Zmiany wprowadza ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej, której projekt przygotował resort cyfryzacji. Ma ona służyć zmniejszeniu liczby przypadków nadużyć w komunikacji elektronicznej. Nowe regulacje weszły w życie 25 września.
- Głównym celem jest wprowadzenie takich mechanizmów, które zabezpieczą użytkowników narażonych np. na złośliwe smsy, na podszywanie się w rozmowach telefonicznych, czy wiadomości wysyłane pocztą elektroniczną, które są wysyłane nie przez te osoby za które się podają – wyjaśniał w trakcie prac nad przepisami minister Janusz Cieszyński.
Jak podkreślali autorzy ustawy, usługi dostarczane przez przedsiębiorców telekomunikacyjnych są coraz częściej wykorzystywane przez przestępców. Mogą oni np. podszywać się pod numer zaufanych instytucji i dzwonić z rzekomo prawdziwego numeru. W ten sposób mogą próbować m.in. nakłonić ofiary do niekorzystnego dla nich działania (zjawisko CLI spoofing). Innym zagrożeniem są fałszywe krótkie wiadomości tekstowe SMS. Oszuści, podszywając się pod zaufane instytucje, próbują nakłonić nieświadome ofiary do ujawnienia danych osobowych, informacji o karcie kredytowej, czy zainfekować urządzenie, poprzez kliknięcie w link w wiadomości (zjawisko smishingu).
Czytaj w LEX: Kwalifikacja prawna przestępstw związanych z transakcjami kartą płatniczą >
- Operatorzy komórkowi będą musieli blokować SMS-y i połączenia głosowe wyłudzające dane - podkreślił pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński. Jak mówił, wielokrotnie do rządu docierały informacje o próbach wyłudzania danych przez oszustów podających się za kurierów, pracowników banku, Biura Informacji Kredytowej czy innej instytucji. Pojawiały się często zgłoszenia o fałszywych SMS-ach informujących o nieuregulowanym rachunku za prąd czy gaz.
Czytaj w LEX: CERT, Mechanizmy weryfikacji nadawcy wiadomości >
Czytaj: Rząd chce walczyć z oszustami internetowymi rękami telekomów>>
Kary za smishing, spoofing, generowanie sztucznego ruchu
Ustawa wprowadza otwarty katalog nadużyć w komunikacji elektronicznej i kary dla oszustów. Jak wskazano w uzasadnieniu do projektu ustawy, z uwagi na postęp technologiczny nie jest możliwe zidentyfikowanie wszystkich form nadużyć. Jednocześnie wskazano w ustawie cztery szczególne (podstawowe) formy nadużyć w komunikacji elektronicznej, są to:
- smishing – to fałszywe SMS-y pochodzące od kuriera, banku czy instytucji publicznej, zawierające np. link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków,
- spoofing – podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby i próba zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych,
- generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony),
- nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np. w celu utrudnienia rozliczenia za połączenie.
Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa.
Zobacz nagranie szkolenia w LEX: Phishing i inne zagrożenia dla ochrony danych osobowych >
Cena promocyjna: 74.26 zł
Cena regularna: 99 zł
Najniższa cena w ostatnich 30 dniach: 89.1 zł
Najważniejsze rozwiązania:
- Na przedsiębiorców telekomunikacyjnych zostaną nałożone obowiązki i uprawnienia związane ze zwalczaniem nadużyć w komunikacji elektronicznej. Chodzi o generowanie sztucznego ruchu, smishing, CLI spoofing, czy nieuprawnioną zmianę informacji adresowej. Katalog nadużyć nie jest zamknięty. Przedsiębiorcy telekomunikacyjni będą musieli w szczególności:
- blokować krótkie wiadomości tekstowe, które zawierają treści zgodne ze wzorcem wiadomości (znamiona smishingu), przekazanym przez CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego), który będzie monitorował występowanie tego nadużycia,
- blokować połączenia głosowe, które mają na celu podszywanie się pod inną osobę lub instytucję.
- Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów.
- Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe. Dotyczy to także numerów telefonów wykorzystywanych przez przedsiębiorcę telekomunikacyjnego na potrzeby biura obsługi klientów lub infolinii.
- Na poziomie ustawowym zostanie umocowana lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników Internetu.
- Dostawcy poczty elektronicznej, dla co najmniej 500 tys. użytkowników lub podmiotów publicznych, będą musieli stosować mechanizmy uwierzytelnienia poczty elektronicznej przy świadczeniu tej usługi.
- Wprowadzone zostaną kary dla osób dopuszczających się nadużyć w komunikacji elektronicznej.
Więcej na temat nowych przepisów przeczytasz w LEX: Zwalczanie nadużyć w komunikacji elektronicznej >
Ustawa co do zasady weszła w życie 25 września, choć jej art. 47 określa dla niektórych przepisów inne terminy.
26 sierpnia weszły np. w życie przepisy dotyczące jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu. Zgodnie z przepisami ustawy między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym lub przedsiębiorcami telekomunikacyjnymi może zostać zawarte porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tych stron. W przypadku zawarcia takiego porozumienia podmiotem odpowiedzialnym za prowadzenie listy ostrzeżeń będzie CSIRT NASK. Na listę ostrzeżeń wpisywane będą domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia mieniem. Każdy będzie mógł zgłosić domenę internetową do CSIRT NASK. Z kolei CSIRT NASK z inicjatywy własnej lub po otrzymaniu ww. zgłoszenia, dokonywał będzie wpisu na listę ostrzeżeń. Jednocześnie nałożono na CSIRT NASK obowiązek udostępniania na stronie podmiotowej Biuletynu Informacji Publicznej Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego informacji określającej sposób dokonywania zgłoszeń. Przedsiębiorcy telekomunikacyjni (strony porozumienia w sprawie funkcjonowania listy ostrzeżeń) będą mogli blokować użytkownikom internetu dostęp do domen internetowych wpisanych na listę. Ustawa przewiduje procedurę odwoławczą dla podmiotu posiadającego tytuł prawny do domeny internetowej, która została wpisana na listę ostrzeżeń.
Czytaj w LEX: Obowiązki przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.