Przepisy FTC dotyczące zabezpieczeń: Czy Twoja firma finansowa potrzebuje protokołu DMARC?

Weźmy na przykład regionalny salon samochodowy w stanie Ohio. Gromadzi on numery ubezpieczenia społecznego na potrzeby finansowania, wymienia dokumenty kredytowe za pośrednictwem poczty elektronicznej oraz zarządza formularzami ubezpieczeniowymi klientów za pomocą wspólnej skrzynki odbiorczej.

Zespół IT korzysta z oprogramowania antywirusowego, dba o działanie zapory sieciowej oraz szkoli pracowników w zakresie zasad bezpieczeństwa haseł. Nigdy jednak nie wdrożył systemu uwierzytelniania poczty elektronicznej; w ich domenie nie ma polityki SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ani DMARC (Domain-based Message Authentication, Reporting, and Conformance). Każdy cyberprzestępca może wysłać wiadomość e-mail, która będzie wyglądała, jakby pochodziła z domeny salonu samochodowego.

Ten salon samochodowy podlega przepisom rozporządzenia Federalnej Komisji Handlu (FTC) w sprawie zabezpieczeń; podobnie jak biuro pośrednictwa kredytów hipotecznych znajdujące się nieco dalej, niezależny doradca finansowy po drugiej stronie miasta oraz regionalna firma inwestycyjna zarządzająca portfelami klientów. Rozporządzenie to reguluje działalność niebankowych instytucji finansowych w szerokim zakresie: obejmuje między innymi salony samochodowe oferujące finansowanie, pośredników kredytów hipotecznych, doradców finansowych, firmy windykacyjne, osoby sporządzające zeznania podatkowe oraz podmioty udzielające chwilówek.

W każdym z tych przypadków dominującym wektorem ataku jest poczta elektroniczna. Ataki typu BEC (Business Email Compromise) kosztują organizacje średnio 129 200 dolarów na jeden incydent w 2024 r., zgodnie z raportem rocznym FBI IC3 za rok 2024. Od 13 maja 2024 r. wymóg zgłaszania naruszeń nakłada na podmioty objęte przepisami obowiązek zgłaszania kwalifikujących się incydentów do FTC w ciągu 30 dni, co kładzie bezpośredni nacisk na zapobieganie, a nie na reagowanie.

W niniejszym przewodniku wyjaśniono, kto ma obowiązek przestrzegać tych zasad, jakie są ich wymogi, w jaki sposób uwierzytelnianie wiadomości e-mail wspiera zgodność z przepisami oraz jak dostosować wdrożenie protokołu DMARC do konkretnego rodzaju podmiotu.

Kto musi przestrzegać przepisów FTC dotyczących zabezpieczeń?

Zakres obowiązywania przepisów dotyczących zabezpieczeń zaskakuje wielu właścicieli firm, którzy regulacje finansowe kojarzą przede wszystkim z bankami i spółdzielczymi kasami oszczędnościowo-kredytowymi. W praktyce przepisy te obejmują każdą instytucję „w znacznym stopniu zaangażowaną” w działalność finansową, a Federalna Komisja Handlu (FTC) interpretuje tę definicję w sposób szeroki. Zrozumienie, jakie rodzaje podmiotów są objęte tymi przepisami, stanowi pierwszy krok w kierunku stworzenia programu bezpieczeństwa zgodnego z przepisami.

W przepisach te definicja „instytucji finansowej” opiera się na rodzaju prowadzonej działalności, a nie na formie organizacyjnej. Jeśli Twoja firma gromadzi dane osobowe o charakterze niepublicznym (NPI) od konsumentów w ramach świadczenia produktów lub usług finansowych, przepisy te najprawdopodobniej mają zastosowanie. Do danych NPI zaliczają się numery ubezpieczenia społecznego, informacje o rachunkach finansowych, numery praw jazdy, dane dotyczące ubezpieczeń oraz dane inwestycyjne.

Salony samochodowe

Salony samochodowe, które organizują lub ułatwiają finansowanie, są podmiotami objętymi przepisami Safeguards Rule. Numery praw jazdy, numery ubezpieczenia społecznego, historia zatrudnienia oraz informacje dotyczące rachunków finansowych codziennie przepływają przez systemy salonów. Wnioski o finansowanie, formularze ubezpieczeniowe i umowy dotyczące pojazdów są rutynowo przekazywane pocztą elektroniczną, co sprawia, że kanał poczty elektronicznej stanowi główne źródło narażenia na ataki phishingowe i BEC.

