Ustawa o spoofingu i smishingu. "Nowe obowiązki i większe bezpieczeństwo"

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej weszła w życie pod koniec września bieżacego roku. Jak nowe prawo wpłynie na poprawę naszego bezpieczeństwa? Co na temat najnowszych rozwiązań ustawowych uważa ekspertka? O tym wszystkim rozmawialiśmy z Iwoną Prószyńską, specjalistką ds. komunikacji w obszarze cyberbezpieczeństwa w CERT Polska.

Lista ostrzeżeń

Co nowego wprowadza ustawa o zwalczaniu nadużyć w komunikacji elektronicznej? Nowością jest ustawowe umocowanie istniejącej już listy ostrzeżeń, która ostrzega przed fałszywymi stronami (tu wyraźnie trzeba podkreślić, że sama lista istniała już wcześniej - red.).

„Lista działa od lat i działa skutecznie” – przypomina ekspertka. Jak to w praktyce wygląda? „Do CERT Polska użytkownicy przesyłają zgłoszenia zawierające linki prowadzące do stron phishingowych. Wiadomości przechodzą przez proces podwójnej weryfikacji u naszych ekspertów i jeśli potwierdzi się, że mamy do czynienia ze stroną wyłudzającą, to trafia ona na listę i jest blokowana. To już się dzieje i do tego nie była potrzebna ustawa” – powiedziała Iwona Prószyńska. 

„Dzięki liście w ubiegłym roku zablokowaliśmy ponad 20 milionów prób wejścia na te strony (…) Dlatego, że narzędzie działa dobrze to liście postanowiono nadać rangę ustawową” – dodała.

Co zmienia uczynienie z listy narzędzia ustawowego?

„Wprowadzono drogę odwoławczą. Jeśli ktoś uważa, że znalazł się na liście niesłusznie to może odwołać się do Urzędu Komunikacji Elektronicznej. Ranga ustawowa ma też zachęcić dostawców internetu do korzystania z tego rozwiązania, po to żeby użytkownik końcowy nie musiał samodzielnie dbać o konfigurację ” – odpowiedziała nasza rozmówczyni.

Nowe uprawnienia czy obowiązki?

Czy można powiedzieć, że ustawa i jej wejście w życie spowoduje, że Państwowy Instytut Badawczy NASK zyska dodatkowe uprawnienia? Zdaniem Iwony Prószyńskiej, trudno w tej sytuacji mówić o nowych przywilejach. Według ekspertki słowem bardziej adekwatnym w zaistniałej sytuacji jest „dodatkowe zadanie”. „Dla telekomów, UKE czy CERT-u ta ustawa to są nowe zadania. Ale są to zadania, które mają pomóc w zbudowaniu większego bezpieczeństwa” – wyjaśnia.

 „Jako CERT Polska będziemy produkowali wzorce SMS-ów phishingowych do blokowania dla telekomów. Oznacza to, że NASK zyskuje dodatkowy obowiązek” - kontynuje. Wśród nowości znajduje się też prowadzenie listy nadpisów. Czym są? „Cyberprzestępcy mogą podszyć się pod nadpis – nazwę nadawcy (np. banku). (…) To jest de facto spoofowany numer. Wyświetla się numer nam znany, a po drugiej stronie mamy do czynienia z cyberprzestępcą” – wyjaśnia przedstawicielka CERT Polska.

„Przez to, że będzie prowadzona lista nadpisów oficjalnych instytucji, to nie będzie możliwe podszycie się pod nie” – dodała, wyjaśniając przy okazji kolejną, bardzo istotną kwestię. „Spotykamy się często z sytuacją, gdzie osoba zgłaszająca mówi: »Dzwoniono do mnie z konkretnego numeru, a skoro macie podany ten numer to możecie złapać kogoś za rękę«. Niestety, nie możemy. To są numery spoofowane, czyli de facto mamy osobę dzwoniącą z zupełnie innego numeru, niż ten który się wyświetla” - dodała nasza rozmówczyni, która uważa to za kolejne wyzwanie - tym razem po stronie telekomów.

„Wciąż mamy do czynienia z oszustwami, które opierają się na telefonie od rzekomego konsultanta bankowego. Chcemy ten typ oszustwa wyeliminować wprowadzając listę numerów, z których nie mogą być wykonywane połączenia wychodzące”– podkreśliła.

Plusy i minusy

Zdaniem Iwony Prószyńskiej, jednym z atutów nowego prawa jest to, że dzięki ustawie powinniśmy w dużej części wyeliminować spoofing (szczególnie mailowy, w czym pomoże serwis „Bezpieczna poczta”). „Jeśli mechanizmy skonfigurowane są poprawnie to nie ma możliwości dla cyberprzestępcy, aby to obejść” – dodała.

„Jeśli wszyscy dostawcy usług pocztowych powyżej 500 tys. użytkowników, a także dostawcy usług pocztowych dla podmiotów publicznych dokonają poprawnej konfiguracji,  to nie będzie możliwości podszycia się pod ich domenę. Wierzymy, że ta ustawa niejako wyznaczy trend, za którym pójdą też pozostali administratorzy. W ten sposób wszyscy wzajemnie zapewniamy sobie bezpieczeństwo” – wyjaśniła nasza rozmówczyni.

A jakie są minusy ustawy? „Jeśli chodzi o phishing to najskuteczniejsza jest oczywiście nasza lista ostrzeżeń, ale próbujemy rozszerzyć spectrum działania, tym razem uderzając w sposób dostarczania wiadomości przez oszustów, dlatego wzorce to kolejne ważne rozwiązanie które wprowadzamy ale..”

„My zidentyfikujemy jakiś wzorzec konkretnych smsów phishingowych, przekażemy go do telekomu do zablokowania. Cyberprzestępcy zobaczą, że do niewielu osób dociera wiadomość, a jeszcze mniej osób w nią wchodzi. Zorientują się, że wzorzec musi być na liście. Co zrobią? Wymyślą nowy. Dlatego wciąż najskuteczniejszą formą walki z phishingiem będzie lista, ale wzorce ją dodatkowo uzupełnią” – podsumowała.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].