Mniej spoofingu i fałszywych wiadomości. Ustawa działa?

Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii wiceminister cyfryzacji Michał Gramatyka przedstawił wnioski na temat funkcjonowania ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.

Ustawa weszła w życie 25 września 2023 roku. Wdraża przepisy unijnej dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej, o czym pisaliśmy na łamach CyberDefence24. Określono w niej prawa i obowiązki przedsiębiorców telekomunikacyjnych związane ze zwalczaniem nadużyć oraz kompetencje Prezesa Urzędu Komunikacji Elektronicznej.

Jak podkreślił Michał Gramatyka, ustawa zapewniła wsparcie w kilku obszarach. Przede wszystkim państwo podjęło działania na rzecz stworzenia wzorców wiadomości, które zmierzają do oszukańczych praktyk, a następnie blokowania wszelkich wiadomości tekstowych, które się w te wzorce wpisują. Dodatkowo umożliwiono zastrzeżenie sender ID oraz wprowadzono działania na rzecz walki ze smishingiem.

Walka z fałszywymi wiadomościami i domenami

Przepisy przede wszystkim przyczyniły się do zwalczania problemu fałszywych wiadomości. Jak podał w serwisie LinkedIn Marcin Wysocki, Zastępca Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, do listopada 2024 r. CSIRT NASK opracował 643 wzorce złośliwych komunikatów, które pozwoliły zablokować 1 122 650 prób oszukania odbiorców.

Działania podejmowane na podstawie ustawy dotyczyły także walki z oszukańczymi domenami internetowymi, w tym poprzez funkcjonowanie listy ostrzeżeń prowadzonej przez CSIRT NASK. Odkąd powstała, wpisano na nią 215 423 domen.

Bezpieczeństwo domen rządowych

W II połowie 2022 r. CSIRT NASK przeprowadził również badanie domen funkcjonujących w gov.pl pod kątem zabezpieczeń. Sprawdzono, ile domen posiada takie mechanizmy jak DMARC czy SPF.

Rekord SPF ma na celu wprowadzenie zabezpieczenia serwerów pocztowych przed przyjmowaniem poczty z niedozwolonych źródeł oraz służy do uwierzytelniania adresu email, z którego wysyłane są wiadomości.

DMARC to mechanizm definiujący jak ma zachować się serwer pocztowy otrzymujący wiadomość nieprzechodzącą weryfikacji za pomocą SPF czy DKIM. Jeśli wiadomość zostanie zakwalifikowana jako spam, to np. może trafić do kwarantanny lub zostać usunięta.

W wyniku tego badania ustalono, że 30% domen posiadało w 2022 roku mechanizm DMARC, a 81% mechanizm SPF. Dane z listopada 2024 pokazują, że liczba ta się istotnie zwiększyła - 77% domen w gov.pl posiada DMARC oraz 92% posiada SPF.

Lista DNO

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej zobowiązała Prezesa Urzędu Komunikacji Elektronicznej do prowadzenia wykazu numerów służących wyłącznie do odbierania połączeń głosowych (DNO), a przedsiębiorców telekomunikacyjnych świadczących usługi połączeń głosowych do blokowania połączeń przychodzących do ich sieci z wykorzystaniem numeru wpisanego w wykazie.

Wykaz ten obejmuje takie dane jak: numer telefoniczny, datę wpisania numeru do wykazu oraz datę wykreślenia numeru z wykazu. Podmioty, które są uprawnione do składania wniosku w sprawie wpisania numeru do wykazu to m.in. bank, fundusz inwestycyjny, zakład ubezpieczeń, zakład reasekuracji czy jednostka sektora finansów publicznych.

Numery te mogły być wykorzystywane do podszywania się pod te podmioty. Dzięki podjętym działaniom ograniczono problem oszustw telefonicznych, w których oszuści podawali za pracowników instytucji finansowych.

W 2024 roku przedsiębiorcy telekomunikacyjni zrzeszeni w Polskiej Izbie Informatyki i Telekomunikacji blokowali około 500 tys. oszukańczych połączeń dziennie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].