Pośrednicy kredytów hipotecznych

Pośrednicy kredytowi gromadzą jedne z najbardziej wrażliwych danych osobowych w sektorze usług finansowych: numery ubezpieczenia społecznego, dane rachunków bankowych, zeznania podatkowe, dokumenty dotyczące zatrudnienia oraz informacje o nieruchomościach. Dokumenty kredytowe, wyceny i oświadczenia dotyczące zamknięcia transakcji są często przesyłane pocztą elektroniczną, co sprawia, że działalność pośredników stanowi preferowany cel ataków związanych z oszustwami telekomunikacyjnymi oraz podszywaniem się pod inne osoby w dokumentach kredytowych.

Doradcy finansowi

Niezależni doradcy finansowi oraz zarejestrowane firmy doradztwa inwestycyjnego zajmują się obsługą informacji dotyczących rachunków inwestycyjnych, danych podatkowych, wyciągów z rachunków oraz dokumentów związanych z planowaniem finansowym. Komunikacja z klientami odbywa się głównie za pośrednictwem poczty elektronicznej, a kanał ten stanowi główną drogę ataków wymierzonych w konta klientów oraz dane uwierzytelniające do platform powierniczych.

W odniesieniu do wszystkich trzech rodzajów podmiotów przepis dotyczący zabezpieczeń nie wymaga, aby dana firma była bankiem. Wymaga jedynie, aby firma prowadziła działalność finansową i gromadziła dane NPI. Gdy organizacja stwierdzi, że podlega tym przepisom, kolejnym pytaniem jest to, czego faktycznie wymaga ten przepis, a zmiany wprowadzone w 2021 roku znacznie bardziej sprecyzowały te wymagania.

Czego wymaga rozporządzenie FTC w sprawie zabezpieczeń?

Zgodnie z przepisami dotyczącymi zabezpieczeń podmioty objęte tymi przepisami mają obowiązek opracować, wdrożyć i utrzymywać kompleksowy, spisany program bezpieczeństwa informacji, dostosowany do wielkości, złożoności i charakteru prowadzonej przez nie działalności. Są to wiążące wymogi, których nieprzestrzeganie pociąga za sobą konsekwencje prawne, a nie jedynie wytyczne o charakterze zalecającym.

Wprowadzone w 2021 r. zmiany określiły dziewięć konkretnych elementów, tworząc ustrukturyzowane ramy odzwierciedlające model wielopoziomowej ochrony. Żadne pojedyncze zabezpieczenie nie wystarcza do ochrony wrażliwych danych finansowych.

Dziewięć obowiązkowych elementów programu bezpieczeństwa informacji zgodnego z przepisami FTC dotyczącymi środków zabezpieczających

1. Wyznaczenie osoby posiadającej odpowiednie kwalifikacje: Odpowiedzialną za wdrażanie i nadzorowanie programu bezpieczeństwa informacji.
2. Przeprowadź pisemną ocenę ryzyka: Zidentyfikuj posiadane informacje o klientach, wylicz zagrożenia i ustal kryteria oceny.
3. Opracowanie i wdrożenie zabezpieczeń: kontrola dostępu, szyfrowanie, uwierzytelnianie wieloskładnikowe (MFA), zapobieganie utracie danych (DLP) oraz rejestrowanie aktywności.
4. Regularne monitorowanie i testowanie zabezpieczeń: Ciągłe monitorowanie lub coroczne testy penetracyjne oraz przeprowadzane dwa razy w roku oceny podatności na zagrożenia.
5. Szkolenie personelu: Szkolenia z zakresu świadomości bezpieczeństwa oraz regularne szkolenia przypominające dotyczące nowych rodzajów zagrożeń.
6. Monitorowanie dostawców usług: Należy weryfikować zewnętrznych dostawców i uwzględniać wymogi bezpieczeństwa w umowach o świadczenie usług.
7. Aktualizuj program: Aktualizuj środki kontroli pod kątem nowych zagrożeń, zmian kadrowych i zmian w organizacji pracy.
8. Opracowanie pisemnego planu reagowania na incydenty: Określone role, procedury komunikacyjne, ścieżki eskalacji oraz proces analizy po zdarzeniu.
9. Wymóg składania sprawozdań zarządowi: Roczne sprawozdanie dotyczące zgodności przedkładane zarządowi lub równoważnemu organowi zarządzającemu.

