Polityka i prawo

Do więzienia za spoofing? Znamy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

Fot. Girl with red hat / Unsplash

Proponowane rozwiązania mają tworzyć ramy prawne dla zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych, ograniczyć skalę takich zajwisk jak spoofing i chronić użytkowników – wynika z uzasadnienia przygotowanego przez ministra cyfryzacji.

„Z usług dostarczanych przez przedsiębiorców telekomunikacyjnych codziennie korzysta wiele milionów osób. Usługi te są również coraz szerzej i w sposób bardziej wyszukany wykorzystywane przez przestępców w celu wyrządzenia szkód po stronie przedsiębiorców telekomunikacyjnych, użytkowników końcowych lub osiągnięcie nienależnych korzyści" – czytamy.

Jak wskazano, w ostatnich miesiącach nasiliły się ataki na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych.

„Przestępcy, stosując specjalne bramki internetowe VoIP podszywali się pod numer zaufanych instytucji czy osoby publiczne i dzwonili z rzekomo prawdziwego numeru. W ten sposób próbowali nakłonić odbiorców do niekorzystnego działania czy w niektórych przypadkach nawet próbowali ich zastraszyć" – napisano w uzasadnieniu projektu.

Słabość sieci telekomunikacyjnych narzędziem dla przestępców?

W dokumencie stwierdzono, że przestępcy w swoich działaniach wykorzystują słabości sieci telekomunikacyjnych. To przez nie właśnie operatorzy sieci mobilnych nie mogą weryfikować, czy połączenie z danego numeru faktycznie pochodzi z przypisanej do niego karty SIM. „Zjawisko to występuje pod nazwą CLI Spoofing" – napisano.

Fałszywe SMS-y to kolejne obok spoofingu zjawisko, które uwzględniono w projekcie ustawy. „Oszuści podszywając się pod zaufane instytucje próbują nakłonić nieświadome ofiary do ujawnienia danych osobowych, informacji o karcie kredytowej czy zainfekować urządzenie poprzez kliknięcie w link wiadomości" – czytamy w uzasadnieniu projektu legislacji, która ma walczyć również ze smishingiem.

Co zmieni nowa ustawa?

„Proponowane rozwiązania mają służyć stworzeniu odpowiednich ram prawnych do podejmowania działań w zakresie zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych, a w dalszej perspektywie pozwolą w większym stopniu niż obecnie ograniczyć skalę nadużyć i chronić bezpieczeństwo użytkowników" – twierdzi inicjator projektu, którym jest minister cyfryzacji.

Czytaj też

Jak podkreśla, kwestia zwalczania tego rodzaju nadużyć nie jest regulowana w Europejskim Kodeksie Łączności Elektronicznej i nie była do tej pory regulowana przez ustawę Prawo telekomunikacyjne.

Nowe zapisy zdefiniują prawa i obowiązki przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej oraz podmiotu publicznego w związku ze zwalczaniem i zapobieganiem nadużyciom w komunikacji elektronicznej. Co istotne, regulacja określa też zasady wnoszenia sprzeciwu przez nadawcę SMS-a, jeśli zostanie on niesłusznie uznany za nadużycie.

Ustawa tworzy również definicję komunikatu elektronicznego – to każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej.

Komunikat elektroniczny nie obejmuje informacji przekazywanych jako część transmisji radiofonicznych lub telewizyjnych – zaznaczono.

Jak zdefiniowano nadużycie?

W myśl nowej ustawy, nadużycie to „świadczenie lub korzystanie z usługi telekomunikacyjnej lub urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, którego celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu , użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści".

Czytaj też

Ustawa wprowadza otwarty katalog nadużyć, które mogą zostać dokonane w komunikacji elektronicznej. „Wobec postępu technologicznego nie jest możliwe zidentyfikowanie wszystkich form" – napisano w uzasadnieniu projektu.

W regulacji dookreślono trzy podstawowe formy, które nadużycia mogą przybierać.

To sztuczny ruch - inicjowanie wysyłania lub odbieranie komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe.

To także smishing, czyli wysyłanie krótkich wiadomości tekstowych SMS, w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę www, żądania kontaktu telefonicznego lub instalacji oprogramowania.

Czytaj też

Ostatecznie wskazano CLI spoofing, czyli nieuprawnione posłużenie się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania.

„Jako przykład CLI spoofing można wskazać nieuprawnione wykorzystywanie numeracji jako informacji adresowej w postaci numeru telefonu lub identyfikatora użytkownika inicjującego połączenie, do wykorzystywania której podmiot nie ma uprawnień" – dodano.

Proporcjonalne działania przeciwko nadużyciom

Ustawa bardzo duży nacisk kładzie na proporcjonalność działań przeciwko nadużyciom, które zależne będą od wielkości podmiotu – obowiązek przeciwdziałania nadużyciom będzie dotyczył zarówno dużych firm telekomunikacyjnych, jak i małych oraz średnich przedsiębiorców.

W uzasadnieniu zwrócono uwagę, że działania podejmowane przez te podmioty będą zależne m.in. od posiadanej infrastruktury czy charakteru świadczonych usług.

NASK odpowiedzialny za monitorowanie smishingu

Podmiotem odpowiedzialnym za monitorowanie smishingu ma być CSIRT NASK, którego zadaniem będzie informowanie o nadużyciach przedsiębiorców telekomunikacyjnych. Będzie się to odbywało za pomocą specjalnego systemu teleinformatycznego, do którego dostęp będą mieli również Komendant Główny Policji i Prezes Urzędu Komunikacji Elektronicznej (UKE).

Po otrzymaniu informacji o nadużyciu, przedsiębiorca telekomunikacyjny ma blokować SMS-y zgodne ze wzorem przekazywanym przez CSIRT NASK od dalszej dystrybucji.

Wykaz numerów

W art. 9 ustawy określono obowiązek Prezesa UKE, który w myśl nowych przepisów będzie zobowiązany do prowadzenia jawnego wykazu numerów służących wyłącznie do odbierania połączeń głosowych.

Czytaj też

„Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wykaz będzie prowadzony w systemie teleinformatycznym Prezesa UKE i udostępniany na stronie podmiotowej Biuletynu Informacji Publicznej UKE" – czytamy w uzasadnieniu projektu.

Dodatkowe obowiązki dla dostawców poczty elektronicznej

Projekt proponuje wprowadzenie nowych obowiązków dla dostawców poczty elektronicznej, którzy obsługują co najmniej 500 tys. użytkowników lub co najmniej 500 tys. aktywnych kont pocztowych jak i podmioty publiczne. Będą to obowiązki z zakresu bezpieczeństwa.

Dostawcy będą mieli obowiązek stosować jeden z trzech wymienionych w ustawie mechanizmów uwierzytelniania poczty elektronicznej. To DMARC, DKIM lub SPF.

Kary pieniężne za nieprzestrzeganie przepisów

W art. 15 ustawy wyszczególniono przepisy o karach pieniężnych za nieprzestrzeganie zapisów nowej regulacji. Jak czytamy, karze będą podlegać podmioty dokonujące nadużyć w komunikacji elektronicznej. Może ona objąć (fakultatywnie) również przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej nie wypełniających obowiązków wynikających z ustawy.

Wpływy z kar mają stanowić przychód Funduszu Cyberbezpieczeństwa.

Do więzienia za spoofing?

Za nadużycia, które określono w ustawie, będzie można zostać skazanym na karę pozbawienia wolności od 3 do 5 lat (w przypadku CLI spoofingu dokonywanego celem osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie).

W przypadku nadużyć mniejszej wagi sprawcy będą podlegać grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku – zaproponowano w projekcie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także