ΤΠΕ.

Για το GDPR, το ερώτημα είναι αν το συμβάν προκάλεσε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα. Ένα πλαστογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου που πείθει πελάτες να υποβάλουν δεδομένα προσωπικού χαρακτήρα σε επιτιθέμενο μπορεί να ενεργοποιήσει αξιολόγηση παραβίασης δεδομένων προσωπικού χαρακτήρα, ακόμη και αν τα εσωτερικά συστήματα δεν συμβιβάστηκαν.

Η εταιρική Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης εξηγεί γιατί τα πειθαρχημένα τεκμήρια έχουν σημασία:

«Για τη δημιουργία τεκμηριώσιμων τεκμηρίων και διαδρομής ελέγχου προς υποστήριξη ρυθμιστικών αιτημάτων, δικαστικών διαδικασιών ή αιτημάτων διασφάλισης πελατών.»

Από την ενότητα «Στόχοι», ρήτρα πολιτικής 3.4.

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME προσθέτει απαίτηση ποιότητας τεκμηρίων:

«Τα μεταδεδομένα (π.χ. ποιος τα συνέλεξε, πότε και από ποιο σύστημα) πρέπει να τεκμηριώνονται.»

Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.3.

Ένας φάκελος διερεύνησης DMARC πρέπει επομένως να τεκμηριώνει την πηγή αναφοράς, τον χρόνο συλλογής, τον αναλυτή, τα επηρεαζόμενα domains, τις ύποπτες IP αποστολέων, τα αποτελέσματα αυθεντικοποίησης, την αξιολόγηση επιχειρηματικού αντικτύπου, τις αποφάσεις που ελήφθησαν και την έγκριση κλεισίματος.

Τι θα ζητήσουν οι ελεγκτές

Διαφορετικοί ελεγκτές χρησιμοποιούν διαφορετική ορολογία, αλλά τα τεκμήρια επικαλύπτονται.

Να αναμένετε πρακτικές ερωτήσεις:

• Δείξτε τις αναφορές DMARC του τελευταίου τριμήνου.
• Δείξτε πώς ανασκοπήθηκαν.
• Δείξτε την εξαίρεση για αυτόν τον αποτυγχάνοντα αποστολέα.
• Δείξτε ποιος ενέκρινε αυτή την αλλαγή SPF.
• Δείξτε αν οι DKIM selectors έχουν απογραφεί και ανασκοπηθεί.
• Δείξτε πώς δοκιμάζεται το MTA-STS μετά από αλλαγές στην πύλη αλληλογραφίας.
• Δείξτε πώς τα συμβάντα πλαστογράφησης εισέρχονται στην αρχική αξιολόγηση περιστατικών.
• Δείξτε πώς αφαιρούνται οι αποστολείς προμηθευτών κατά τη λύση σύμβασης.

Συνοπτικός κατάλογος ελέγχου Εσωτερικού Ελέγχου για το 2026

Χρησιμοποιήστε αυτόν τον κατάλογο ελέγχου ως αφετηρία για Εσωτερικό Έλεγχο, δοκιμές ελέγχων ή ανασκόπηση τεκμηρίων αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου.

• Όλα τα domains και subdomains καταγράφονται στο Μητρώο Περιουσιακών Στοιχείων.
• Τα σταθμευμένα και αμυντικά domains καλύπτονται από DMARC.
• Κάθε εξουσιοδοτημένος αποστολέας έχει ιδιοκτήτη επιχειρησιακής λειτουργίας και τεχνικό ιδιοκτήτη.
• Οι εγγραφές SPF ανασκοπούνται για παρωχημένα includes και υπερβολικό εύρος.
• Το DKIM είναι ενεργοποιημένο για νόμιμους αποστολείς όπου υποστηρίζεται.
• Οι DKIM selectors έχουν απογραφεί και ανασκοπούνται.
• Το DMARC έχει αναπτυχθεί για ριζικά domains και σχετικά subdomains.
• Το DMARC έχει οδικό χάρτη εφαρμογής, όχι επ’ αόριστον παρακολούθηση.
• Οι συγκεντρωτικές αναφορές DMARC ανασκοπούνται με καθορισμένη περιοδικότητα.
• Το MTA-STS είναι διαμορφωμένο για εισερχόμενα domains αλληλογραφίας όπου εφαρμόζεται.
• Οι αναφορές TLS-RPT συλλέγονται και υποβάλλονται σε αρχική αξιολόγηση.
• Οι αλλαγές αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου ακολουθούν τη διαχείριση αλλαγών.
• Η ένταξη προμηθευτή περιλαμβάνει απαιτήσεις αποστολής ηλεκτρονικού ταχυδρομείου.
• Η αποχώρηση προμηθευτή αφαιρεί SPF includes, DKIM selectors και δικαιώματα αποστολής.
• Οι εξαιρέσεις έχουν ιδιοκτήτες κινδύνου, ημερομηνίες λήξης και αντισταθμιστικούς ελέγχους.
• Οι απότομες αυξήσεις πλαστογράφησης και οι αστοχίες αυθεντικοποίησης τροφοδοτούν την απόκριση σε περιστατικά.
• Τα τεκμήρια περιλαμβάνουν μεταδεδομένα, πηγή, ημερομηνία, συλλέκτη και σύστημα.
• Η διοίκηση λαμβάνει περιοδικές μετρικές και επικαιροποιήσεις κινδύνου.