Niektóre z tych elementów mają bezpośredni wpływ na bezpieczeństwo poczty elektronicznej. Element 3 wymaga wdrożenia mechanizmów kontroli dostępu, które weryfikują tożsamość autoryzowanych nadawców i szyfrują transmisję danych wrażliwych. Element 4 nakłada obowiązek monitorowania i testowania całej infrastruktury, w tym systemów poczty elektronicznej. Element 5 wymaga przeszkolenia personelu w zakresie phishingu i ataków typu BEC. Element 8 wymaga opracowania planu reagowania na incydenty, który musi uwzględniać scenariusze ataków przeprowadzanych za pośrednictwem poczty elektronicznej.

Uwierzytelnianie wiadomości e-mail za pomocą protokołów DMARC, SPF i DKIM bezpośrednio wspiera wiele elementów: kontrolę dostępu (weryfikację autoryzowanych nadawców), rejestrowanie aktywności (raporty zbiorcze i analityczne DMARC), reagowanie na incydenty (wykrywanie prób spoofingu w czasie rzeczywistym) oraz monitorowanie (śledzenie stanu uwierzytelniania w czasie). Podmioty objęte przepisami, posiadające co najmniej 5000 rekordów klientów, są również zobowiązane do szyfrowania informacji o klientach podczas przesyłania i przechowywania, wdrożenia uwierzytelniania wieloskładnikowego (MFA) oraz prowadzenia szczegółowych dzienników aktywności. Te progi obejmują większość brokerów hipotecznych, doradców finansowych i dealerów samochodowych działających na skalę regionalną.

Dlaczego uwierzytelnianie wiadomości e-mail ma fundamentalne znaczenie dla zapewnienia zgodności z przepisami dotyczącymi zabezpieczeń

Poczta elektroniczna nie jest tylko jednym z wielu wektorów ataku dla instytucji finansowych. Stanowi ona główny obszar narażenia na ryzyko – kanał, przez który inicjowana jest większość oszustw, kradzieży danych uwierzytelniających oraz ataków socjotechnicznych. Dla podmiotów objętych przepisami Safeguards Rule ochrona kanału poczty elektronicznej nie jest opcjonalnym ulepszeniem, lecz podstawowym wymogiem bezpieczeństwa.

Osoby atakujące instytucje finansowe nie muszą przejmować kontroli nad infrastrukturą. Wysyłają wiadomości e-mail, które wyglądają, jakby pochodziły z domeny danej instytucji, wykorzystując brak mechanizmów uwierzytelniania, a nie omijając je. Firmy z branży usług finansowych ponoszą rosnące koszty związane z kradzieżą danych uwierzytelniających, fałszywymi przelewami, działaniami regulacyjnymi oraz powiadamianiem klientów – a wszystko to zaczyna się od nieautoryzowanej wiadomości e-mail.

Skala problemu domen niechronionych

Pomimo znanego ryzyka, 92% najpopularniejszych domen e-mailowych pozostaje bez ochrony przed phishingiem i spoofingiem, jak podaje magazyn „Infosecurity Magazine”. Wiele organizacji korzysta z filtrów antyspamowych, zabezpieczeń punktów końcowych oraz szkoleń z zakresu świadomości bezpieczeństwa, a mimo to pozostawia własną domenę dostępną dla atakujących, którzy mogą ją spoofować bez żadnych barier technicznych. Filtrowanie spamu zajmuje się zagrożeniami przychodzącymi dla użytkowników; uwierzytelnianie poczty elektronicznej zajmuje się zagrożeniami wychodzącymi, a konkretnie wykorzystaniem domeny do ataków na klientów, partnerów i kontrahentów. Są to odrębne problemy wymagające odrębnych środków kontroli.

Jak działa uwierzytelnianie wiadomości e-mail

SPF (Sender Policy Framework). SPF określa, które adresy IP są uprawnione do wysyłania wiadomości e-mail w imieniu Twojej domeny, umożliwiając serwerom odbiorczym odrzucanie wiadomości z nieautoryzowanych źródeł, zanim dotrą one do odbiorców.

DKIM (DomainKeys Identified Mail). DKIM dołącza podpis kryptograficzny do wysyłanych wiadomości, umożliwiając serwerom odbiorczym weryfikację, czy treść wiadomości nie została zmieniona podczas przesyłania.

DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC łączy protokoły SPF i DKIM, określając, w jaki sposób serwery odbiorcze powinny obsługiwać wiadomości, które nie przeszły kontroli uwierzytelniania, oraz generując raporty dokumentujące całą aktywność uwierzytelniania w odniesieniu do Twojej domeny.

Te trzy protokoły razem zapobiegają podszywaniu się nieuprawnionych nadawców pod Twoją domenę, tworzą podlegający audytowi zapis aktywności pocztowej oraz zapewniają wgląd umożliwiający wykrywanie prób spoofingu, zanim spowodują one szkody.

Stanowisko Federalnej Komisji Handlu (FTC) w sprawie uwierzytelniania wiadomości e-mail

„ Stanowisko pracowników FTC w sprawie uwierzytelniania wiadomości e-mail wyraźnie zaleca przedsiębiorstwom wdrożenie protokołów DMARC, SPF i DKIM w celu ochrony klientów przed atakami phishingowymi. Wytyczne FTC dotyczące uwierzytelniania poczty elektronicznej dla przedsiębiorstw potwierdza to zalecenie jako praktyczną podstawę cyberbezpieczeństwa. Mimo to najczęstszym podejściem wśród podmiotów objętych regulacjami jest filtrowanie spamu bez uwierzytelniania poczty elektronicznej. Filtry antyspamowe chronią skrzynkę odbiorczą; protokoły uwierzytelniające chronią tożsamość domeny. Nie są to środki kontroli, które można stosować zamiennie.

Uwierzytelnianie wiadomości e-mail a zasada zabezpieczeń: ramy zgodności

Powiązanie środków kontroli uwierzytelniania poczty elektronicznej z konkretnymi wymogami zasady Safeguards Rule pozwala przekształcić techniczne wdrożenie w udokumentowany stan zgodności. Specjaliści ds. zgodności i wykwalifikowane osoby muszą dokładnie określić, w jaki sposób każdy środek kontroli odpowiada obowiązkom regulacyjnym, a powiązanie to ma charakter bezpośredni.

Każdy protokół uwierzytelniania przyczynia się do spełnienia jednego lub kilku wymogów wynikających z zasady zabezpieczeń w konkretny i podlegający kontroli sposób, co ułatwia sporządzanie sprawozdań dla zarządu oraz przegląd regulacyjny.

Zanim przejdziemy do wdrożenia, warto zrozumieć, co w praktyce oznacza kwestia zgodności z przepisami: a konkretnie, w jaki sposób dochodzi do naruszeń związanych z pocztą elektroniczną i czemu zapobiegają mechanizmy uwierzytelniania.

Uwierzytelnianie wiadomości e-mail i zapobieganie naruszeniom bezpieczeństwa

Wymóg Wymóg FTC z maja 2024 r. dotyczący zgłaszania naruszeń oznacza, że podmioty objęte tym wymogiem muszą zgłaszać kwalifikujące się naruszenia danych, które dotykają 500 lub więcej konsumentów, w ciągu 30 dni od ich wykrycia. Zrozumienie, w jaki sposób powstają naruszenia związane z pocztą elektroniczną i jak środki kontroli uwierzytelniania je powstrzymują, wyjaśnia, dlaczego zapobieganie jest skuteczniejszą strategią zapewnienia zgodności niż reagowanie na naruszenia.

Jak dochodzi do naruszeń bezpieczeństwa związanych z pocztą elektroniczną

Typowe naruszenie bezpieczeństwa związane z pocztą elektroniczną w sektorze usług finansowych przebiega według rozpoznawalnego schematu. Atakujący wysyła wiadomość phishingową, która wygląda, jakby pochodziła z zaufanej domeny, od dostawcy usług lub od samej instytucji. Pracownik ujawnia swoje dane uwierzytelniające lub zatwierdza fałszywą transakcję, a atakujący wykorzystuje ten dostęp do uzyskania dostępu do danych klientów, zainicjowania przelewów bankowych lub zapewnienia sobie stałego dostępu w celu przyszłych ataków.

Wdrożenie DMARC przerywa ten łańcuch na samym początku. Gdy domena jest chroniona przez politykę p=reject DMARC, wiadomości e-mail z nieautoryzowanych źródeł są odrzucane, zanim dotrą do odbiorców. Wiadomość phishingowa nigdy nie dociera do adresata; atak nigdy nie dochodzi do skutku. W momencie wdrożenia egzekwowania podszywanie się pod domenę przestaje być wektorem ataku.

