Użytkownicy technologii telekomunikacyjnych narażeni są na coraz częstsze próby oszustwa, wyłudzenia pieniędzy czy danych osobowych. Oczywiście, podstawa bezpieczeństwa to zachowanie czujności i zasada ograniczonego zaufania. Dodatkową ochronę użytkowników przewidział ustawodawca. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej  nakłada na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej i podmioty publiczne obowiązki, które powinny wzmocnić bezpieczeństwo użytkowników.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej z 25 września 2023 r. wprowadza mechanizmy, które mają na celu przeciwdziałanie takim zjawiskom jak  oszustwa SMS czy oszustwa przy pomocy połączeń telefonicznych. Nakłada nowe obowiązki na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej i podmioty publiczne. Kluczową rolę w realizacji zadań określonych ustawą odgrywa CSIRT NASK, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w strukturach Naukowej i Akademickiej Sieci Komputerowej.

Czym jest nadużycie w komunikacji elektronicznej?

Nadużycie w komunikacji elektronicznej to świadczenie lub korzystanie z usługi telekomunikacyjnej lub z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa.

Ustawa wymienia cztery główne typy zakazanych działań:

• generowanie sztucznego ruchu – obejmuje wysyłanie lub odbieranie komunikatów lub połączeń głosowych, których jedynym celem jest zarejestrowanie ich w systemach telekomunikacyjnych lub rozliczeniowych, np. tzw. „głuche telefony”;
• smishing– rodzaj phishingu tj. działanie, w którym atakujący wykorzystuje wiadomości SMS, aby podszyć się pod inny podmiot i wyłudzić od ofiary dane osobowe, finansowe lub nakłonić ją do niekorzystnych działań;
• CLI spoofing – podszywanie się pod inną osobę lub instytucję, polegająca na modyfikacji informacji adresowej podczas połączenia głosowego, aby odbiorca mylnie sądził, że rozmawia z kimś innym;
• nieuprawniona zmiana informacji adresowej – zmiana danych adresowych w sposób, który uniemożliwia lub utrudnia ustalenie nadawcy komunikatu.

Warto podkreślić, że powyższy katalog nadużyć jest otwarty. Oznacza to, że także inne działania, które spełniają definicję nadużycia, można uznać za zakazane.

Obowiązki przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej

Ustawa w celu ochrony użytkowników nakłada szereg obowiązków na przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej. Nowe obowiązki mają na celu zapobieganie i zwalczanie nadużyć w komunikacji elektronicznej:

• zwalczanie smishingu

CSIRT NASK monitoruje smishing. Tworzy wzorce wiadomości SMS uznanych za potencjalnie szkodliwe i przekazuje je do odpowiednich organów oraz przedsiębiorców telekomunikacyjnych. Przedsiębiorcy telekomunikacyjni są zobligowani do blokowania wiadomości, które odpowiadają wzorcom stworzonym przez CSIRT NASK.

• ochrona danych identyfikacyjnych podmiotów publicznych

Ustawa wprowadza specjalne zabezpieczenia dla podpisów nadawców wiadomości SMS wysyłanych przez podmioty publiczne. Takie podmioty mogą zastrzegać swoje nazwy, które wyświetlają się odbiorcom zamiast numeru telefonu. CSIRT NASK prowadzi wykaz takich podpisów oraz ich wariantów, które mogą wprowadzać odbiorców w błąd. Przedsiębiorcy telekomunikacyjni mają obowiązek blokowania wiadomości SMS zawierających zastrzeżone podpisy, jeżeli nie wysyłał ich uprawniony podmiot.

• CLI spoofing

Przedsiębiorcy telekomunikacyjni muszą ukrywać identyfikację numeru lub blokować połączenia głosowe, które mają na celu podszywanie się pod inne osoby lub instytucje. Prezes Urzędu Komunikacji Elektronicznej publikuje wykaz numerów wykorzystywanych wyłącznie do odbierania połączeń, co ma zapobiegać ich nieuprawnionemu wykorzystaniu przez przestępców. Ustawa zobowiązuje dostawców poczty elektronicznej, obsługujących co najmniej 500 000 użytkowników, do stosowania określonych mechanizmów, które uniemożliwiają podszywanie się pod właściciela domeny lub modyfikację wysyłanych z niej wiadomości. Podmioty publiczne mają obowiązek korzystać wyłącznie z usług pocztowych, które spełniają te wymagania.

• mechanizmy ochrony przed fałszywymi stronami internetowymi

Ustawa przewiduje także środki, które służą ochronie użytkowników przed fałszywymi stronami internetowymi wykorzystywanymi przez oszustów. W tym zakresie Prezes UKE, minister właściwy ds. informatyzacji, CSIRT NASK oraz przedsiębiorcy telekomunikacyjni mogą zawrzeć porozumienie dotyczące prowadzenia listy ostrzeżeń oraz blokowania dostępu do niebezpiecznych stron. Listę będzie prowadził CSIRT NASK, a przedsiębiorcy będą mogli uniemożliwiać użytkownikom dostęp do stron wpisanych na listę.

Kary za naruszenie przepisów ustawy

Za naruszenie przepisów ustawy przewidziana jest odpowiedzialność administracyjna oraz karna. Przedsiębiorcy telekomunikacyjni oraz dostawcy poczty elektronicznej, którzy dopuszczają się nadużyć lub nie wypełniają obowiązków, mogą zostać ukarani karą pieniężną.

Ustawa przewiduje również sankcje karne za popełnienie jednego z czterech odpisanych powyżej nadużyć:

• grzywny, przez karę ograniczenia wolności, po karę pozbawienia wolności – do roku w przypadku czynów mniejszej wagi,
• do 5 lat pozbawienia wolności w przypadku poważniejszych przestępstw.

Podsumowanie

Czy to wystarczy, aby zapewnić bezpieczeństwo użytkownikom elektronicznych usług teleinformatycznych? Z pewnością nie. Najważniejsza jest czujność i rozwaga użytkowników, choć często mogą nie mieć wpływu na to co się wydarzy, jeśli numer telefonu lub elektroniczna skrzynka pocztowa dostanę się w niepowołane ręce.