Το Zenith Blueprint, στη φάση διαχείρισης κινδύνων, Βήμα 14, συνιστά τη δημιουργία πινάκων κανονιστικής αντιστοίχισης για τις εφαρμοστέες υποχρεώσεις:

«Για κάθε κανονισμό, εφόσον εφαρμόζεται, μπορείτε να δημιουργήσετε έναν απλό πίνακα αντιστοίχισης (ενδεχομένως ως παράρτημα σε αναφορά) που παραθέτει τις βασικές απαιτήσεις ασφάλειας του κανονισμού και τους αντίστοιχους ελέγχους/πολιτικές στο ISMS σας. Αυτό δεν είναι υποχρεωτικό στο ISO 27001, αλλά είναι χρήσιμη εσωτερική άσκηση ώστε να διασφαλιστεί ότι τίποτα δεν παραλείφθηκε. Εντυπωσιάζει επίσης ελεγκτές/αξιολογητές, επειδή δείχνει ότι δεν διαχειρίζεστε την ασφάλεια αποκομμένα, αλλά με επίγνωση του νομικού πλαισίου.»

Για την αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου, αυτός ο πίνακας γίνεται η γέφυρα μεταξύ της τεχνικής πραγματικότητας DNS και της διασφάλισης σε επίπεδο Διοικητικού Συμβουλίου.

Μετατρέψτε την αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου σε τεκμήρια έτοιμα για έλεγχο

Οι πελάτες σας μπορεί να μη ρωτήσουν ποτέ αν η εγγραφή SPF έχει άψογη σύνταξη. Θα ρωτήσουν αν μπορείτε να προστατεύσετε το εμπορικό σήμα σας, να μειώσετε τον κίνδυνο phishing, να διασφαλίσετε ασφαλείς επικοινωνίες, να διαχειριστείτε προμηθευτές και να αποδείξετε ότι οι έλεγχοι λειτουργούν.

Η Clarysec βοηθά οργανισμούς να μετατρέψουν την αυθεντικοποίηση ηλεκτρονικού ταχυδρομείου από εύθραυστες τεχνικές ρυθμίσεις σε σύστημα ελέγχων έτοιμο για έλεγχο. Το πρακτικό επόμενο βήμα είναι μια στοχευμένη ανασκόπηση τεκμηρίων αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου:

1. Δημιουργήστε το μητρώο domains και αποστολής.
2. Αντιστοιχίστε την κατάσταση SPF, DKIM, DMARC, MTA-STS και TLS-RPT.
3. Εντοπίστε προμηθευτές, shadow senders και εξαιρέσεις.
4. Δημιουργήστε οδικό χάρτη εφαρμογής DMARC.
5. Επικυρώστε τεκμήρια διαχείρισης αλλαγών, καταγραφής και απόκρισης σε περιστατικά.
6. Συνδέστε τα τεκμήρια με ISO/IEC 27001:2022, NIS2, DORA, GDPR και NIST CSF 2.0.
7. Προετοιμάστε πακέτο τεκμηρίων κατάλληλο για ελεγκτή χρησιμοποιώντας Zenith Blueprint, Zenith Controls και τις σχετικές πολιτικές της Clarysec.

Αν ο οργανισμός σας προετοιμάζεται για πιστοποίηση ISO/IEC 27001:2022, ετοιμότητα NIS2, διασφάλιση DORA, ανασκοπήσεις λογοδοσίας GDPR ή ερωτηματολόγια ασφάλειας πελατών, ξεκινήστε από τους ελέγχους που οι επιτιθέμενοι καταχρώνται πιο εμφανώς: τα domains σας, τους αποστολείς σας και την αλυσίδα εμπιστοσύνης του ηλεκτρονικού ταχυδρομείου σας.

Κατεβάστε το Zenith Blueprint, χρησιμοποιήστε το Zenith Controls για αντιστοίχιση διασταυρούμενης συμμόρφωσης και εκτελέστε μια ανασκόπηση τεκμηρίων αυθεντικοποίησης ηλεκτρονικού ταχυδρομείου διάρκειας 30 ημερών, πριν το επόμενο περιστατικό πλαστογράφησης ή αίτημα ελέγχου επιβάλει τη συζήτηση.