Raport Raport IBM „Cost of a Data Breach 2024” szacuje średni koszt naruszenia w sektorze usług finansowych na 6,08 mln dolarów, uwzględniając wykrycie, powiadomienie, działania regulacyjne oraz zakłócenia w działalności. Wdrożenie DMARC kosztuje ułamek tej kwoty; argumenty przemawiające za uwierzytelnianiem są niepodważalne.

Argumenty finansowe i regulacyjne są jednoznaczne. W poniższej sekcji poświęconej wdrożeniu przedstawiono plan działania podzielony na etapy, opracowany z myślą o środowiskach z wieloma nadawcami, powszechnie spotykanych w sektorze usług finansowych.

Wdrożenie w praktyce: prawidłowa konfiguracja protokołu DMARC w celu zapewnienia zgodności z przepisami

Wdrażanie odbywa się etapami nie bez powodu. Pomijanie etapów lub zbyt szybkie tempo wdrażania grozi zablokowaniem dostarczania legalnych wiadomości e-mail, co jednocześnie powoduje problemy operacyjne i związane z przestrzeganiem przepisów. Systematyczne podejście zapewnia zarówno skuteczność dostarczania wiadomości, jak i wysoki poziom bezpieczeństwa.

1. Sporządź wykaz źródeł wysyłających wiadomości e-mail. Zarejestruj wszystkie systemy wysyłające wiadomości e-mail z Twojej domeny: serwery wewnętrzne, platformy marketingowe, systemy CRM, aplikacje kadrowe i finansowe oraz usługi zewnętrzne. Wiele podmiotów objętych przepisami odkrywa od 20 do 50 źródeł wysyłania, o których nie miało pojęcia. Niekompletne wykazy są główną przyczyną niepowodzeń uwierzytelniania po wdrożeniu.
2. Wprowadź rekordy SPF. SPF określa, które adresy IP są uprawnione do wysyłania wiadomości z Twojej domeny. Opublikuj rekord SPF zawierający wszystkie źródła z kroku 1. Zwróć uwagę na limit 10 wyszukiwań SPF; spłaszczenie SPF rozwiązuje ten problem poprzez konwersję nazw hostów na adresy IP w obrębie rekordu.
3. Wprowadź podpisywanie DKIM. DKIM dołącza podpis kryptograficzny do wychodzących wiadomości e-mail. Większość platform, w tym Google Workspace i Microsoft 365, obsługuje DKIM natywnie. Wygeneruj klucze DKIM dla każdego źródła wysyłającego i opublikuj klucze publiczne w DNS.
4. Opublikuj politykę DMARC z ustawieniem p=none. Polityka DMARC o wartości p=none ustawia domenę w trybie monitorowania. Poczta przepływa normalnie, a zbiorcze raporty dokumentują każde źródło wysyłki i wyniki jego uwierzytelniania. Ta faza ma charakter diagnostyczny i nie należy jej pomijać na rzecz natychmiastowego egzekwowania.
5. Monitorowanie i korygowanie. Przejrzyj raporty DMARC, aby zidentyfikować nieprawidłowych nadawców, próby spoofingu oraz źródła zewnętrzne wymagające konfiguracji. Rozwiąż każdy problem przed wdrożeniem polityki. Ta faza trwa zazwyczaj od czterech do ośmiu tygodni w przypadku organizacji o umiarkowanej złożoności nadawców.
6. Przejście do etapu egzekwowania. Po uwierzytelnieniu wszystkich legalnych nadawców należy zmienić politykę DMARC na p=quarantine, a następnie na p=reject. Egzekwowanie blokuje nieautoryzowanym nadawcom dostarczanie wiadomości e-mail z Twojej domeny.

Najczęstsze przyczyny niepowodzeń występujące podczas tego procesu omówiono w sekcji „Typowe błędy” poniżej.

Wytyczne dla poszczególnych branż

Priorytety wdrożeniowe różnią się znacznie w zależności od rodzaju podmiotu objętego przepisami. Przypadki użycia poczty elektronicznej, ekosystemy zewnętrznych nadawców oraz profile zagrożeń charakterystyczne dla dealerów samochodowych, pośredników kredytów hipotecznych i doradców finansowych wymagają indywidualnego podejścia, a nie uniwersalnego rozwiązania.

