- Zapraszam na cyber długi weekend z lekturą obiecanej dawno ustawy o zwalczaniu nadużyć telekomunikacyjnych - napisał Janusz Cieszyński, minister w Kancelarii Prezesa Rady Ministrów, pełnomocnik Rządu do Spraw Cyberbezpieczeństwa. I choć weekend jest dług, to skierowany do konsultacji publicznych projekt o zwalczaniu nadużyć w komunikacji elektronicznej, jak na polskie standardy legislacyjne, jest krótki i zwięzły. Liczy 12 strony i tylko 23 artykuły. Te jednak przewidują dużo nowych obowiązków dla operatorów telekomunikacyjnych i dostawców poczty elektronicznej. Wszystko po to, by chronić użytkowników sieci przed oszustami, wyłudzającymi m.in. pieniądze.
Walka z głuchymi telefonami i fałszywymi smsami
Jak zauważa Mateusz Kupiec z kancelarii TKP Traple, Konarski, Podrecki & Partners, zgodnie z definicją nadużyciem w komunikacji elektronicznej ma być świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści. Projekt w szczególności zakazuje nadużyć dotyczących:
- inicjowania wysyłania lub odbierania komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe (sztuczny ruch, czyli głuche telefony);
- podszywanie się w smsie pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę internetową, żądania kontaktu telefonicznego lub instalacji oprogramowania (smishing);
- nieuprawnionego posłużenia się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania (podszywanie się pod osobę dzwoniącą, CLI spoofing).
Kto zaś w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody dopuszcza się tych nadużyć, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Choć dodano, że w wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Nowe obowiązki dla telekomów i CSRIT NASK
Co ważne projekt zobowiązuje przedsiębiorca telekomunikacyjnego do podejmowania proporcjonalnych środków technicznych i organizacyjnych w celu zapobieganie nadużyciom i ich zwalczania. Na wdrożenie rozwiązań umożliwiających podejmowanie tych działań będą mieć sześć miesięcy, choć dla CLI spoofing tok.
Pomocny w walce z ndaużyciami ma być CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Jego obowiązkiem będzie bowiem analizowanie smsów i tworzenia wzorców wiadomości, w których nadawca podszywa się pod kogoś innego (smishingowych). O pojawieniu się takich smsów CSIRT NASK będzie informować policję, Urząd Komunikacji Elektronicznej, ale też przedsiębiorstwa telekomunikacyjne. Te zaś będą musiały niezwłocznie zablokować ich wysyłanie. Projekt dopuszcza też blokowanie samodzielnie wiadomości, które uzna za smishing. Ponadto projekt nakłada obowiązek na telekomy zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia CLI spoofing (podszywania się pod osobę dzwoniącą). Z kolei CSIRT NASK ma prowadzić jawną listę ostrzeżeń dotyczącą domen internetowych wyłudzających dane.
Ochrona poczty elektronicznej
Dr Michał Mostowiak, adwokat z kancelarii DLK Legal uważa, że jednym z ważniejszych wymogów przewidzianych w projekcie jest ten dotyczący bezpieczeństwa poczty elektronicznej. Projekt zobowiązuje dostawcę poczty elektronicznej:
- dla co najmniej 500 000 użytkowników,
- dla podmiotu publicznego, lub
- obsługujący co najmniej 500 000 aktywnych kont pocztowych
do stosowania dodatkowych obowiązków z zakresu bezpieczeństwa poczty elektronicznej. Będą oni mieli obowiązek stosować takie mechanizmy uwierzytelnienia: SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).
Podmioty publiczne będą zaś mogły korzystać tylko z poczty elektronicznej wykorzystującej jeden z powyższych mechanizmów.
To, czy dostawcy i podmioty publiczne wykonują przepisy ustawy, będzie kontrolować prezes Urzędu Komunikacji Elektronicznej.
Kary za nie stosowanie się do ustawy
Za nie wypełnianie nowych obowiązków prezes UKE będzie mógł nakładać ma telekomy i dostawców poczty elektronicznej kary zgodnie z art. 209 prawa telekomunikacyjnego. Do określenia ich wysokości także będą stosowane przepisy prawa telekomunikacyjnego, a dokładnie art. 210. To oznacza, że kara może wynieść do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym, np. za nieudostępnienie wskazanych zabezpieczeń poczty elektronicznej
Skąd taki projekt? Zdaniem rządu w ostatnich miesiącach nasiliły się ataki na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych. Przestępcy, stosując specjalne bramki internetowe VoIP, podszywają się pod numer zaufanych instytucji lub osób publicznych i dzwonią z rzekomo prawdziwego numeru. Oszuści wykorzystują w ten sposób słabości sieci telekomunikacyjnych, które powodują, że operatorzy sieci mobilnych często nie są w stanie zweryfikować, czy połączenie faktycznie pochodzi z karty SIM, zarejestrowanej dla danego numeru Zjawisko to występuje pod nazwą CLI spoofing.