Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej już niedługo wejdzie w życie – sprawdź korzyści jakie niesie to dla Ciebie i Twoich bliskich
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ogłoszona. Pisaliśmy już o tym tutaj. Co się zmieni?
Zacznijmy od najważniejszej kwestii, czyli nadużycia w komunikacji elektronicznej. Zanim będzie można je zwalczać, należy precyzyjnie określić co jest niedozwolone. Ustawa wprowadza więc następującą definicję:
Nadużycie w komunikacji elektronicznej – świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej
Ustawodawca dodaje także przepisy karne umieszczone w artykułach od 29 do 32, które za powyższe przestępstwo ustanawiają karę pozbawienia wolności od 3 miesięcy do 5 lat. W szczególnych wypadkach mniejszej wagi, kara może zostać zmniejszona do grzywny, kary ograniczenia wolności lub pozbawienia wolności do roku.
Ale co z tym zwalczaniem?
Skoro już ustaliliśmy definicję nadużycia, możemy przejść do jego konkretnych wariantów, którym ma przeciwdziałać nowa ustawa:
Edukacja to istotna forma walki z zagrożeniami. Równie ważne jest jednak ograniczenie rozprzestrzeniania się oszustwa, czyli spowodowanie, że dotrze ono do jak najmniejszej liczby osób. Przykładem są wykorzystywane od lat mailowe filtry antyspamowe. Ustawa wprowadza podobne mechanizmy w odniesieniu do wskazanych powyżej poularnych zagrożeń. W dalszej części artykułu zostaną one przybliżone.
Wszystkie terminy w artykule są liczone od dnia ogłoszenia ustawy, czyli 25 sierpnia 2023 r.
Co się zmienia w walce z phishingiem?
Phishing, czyli strony internetowe wyłudzające dane to zdecydowanie najpoważniejsze zagrożenie występujące w Polsce. Statystyki przedstawione w raporcie za rok 2022 wskazują, że 65% zarejestrowanych incydentów dotyczy tego zjawiska.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej przewiduje umocowanie prawne działającego już od marca 2020 roku projektu Listy ostrzeżeń. Lista pozwala dostawcom internetu, którzy zawrą porozumienie z Ministerstwem Cyfryzacji, NASK – Państwowym Instytutem Badawczym oraz Urzędem Komunikacji Elektronicznej, na blokowanie ruchu do stron phishingowych na poziomie serwerów DNS.
Lista ostrzeżeń jest projektem, który skutecznie zmniejsza efekty kampanii phishingowych w Polsce. Od początku jej działania zablokowano 47 mln prób wejść na ponad 54 tys. złośliwych domen.
Jak powstrzymać smishing?
Smishing, czyli dystrybucja linków do stron phishingowych w SMS-ach, to potężne narzędzie w rękach przestępców. Od początku tego roku przyjęto prawie 50 tys. zgłoszeń wiadomości, które prowadziły do oszustwa.
Blokowanie tego zjawiska zostało rozbite na dwa aspekty. Pierwszym z nich jest prowadzenie przez CSIRT NASK wykazu wzorców złośliwych wiadomości. Operatorzy będą mieli obowiązek zablokowania wiadomości przychodzącej, jeżeli pokryje się ona z jakimkolwiek wzorcem znajdującym się w wykazie. Każdy wzorzec musi zostać upubliczniony w terminie od 14 do 21 dni od pojawienia się w wykazie.
Drugim elementem jest walka z częstym wykorzystywaniem w oszustwach spraw urzędowych m.in. zwrotu podatku czy opłaty mandatu. W tym celu zostanie wprowadzona ochrona wykorzystywanych przez podmioty publiczne nadpisów nadawcy SMS. Ten proces składa się z 2 elementów:
- stworzenia wykazu zastrzeżonych nadpisów SMS oraz ich złośliwych wariantów,
- listy integratorów usług SMS świadczących usługi dla podmiotów publicznych, prowadzonej przez Urząd Komunikacji Elektronicznej.
Na listę nadpisów będzie się składać jawny element w postaci wykorzystywanego nadpisu zastrzeżonego przez podmiot publiczny wraz z nazwą tego podmiotu oraz utajniona lista złośliwych wariantów tego nadpisu. Taki podział ma na celu z jednej strony udostępnienie obywatelom listy nadpisów, którym mogą zaufać, przy jednoczesnym nieudostępnianiu nadmiernych informacji przestępcom.
Nowa ustawa wprowadza także w tym kontekście pewne obowiązki dla przedsiębiorców telekomunikacyjnych. Będą oni musieli:
- blokować wiadomości SMS z nadpisem będącym w grupie złośliwych wariantów,
- blokować wiadomości SMS z nadpisem dozwolonym, jeżeli nie zostały wysłane przez integratora usług SMS będącego na liście UKE.
Integrator usług SMS może skorzystać z nadpisu znajdującego się na wykazie zastrzeżonych nadpisów tylko na zlecenie podmiotu publicznego, do którego należy ten nadpis.