Salony samochodowe

Salony samochodowe gromadzą numery praw jazdy, numery ubezpieczenia społecznego, dokumenty dotyczące finansowania oraz formularze ubezpieczeniowe, a podczas całego procesu sprzedaży komunikują się głównie za pośrednictwem poczty elektronicznej. Do konkretnych zagrożeń należą ataki typu BEC wymierzone w kierowników ds. finansowania, fałszywe umowy finansowe oraz wykradanie danych uwierzytelniających klientów za pośrednictwem sfałszowanych domen salonów. Wdrożenie powinno skupiać się przede wszystkim na uwierzytelnianiu głównej domeny, zarządzaniu nadawcami z firm partnerskich zajmujących się finansowaniem i ubezpieczeniami oraz konfiguracji monitorowania DMARC w celu wykrywania ataków spoofingowych wymierzonych w klientów.

Pośrednicy kredytów hipotecznych

Pośrednicy kredytowi zajmują się numerami ubezpieczenia społecznego, danymi rachunków bankowych, zeznaniami podatkowymi oraz dokumentacją dotyczącą finalizacji transakcji. W wiadomościach e-mail przesyłane są dokumenty, które w razie przechwycenia mogą doprowadzić do przekierowania przelewów o wartości sześciocyfrowej. Dla pośredników kredytowych priorytetem jest zarządzanie całym ekosystemem zewnętrznych nadawców, w tym ubezpieczycieli, rzeczoznawców, firm zajmujących się tytułami własności oraz kredytodawców, aby zapobiegać przypadkom podszywania się pod dokumenty kredytowe.

Doradcy finansowi

Firmy doradcze przesyłają wyciągi z rachunków, rekomendacje inwestycyjne, dokumenty podatkowe oraz potwierdzenia transakcji za pośrednictwem poczty elektronicznej. Przekonujące podszywanie się pod domenę doradcy może spowodować przekierowanie przelewów lub naruszenie danych logowania do platformy depozytowej. Firmy doradcze powinny skoncentrować swoje działania na wdrażaniu rozwiązań służących do uwierzytelniania komunikacji od podmiotów prowadzących depozyty, zarządzających funduszami oraz systemów zapewniających zgodność z przepisami.

Typowe błędy, których należy unikać

We wszystkich trzech typach podmiotów pewne uchybienia wdrożeniowe pojawiają się na tyle regularnie, że wymagają szczególnej uwagi. Każde z nich powoduje konkretną lukę w mechanizmach kontroli technicznej lub dokumentacji dotyczącej zgodności.

Traktowanie uwierzytelniania wiadomości e-mail jako opcjonalnego. FTC wyraźnie zaleciła uwierzytelnianie wiadomości e-mail, a zawarte w przepisach wymagania dotyczące kontroli dostępu, monitorowania i reagowania na incydenty stanowią bezpośrednią podstawę do zapewnienia zgodności z przepisami. Traktowanie protokołów DMARC, SPF i DKIM jako opcjonalnych dodatków nie ma już uzasadnienia.

Wdrażanie protokołu DMARC bez inwentaryzacji źródeł wysyłających. Opublikowanie polityki DMARC przed zakończeniem audytu źródeł wysyłających powoduje, że legalni nadawcy nie przechodzą kontroli uwierzytelniania po wdrożeniu egzekwowania, co zakłóca działanie i podważa cel programu zgodności.

Zbyt pochopne przejście do etapu p=reject. Przejście do etapu egzekwowania przed rozwiązaniem wszystkich problemów związanych z zgodnością SPF i DKIM zakłóca prawidłowe dostarczanie wiadomości e-mail. Faza monitorowania p=none istnieje właśnie po to, aby zapobiec takiemu skutkowi i nie należy jej skracać w celu dotrzymania arbitralnego terminu.

Brak monitorowania raportów DMARC. Raporty DMARC mają wartość tylko wtedy, gdy są analizowane. Organizacje, które publikują politykę, ale ignorują wynikające z niej raporty, nie czerpią żadnych korzyści w zakresie bezpieczeństwa ani zgodności z wdrożeniem.

Brak zarządzania nadawcami zewnętrznymi. Platformy marketingowe, systemy CRM i podmioty obsługujące płatności, które wysyłają wiadomości e-mail z Twojej domeny, muszą być uwzględnione w rekordach SPF i konfiguracjach DKIM. Niezarządzani nadawcy zewnętrzni stają się wektorami spoofingu i mogą przekroczyć limit 10 wyszukiwań SPF.

