Ustawa anty-spoofingowa za chwilę wejdzie w życie, co warto wiedzieć?
Ustawa tzw. anty-spoofingowa (ustawa o zwalczaniu nadużyć w komunikacji elektronicznej) została podpisana przez Prezydenta Rzeczypospolitej 28 lipca 2023 roku. Vacatio legis wynosi 30 dni, za chwilę jej zapisy wejdą w życie. Co warto o niej wiedzieć?
Wejście w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej ma zdaniem legislatorów przełożyć się bezpośrednio na większe bezpieczeństwo cyfrowe obywateli. Dzięki nowym regulacjom zmniejszy się ilość fałszywych połączeń, SMS-ów oraz domen internetowych wykorzystywanych do oszustw.
Chyba każdy z nas doświadczył niechcianych połączeń od telemarketerów czy nachalnych reklam. Chociaż są to zjawiska irytujące, nie stanowią realnego niebezpieczeństwa. Istnieje jednak szereg działań w zakresie komunikacji elektronicznej, którymi posługują się przestępcy:
- smishing – to fałszywe SMS-y podszywające się pod wiadomość od kuriera, z banku czy instytucji publicznej. Zawierają np.: link do strony internetowej zachęcającej do podania danych osobowych czy przelania środków,
- spoofing – to podszywanie się pod numer telefonu zaufanej instytucji czy innej osoby, powiązany z próbą zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych,
- generowanie sztucznego ruchu – jest to inicjowanie długich, wielogodzinnych połączeń, które nie niosą ze sobą żadnej treści (tzw. głuche telefony),
- nieuprawniona zmiana informacji adresowej – przestępcy modyfikują numer, z którego dzwonią, aby utrudnić identyfikację – ta forma oszustwa jest wykorzystywana np.: w celu utrudnienia rozliczenia za połączenie.
Działania oszustów mogą narazić nas na wiele nieprzyjemnych skutków: utratę oszczędności czy wyłudzenie kredytu na nasze dane.
Podpisana ustawa ograniczy oszustwa dokonywane za pomocą usług komunikacji elektronicznej, a przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie proporcjonalnych rozwiązań przeciwdziałającym nadużyciom.
Określone zostały też obowiązki nałożone w tym zakresie na Prezesa Urzędu Komunikacji Elektronicznej oraz CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego:
- Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa;
- Prezes UKE będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych – w ten sposób ograniczymy możliwość podszywania się oszustów pod infolinie urzędów czy innych podmiotów.
Co ważne, wniosek o wpisanie numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też przedsiębiorcy telekomunikacyjni, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii. Dzięki temu oszust, próbujący podszyć się banku czy urzędu gminy wpisany do wykazu, w ogóle nie wykona fałszywego połączenia.
Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest „e-US” używany przez Krajową Administrację Skarbową. Wykaz nadpisów zastrzeżonych dla podmiotów publicznych, będzie prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Przedsiębiorcy telekomunikacyjni będą zobowiązani do przeciwdziałania nadużyciom za pomocą różnorakich środków organizacyjnych i technicznych.
Jednym z takich działań jest – wspomniane wyżej – blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu oraz połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada również nowe obowiązki na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Ograniczy to działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. Zmniejszy to także ilość ataków typu man in the middle, polegających na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Pamiętajmy, że choć zapisy nowej ustawy wkrótce wejdą w życie, to faktyczna reakcja polskiej cyberprzestrzeni na nowe przepisy potrwa dłużej. Operatorzy muszą dostosować się do nowych regulacji, a to zajmie czas. Zainteresowanych pełną treścią odsyłam do stosownego dokumentu.