CSIRT NASK musi uruchomić system udostępniający stworzone wykazy w terminie 3 miesięcy, a następnie operatorzy w przeciągu kolejnych 3 miesięcy muszą się do niego przyłączyć.
Walka z fałszywymi e-mailami
Fałszywe e-maile są nadal poważnym zagrożeniem, które doprowadza wiele instytucji do strat. Mogą one służyć do dystrybucji phishingu, złośliwego oprogramowania czy oszustwa „na prezesa” czyli sytuacji, w której pracownik otrzymuje od rzekomego przełożonego pilne zadanie, często związane z przelaniem dużej kwoty pieniędzy. Sam protokół SMTP służący do przesyłania wiadomości pochodzi z 1982 roku i mimo aktualizacji na przestrzeni lat, w swej podstawowej wersji posiada wiele słabości, głównie dlatego, że nie był tworzony z myślą o bezpieczeństwie.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wymusza na dostawcach poczty dla co najmniej 500 000 użytkowników lub dla podmiotu publicznego korzystanie z mechanizmów:
- SPF (ang. Sender Policy Framework)
- DMARC (ang. Domain-based Message Authentication, Reporting & Conformance)
- DKIM (ang. DomainKeys Identified Mail)
Powyższe mechanizmy powstały na przestrzeni lat i działając wspólnie są w stanie zarówno uniemożliwić wykorzystanie naszej domeny w spoofingu e-mail, jak i zmaksymalizować szanse na wykrycie fałszywej wiadomości. Ich funkcjonowanie zostało szczegółowo opisane w artykule. W związku z nowym obowiązkiem korzystania z tych mechanizmów przez podmioty publiczne, stworzono usługę Bezpiecznapoczta, która pomoże określić poprawność i skuteczność implementacji wspomnianych zabezpieczeń. Jeżeli w aktualnej ofercie pocztowej, z której korzysta podmiot publiczny, istnieje możliwość skonfigurowania mechanizmów ochrony poczty lub poczta jest obsługiwana samodzielnie, to podmiot publiczny ma 30 dni na wprowadzenie ich w życie.
Jednak nie wszystkie fałszywe wiadomości e-mail są związane z niedoskonałością mechanizmów pocztowych. Równie groźne, są te wysyłane z przejętych skrzynek pocztowych. Z tego powodu ustawa wprowadza obowiązek umożliwienia podmiotom publicznym korzystania z uwierzytelnienia wieloskładnikowego.
Jak powyższe zapisy wpływają na dostawców poczty?
Na te pytanie odpowiadają artykuły 40 oraz 41. Dostawca poczty świadczący usługi podmiotom publicznym, który nie ma w ofercie uwierzytelnienia wieloskładnikowego, musi w przeciągu 6 miesięcy przedstawić ofertę, która zapewni tę funkcjonalność. W kwestii wdrożenia mechanizmów SPF, DMARC i DKIM dostawca usługi ma 3 miesiące na włączenie ich do oferty aktualnej umowy.
Telefon z banku
Na przestrzeni ostatnich lat urosło w siłę oszustwo polegające na korzystaniu z techniki CLI spoofing (ang. Caller ID Spoofing), która polega na modyfikacji pola wyświetlanego numeru połączenia przychodzącego. Przykładowym zastosowaniem tej metody jest oszustwo, w którym dzwoni do nas osoba przedstawiająca się za pracownika banku, a numer „z którego dzwoni” jest łatwym do wyszukania w internecie numerem infolinii banku. W rzeczywistości dzwoni do nas z innego numeru, a wyświetlana wartość to tylko napis, którym się „nam przedstawia”, tak samo jak wyświetla się nazwa zapisanego w naszym telefonie kontaktu.
W przeciwieństwie do zabezpieczania wiadomości e-mail w tym wypadku nie ma w pełni sprawdzonych mechanizmów. Pierwszym aspektem walki z CLI Spoofingiem jest wprowadzenie narzędzia funkcjonującego już m.in. w Wielkiej Brytanii, czyli listy numerów, z których nie można wykonywać połączeń. Zamysł takiej listy polega na zgłaszaniu przez instytucje numerów infolinii, które można wyszukać łatwo w internecie, co sprawia, że historia przedstawiana przez dzwoniącego jest wiarygodna. Takie numery, które pełnią tylko funkcję odbiorczą oraz są łatwe do powiązania z instytucją, powinny być zgłoszone do Prezesa Urzędu Komunikacji Elektronicznej, który stworzy dla nich dedykowaną listę. Operatorzy telekomunikacyjni są zobowiązani do blokowania połączeń wychodzących z numerów będących na tej liście najpóźniej za 6 miesięcy.
Drugim zadaniem nałożonym na operatorów jest obowiązek blokowania lub ukrywania sfałszowanego identyfikatora w przypadku rozpoznania CLI Spoofingu. Ten przepis wchodzi po 12 miesiącach.
źródło informacji: CERT.PL