Zaniedbanie kwestii przekierowywania wiadomości e-mail. Przekierowanie wiadomości e-mail narusza zgodność z SPF, a czasami także z DKIM. Organizacje korzystające z kont z przekierowaniem muszą wdrożyć ARC (Authenticated Received Chain) lub skonfigurować złagodzoną zgodność z DMARC, aby zapobiec blokowaniu legalnej poczty przekazywanej dalej.

Brak dokumentacji wdrożenia na potrzeby zapewnienia zgodności. Wdrożenie DMARC generuje dowody istotne dla audytu: rekordy DNS, raporty zbiorcze, historię zmian zasad oraz dzienniki działań naprawczych. Bez dokumentacji nie można wykazać organom regulacyjnym ani audytorom korzyści płynących z prac technicznych w zakresie zgodności z przepisami.

Wniosek

Kierunek zmian regulacyjnych w zakresie bezpieczeństwa poczty elektronicznej w sektorze usług finansowych jest jednoznaczny. Zmiany wprowadzone w 2021 r. do przepisów FTC dotyczących zabezpieczeń, wymóg zgłaszania naruszeń bezpieczeństwa obowiązujący od 2024 r. oraz wyraźne zalecenie FTC dotyczące uwierzytelniania poczty elektronicznej wskazują łącznie, że to, co jeszcze niedawno stanowiło najlepszą praktykę techniczną, staje się obecnie obowiązującym minimalnym standardem zgodności. Podmioty objęte tymi przepisami, które podejmą działania już teraz, znajdą się w znacznie lepszej sytuacji niż te, które będą czekać, aż organy egzekwujące prawo ustalą ten standard.

Uwierzytelnianie poczty elektronicznej za pomocą protokołów DMARC, SPF i DKIM to ustrukturyzowany, wdrażany etapami proces, który zapewnia wymierne korzyści w zakresie bezpieczeństwa, dokumentację gotową do kontroli oraz wykazalną zgodność z wieloma elementami przepisów dotyczących zabezpieczeń (Safeguards Rule). Organizacje, które już teraz stworzą te podstawy, poświęcą znacznie mniej czasu i środków finansowych na reagowanie na naruszenia bezpieczeństwa, zapytania organów regulacyjnych oraz skutki dla reputacji wynikające z ataków polegających na podszywaniu się pod domeny.

Niezależnie od tego, czy prowadzisz dział finansowy salonu dealerskiego, firmę pośredniczącą w udzielaniu kredytów hipotecznych, czy też niezależną firmę doradczą, proces wdrożenia przebiega tak samo. To właśnie zasoby nadawcze oraz priorytety monitorowania charakterystyczne dla danego rodzaju podmiotu decydują o tym, jak szybko uda Ci się osiągnąć zamierzone efekty.

Kolejne kroki:

1. Sprawdź, czy Twoja organizacja podlega przepisom rozporządzenia FTC w sprawie środków zabezpieczających.
2. Sprawdź aktualny stan zabezpieczeń uwierzytelniania poczty elektronicznej: sprawdź, czy protokoły SPF, DKIM i DMARC są skonfigurowane oraz na jakim poziomie polityki.
3. Należy sporządzić wykaz wszystkich systemów wysyłających wiadomości e-mail z Państwa domeny, w tym systemów partnerów finansowych, ubezpieczycieli lub systemów powierniczych.
4. Opracuj plan wdrożenia w kilku etapach, zaczynając od monitorowania p=none.
5. Przejdź do etapu egzekwowania po uwierzytelnieniu i zsynchronizowaniu wszystkich legalnych nadawców.

Najczęściej zadawane pytania

Czy przepisy FTC dotyczące zabezpieczeń mają zastosowanie do mojej działalności?

Prawdopodobnie ma to zastosowanie, jeśli Twoja firma gromadzi niepubliczne dane osobowe w ramach organizowania finansowania, obsługi kredytów hipotecznych, udzielania porad inwestycyjnych, przetwarzania płatności lub świadczenia podobnych usług finansowych. Definicja „instytucji finansowej” przyjęta przez FTC jest szersza, niż spodziewa się większość właścicieli firm.

Co się stanie, jeśli nie zastosuję się do przepisów FTC dotyczących środków zabezpieczających?

