Facebook

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Nowe przepisy pomogą walczyć z cyberprzestępstwami
POLECAMY
A A A  drukuj artykuł

Nowe przepisy pomogą walczyć z cyberprzestępstwami

Gazeta Podatkowa nr 83 (2062) z dnia 16.10.2023
Marta Stefanowicz - Wasilewska

W ostatnich miesiącach coraz głośniej mówi się o atakach na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych. Skuteczna walka z cyberprzestępcami wymaga odpowiednich regulacji prawnych, których do tej pory brakowało w polskim ustawodawstwie. Naprzeciw tym potrzebom wychodzi zupełnie nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która jednocześnie wdraża dyrektywy unijne. Przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie rozwiązań przewidzianych w tej ustawie (zasadniczo ustawa weszła w życie z dniem 25 września br.). Dzięki tym regulacjom ma się zmniejszyć ilość fałszywych połączeń, SMS-ów oraz domen internetowych.

Nadużycia w komunikacji elektronicznej

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza ogólną zasadę stanowiącą, że nadużycia w komunikacji elektronicznej są zakazane. W jej rozumieniu nadużyciem w komunikacji elektronicznej jest świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej. W art. 3 ustawy zawarto otwarty katalog nadużyć w komunikacji elektronicznej. Jest to katalog otwarty, ponieważ wobec postępu technologicznego nie jest możliwe zidentyfikowanie wszystkich form nadużyć. Dookreślone zostały cztery szczególne (podstawowe) formy nadużyć w komunikacji elektronicznej (patrz ramka).

Rodzaje naruszeń w komunikacji elektronicznej

» Smishing - to fałszywe SMS-y podszywające się pod wiadomość od kuriera, z banku czy instytucji publicznej. Zawierają np.: link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków.
» Spoofing - to podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby, powiązany z próbą zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych.
» Generowanie sztucznego ruchu - jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony).
» Nieuprawniona zmiana informacji adresowej - przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację - ta forma oszustwa jest wykorzystywana np.: w celu utrudnienia rozliczenia za połączenie.

Blokowanie wiadomości SMS

Zasadniczo przedsiębiorcy telekomunikacyjni zostali zobowiązani do podejmowania działań mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej. Przepisy nakładają na nich obowiązek blokowania krótkich wiadomości tekstowych (SMS), które zawierają treści wyczerpujące znamiona smishingu, a także połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję. Monitorowaniem występowania smishingu zajmuje się Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK), który działa w Naukowej i Akademickiej Sieci Komputerowej - Państwowym Instytucie Badawczym. Już w kwietniu 2021 r. uruchomiono usługę polegającą na możliwości zgłoszenia przez odbiorców podejrzanego SMS-a. Zadaniem CSIRT NASK jest monitorowanie występowania zjawiska smishingu na podstawie danych dobrowolnie przekazanych mu przez podmioty trzecie - odbiorców SMS czy np. samych przedsiębiorców telekomunikacyjnych przez przekazanie SMS na specjalny numer 8080. Na podstawie wyników monitorowania smishingu CSIRT NASK stworzy wzorzec wiadomości wyczerpującej znamiona smishingu, który będzie przekazywany przedsiębiorcom telekomunikacyjnym za pomocą nowego systemu teleinformatycznego. Następnie ci przedsiębiorcy, za pomocą własnych systemów teleinformatycznych, będą mieli za zadanie blokować automatycznie SMS, których treść jest niezgodna z wzorcem. Dostęp do systemu teleinformatycznego CSIRT NASK będzie miał również Komendant Centralnego Biura Zwalczania Cyberprzestępczości oraz Prezes Urzędu Komunikacji Elektronicznej. Oczywiście nadawca takiej wiadomości będzie miał możliwość wniesienia sprzeciwu do Prezesa UKE wobec zablokowania krótkiej wiadomości tekstowej (SMS) zawierającej treści zawarte we wzorcu wiadomości wyczerpującej znamiona smishingu.

Blokowanie połączeń

Ustawa nakłada na przedsiębiorców telekomunikacyjnych obowiązek zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia CLI spoofing. Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu, jest bardzo wysokie lub wysokie. W pozostałych przypadkach przedsiębiorca telekomunikacyjny powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, że odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów.

Niektórzy oszuści podszywają się pod jednostki sektora finansów publicznych czy przedsiębiorców, wykorzystując numery infolinii tych podmiotów. Numery te nie są wykorzystywane do wykonywania połączeń do konsumentów czy obywateli. Jednakże nieświadomy użytkownik końcowy, widząc numer takiego podmiotu, może mieć wrażenie, że rzeczywiście ktoś dzwoni do niego m.in. z urzędu lub z banku. Stąd ustawa nałożyła na Prezesa UKE obowiązek prowadzenia jawnego wykazu numerów, które służą wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Chodzi tutaj o to, aby połączenie było inicjowane tylko w jednym kierunku przez np. konsumenta, który ze swojego numeru dzwoni na numer infolinii np. banku. Numer ten nie będzie służył do inicjowania połączenia przez przykładowy bank. Oszust, próbując wykorzystać numer wpisany do wykazu do oszustwa, również nie osiągnie swojego celu, ponieważ połączenie to zostanie od razu zablokowane.

Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest "e-US" używany przez Krajową Administrację Skarbową. Do prowadzenia wykazu nadpisów zastrzeżonych dla podmiotów publicznych również został zobowiązany CSIRT NASK.

Ponadto ustawa nakłada na dostawców poczty elektronicznej dla co najmniej 500.000 użytkowników oraz podmioty publiczne obowiązek stosowania przy świadczeniu usługi poczty elektronicznej mechanizmu uwierzytelnienia SPF/DKIM/DMARC.

Fałszywe strony internetowe

Już od 2020 r. funkcjonuje lista oszukańczych domen, kradnących lub wyłudzających dane. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. W tej chwili na liście jest ponad 130.000 pozycji. Do tej pory lista funkcjonowała jedynie jako ostrzeżenie dla użytkowników, teraz zyskała umocowanie ustawowe. Oznacza to, że przedsiębiorcy telekomunikacyjni mogą z automatu blokować dostęp do takich fałszywych domen internetowych.

Podstawa prawna

Ustawa z dnia 28.07.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703)

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.