W ostatnich miesiącach coraz głośniej mówi się o atakach na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych. Skuteczna walka z cyberprzestępcami wymaga odpowiednich regulacji prawnych, których do tej pory brakowało w polskim ustawodawstwie. Naprzeciw tym potrzebom wychodzi zupełnie nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która jednocześnie wdraża dyrektywy unijne. Przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie rozwiązań przewidzianych w tej ustawie (zasadniczo ustawa weszła w życie z dniem 25 września br.). Dzięki tym regulacjom ma się zmniejszyć ilość fałszywych połączeń, SMS-ów oraz domen internetowych.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza ogólną zasadę stanowiącą, że nadużycia w komunikacji elektronicznej są zakazane. W jej rozumieniu nadużyciem w komunikacji elektronicznej jest świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej. W art. 3 ustawy zawarto otwarty katalog nadużyć w komunikacji elektronicznej. Jest to katalog otwarty, ponieważ wobec postępu technologicznego nie jest możliwe zidentyfikowanie wszystkich form nadużyć. Dookreślone zostały cztery szczególne (podstawowe) formy nadużyć w komunikacji elektronicznej (patrz ramka).
Rodzaje naruszeń w komunikacji elektronicznej
|
Zasadniczo przedsiębiorcy telekomunikacyjni zostali zobowiązani do podejmowania działań mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej. Przepisy nakładają na nich obowiązek blokowania krótkich wiadomości tekstowych (SMS), które zawierają treści wyczerpujące znamiona smishingu, a także połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję. Monitorowaniem występowania smishingu zajmuje się Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK), który działa w Naukowej i Akademickiej Sieci Komputerowej - Państwowym Instytucie Badawczym. Już w kwietniu 2021 r. uruchomiono usługę polegającą na możliwości zgłoszenia przez odbiorców podejrzanego SMS-a. Zadaniem CSIRT NASK jest monitorowanie występowania zjawiska smishingu na podstawie danych dobrowolnie przekazanych mu przez podmioty trzecie - odbiorców SMS czy np. samych przedsiębiorców telekomunikacyjnych przez przekazanie SMS na specjalny numer 8080. Na podstawie wyników monitorowania smishingu CSIRT NASK stworzy wzorzec wiadomości wyczerpującej znamiona smishingu, który będzie przekazywany przedsiębiorcom telekomunikacyjnym za pomocą nowego systemu teleinformatycznego. Następnie ci przedsiębiorcy, za pomocą własnych systemów teleinformatycznych, będą mieli za zadanie blokować automatycznie SMS, których treść jest niezgodna z wzorcem. Dostęp do systemu teleinformatycznego CSIRT NASK będzie miał również Komendant Centralnego Biura Zwalczania Cyberprzestępczości oraz Prezes Urzędu Komunikacji Elektronicznej. Oczywiście nadawca takiej wiadomości będzie miał możliwość wniesienia sprzeciwu do Prezesa UKE wobec zablokowania krótkiej wiadomości tekstowej (SMS) zawierającej treści zawarte we wzorcu wiadomości wyczerpującej znamiona smishingu.
Ustawa nakłada na przedsiębiorców telekomunikacyjnych obowiązek zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia CLI spoofing. Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu, jest bardzo wysokie lub wysokie. W pozostałych przypadkach przedsiębiorca telekomunikacyjny powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, że odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów.
Niektórzy oszuści podszywają się pod jednostki sektora finansów publicznych czy przedsiębiorców, wykorzystując numery infolinii tych podmiotów. Numery te nie są wykorzystywane do wykonywania połączeń do konsumentów czy obywateli. Jednakże nieświadomy użytkownik końcowy, widząc numer takiego podmiotu, może mieć wrażenie, że rzeczywiście ktoś dzwoni do niego m.in. z urzędu lub z banku. Stąd ustawa nałożyła na Prezesa UKE obowiązek prowadzenia jawnego wykazu numerów, które służą wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Chodzi tutaj o to, aby połączenie było inicjowane tylko w jednym kierunku przez np. konsumenta, który ze swojego numeru dzwoni na numer infolinii np. banku. Numer ten nie będzie służył do inicjowania połączenia przez przykładowy bank. Oszust, próbując wykorzystać numer wpisany do wykazu do oszustwa, również nie osiągnie swojego celu, ponieważ połączenie to zostanie od razu zablokowane.
Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest "e-US" używany przez Krajową Administrację Skarbową. Do prowadzenia wykazu nadpisów zastrzeżonych dla podmiotów publicznych również został zobowiązany CSIRT NASK.
Ponadto ustawa nakłada na dostawców poczty elektronicznej dla co najmniej 500.000 użytkowników oraz podmioty publiczne obowiązek stosowania przy świadczeniu usługi poczty elektronicznej mechanizmu uwierzytelnienia SPF/DKIM/DMARC.
Już od 2020 r. funkcjonuje lista oszukańczych domen, kradnących lub wyłudzających dane. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. W tej chwili na liście jest ponad 130.000 pozycji. Do tej pory lista funkcjonowała jedynie jako ostrzeżenie dla użytkowników, teraz zyskała umocowanie ustawowe. Oznacza to, że przedsiębiorcy telekomunikacyjni mogą z automatu blokować dostęp do takich fałszywych domen internetowych.
Podstawa prawna
Ustawa z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703)
|