Na dzień tworzenia tego wpisu, nie została ogłoszona przez Ministerstwo Cyfryzacji, NASK, czy krajowe lub sektorowe zespoły CSIRT twardy zakaz rejestrowania klientów / petentów z rosyjskimi adresami e-mail w polskich firmach czy instytucjach. Przyglądając się jednak temu zagadnieniu, można uznać, iż adresy e-mail klientów w domenach rosyjskich (takich jak .ru, mail.ru, yandex.ru, list.ru itp.) stanowią potencjalne zagrożenie dla europejskich firm, głównie w sferze cyberbezpieczeństwa, zgodności z prawem (RODO, NIS2) oraz reputacji.
Rosyjskie domeny są często wykorzystywane przez grupy cyberprzestępcze do ataków typu spear-phishing, mających na celu kradzież danych lub dostęp do systemów firmowych, a wiele rosyjskich domen oferuje „bullet-proof” hosting, co oznacza, że usługodawcy ignorują zgłoszenia nadużyć, co uniemożliwia szybkie zablokowanie złośliwych działań. Ze względu na niską reputację, e-maile wysyłane z europejskich serwerów na rosyjskie domeny (lub odwrotnie) mogą być blokowane przez systemy antyspamowe.
Od strony technicznej, można blokować (albo przynajmniej poddawać dogłębnej analizie) maile przychodzące z domen o niskiej reputacji (w tym zawierające linki lub załączniki), szczególnie gdy mówimy o spółce świadczącej usługi kluczowe w rozumieniu Krajowego Systemu Cyberbezpieczeństwa. Poza rosyjskimi domenami są inne, jak: białoruskie, chińskie, północno koreańskie lub inne związane z krajami mającymi rządy autokratyczne lub wręcz reżimowe, gdzie utrzymywanie zespołów cyberprzestępczych dotowane jest przez rządy tych krajów.
Należy mieć na uwadze również ryzyko, gdzie w ramach wojny hybrydowej, rosyjscy usługodawcy będą „doklejać” do zwykłych wiadomości złośliwy kod lub złośliwe załączniki bez zgody i wiedzy nadawcy.
Można wziąć pod uwagę takie możliwości:
- Miękka polityka. Przyzwolenie na stosowanie domen krajów o niskiej reputacji, z równoległym zachęcaniem klientów do używania sprawdzonych i bezpiecznych dostawców poczty, szczególnie w przypadku wymiany wrażliwych danych (co ciekawe, w samej Rosji obowiązują przepisy zakazujące rejestracji kont na rosyjskich stronach czy u rosyjskich usługodawców za pomocą zagranicznych adresów e-maili).
- Tolerancyjna polityka. Przyzwolenie na używanie domen na poziomie krajów o niskiej reputacji, ale blokowanie subdomen ewidentnie szkodliwych.
- Twarda polityka. Blokowanie pełnych domen krajowych o niskiej reputacji.
Podsumowując, choć nie każdy klient z adresem .ru jest zagrożeniem, ryzyko związane z obsługą takich adresów jest znacznie wyższe niż w przypadku domen zachodnich.
Czy warto taką blokadę adresów e-mail wprowadzić w firmie zarządzeniem kierownictwa? Jak napisaliśmy na wstępie, nie ma obecnie twardej rekomendacji blokady domen najwyższego poziomu. Blokada wybranych subdomen (rekomendowana przez NASK na podstawie twardej listy https://cert.pl/lista-ostrzezen/) dotyczy połączeń z podejrzanymi serwisami internetowymi. NASK sugeruje również zakładanie blokad na konkretne adresy IP / podsieci, ale dotyczy to połączeń do podejrzanych serwisów.
Należy ostrożnie podchodzić do blokad innych domen najwyższego poziomu. Lepszym rozwiązaniem na początek wydaje się monitorowanie ile potencjalnie podejrzanych wiadomości dociera do firmy, niż od razu stosować twarde blokady.
Ale uwaga. Temat staje się delikatniejszy, gdy w śród pracowników lub uczniów szkół są osoby wschodniego pochodzenia. W takiej sytuacji twarda blokada może mocno ograniczyć komunikację osoba – pracodawca, szkoła. W takiej sytuacji można zachęcać do utworzenia skrzynek e-mail u ogólnodostępnych dostawców poczty elektronicznej o wyższej reputacji niż te wyżej wspomniane.