Nieprzestrzeganie przepisów może skutkować podjęciem działań egzekucyjnych przez Federalną Komisję Handlu (FTC), nałożeniem kar cywilnych oraz nakazem wdrożenia planów naprawczych. W przypadku naruszenia przepisów organy regulacyjne ocenią, czy program bezpieczeństwa informacji był odpowiedni. Niedociągnięcia wykryte po wystąpieniu incydentu pociągają za sobą znacznie poważniejsze konsekwencje niż luki w zgodności z przepisami wykryte w ramach działań zapobiegawczych.

Czy przepis FTC dotyczący środków zabezpieczających wymaga uwierzytelniania wiadomości e-mail?

Nie jest to wymienione wprost, ale w praktyce jest to wymagane. Wymogi tej zasady dotyczące kontroli dostępu, rejestrowania działań, reagowania na incydenty oraz oceny ryzyka stanowią bezpośrednie uzasadnienie dla stosowania protokołów SPF, DKIM i DMARC. FTC wyraźnie zaleciła stosowanie DMARC w oficjalnych wytycznych.

Jak długo trwa wdrożenie DMARC?

Zazwyczaj trwa to od 8 do 12 tygodni od pierwszego audytu źródła wysyłki do pełnego wdrożenia mechanizmu odrzucania wiadomości. Organizacje posiadające proste środowiska pocztowe mogą zakończyć ten proces w ciągu czterech do sześciu tygodni; te, które korzystają z rozbudowanych ekosystemów zewnętrznych nadawców, zazwyczaj potrzebują całego tego czasu na uwierzytelnienie wszystkich źródeł przed podjęciem dalszych działań.

Ile kosztuje wdrożenie uwierzytelniania poczty elektronicznej?

SPF, DKIM i DMARC to protokoły oparte na systemie DNS, które nie wymagają opłat licencyjnych. Główne koszty to czas pracy personelu oraz narzędzia do analizy raportów DMARC. Usługi zarządzane, takie jak PowerDMARC, kosztują zaledwie ułamek kwoty 129 200 USD , jaką wynosi średnia strata spowodowana incydentami BEC, i pozwalają zespołom bez dedykowanego personelu ds. bezpieczeństwa radzić sobie ze złożonością związaną z nadawcami zewnętrznymi.

Czy mogę wdrożyć protokół DMARC bez zakłócania prawidłowego dostarczania wiadomości e-mail?

Tak, pod warunkiem przestrzegania sekwencji etapowej. Rozpoczęcie od ustawienia p=none pozwala obserwować wyniki uwierzytelniania bez zakłócania przepływu poczty. Wszyscy wiarygodni nadawcy powinni zostać zidentyfikowani i sklasyfikowani przed przejściem do ustawienia p=quarantine lub p=reject. Pominięcie tej fazy monitorowania jest główną przyczyną zakłóceń w dostarczaniu wiadomości.

W jaki sposób protokół DMARC pomaga w spełnieniu wymogu zgłaszania naruszeń wynikającego z przepisów FTC dotyczących zabezpieczeń?

Wymóg Wymóg powiadomienia w ciągu 30 dni dotyczy naruszeń, które już miały miejsce. DMARC zapobiega atakom phishingowym i spoofingowym, które są przyczyną większości naruszeń związanych z pocztą elektroniczną, co oznacza, że organizacje stosujące politykę odrzucania (p=reject) znacznie rzadziej w ogóle podlegają wymogowi zgłoszenia.

A co, jeśli mam nadawców zewnętrznych, nad którymi nie mam kontroli?

Większość renomowanych dostawców usług poczty elektronicznej, platform marketingowych i systemów CRM obsługuje podpisywanie DKIM oraz udostępnia instrukcje dotyczące autoryzacji SPF. W przypadku nadawców, którzy nie obsługują uwierzytelniania, należy wykorzystać subdomenę do komunikacji lub odnotować to ograniczenie jako znane ryzyko. PowerDMARC zapewnia wskazówki dotyczące takich złożonych środowisk nadawców.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Reputacja adresu IP a reputacja domeny: która z nich zapewni Ci dostęp do skrzynki odbiorczej? - 1 kwietnia 2026 r.
• Oszustwa związane z roszczeniami zaczynają się w skrzynce odbiorczej: jak sfałszowane wiadomości e-mail zamieniają rutynowe procesy ubezpieczeniowe w kradzież wypłat - 25 marca 2026 r.
• Przepisy FTC dotyczące zabezpieczeń: czy Twoja firma finansowa potrzebuje protokołu DMARC? - 23 marca 2026 r.