25 września 2023 r. weszła w życie Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Nowe przepisy mają na celu zwiększenie ochrony użytkowników przed szkodliwymi działaniami dokonywanymi za pośrednictwem technologii komunikacyjnych.
Oszustwa z wykorzystaniem SMS-ów, maili czy też połączeń głosowych są w tej chwili bardzo powszechnym zjawiskiem. Działania takie służą rozmaitym celom – od wyłudzania danych osobowych ofiary lub kradzieży loginów i haseł po nakłonienie jej do niekorzystnych operacji finansowych lub zastraszenie. Dodatkowo, rozwój technologii sprzyja przestępcom – dla przykładu, narzędzia AI pozwalają na coraz szybsze i efektywniejsze tworzenie odwzorowań wizerunku i głosu, co ułatwia podszywanie się pod inne osoby[1].
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ma za zadanie stworzyć mechanizmy, które pozwolą na ograniczenie tych niekorzystnych zjawisk. Z tego względu, nowe obowiązki zostały nałożone przede wszystkim na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej i podmioty publiczne. Szczególną rolę w realizacji ustawowych zadań ma odegrać także CSIRT NASK.
Więcej na temat tła i założeń ustawy można przeczytać w artykule dotyczący jej projektu TUTAJ.
Czym, na gruncie ustawy, jest nadużycie w komunikacji elektronicznej?
Pojęcie ,,nadużycia w komunikacji elektronicznej” zostało zdefiniowane jako świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa. Celem lub skutkiem takiego działania jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu, lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, lub innej osoby/podmiotu.
W ustawie wymieniono 4 typy nadużyć w komunikacji elektronicznej, które są w szczególności zakazane. Są to:
- generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub połączeń głosowych, których celem jest jedynie zarejestrowanie ich na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe; tzw. głuche telefony;
- smishing – rodzaj phishingu przeprowadzanego dzięki wiadomości SMS, w których nadawca podszywa się pod inny podmiot;
- CLI spoofing – również forma podszywania się, polegająca na posłużeniu się przez dzwoniącego cudzą informacją adresową przy połączeniu głosowym;
- nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej w sposób, który uniemożliwia lub utrudnia ustalenie, kto jest nadawcą komunikatu.
Jest to katalog otwarty – oznacza to, iż działania inne niż wymienione mogą również stanowić nadużycie w komunikacji elektronicznej, o ile spełniają cechy wskazane w jego definicji.
W jaki sposób będzie wyglądać walka z nadużyciami?
Smishing
Zgodnie z ustawą, CSIRT NASK monitoruje występowanie smishingu i tworzy wzorce wiadomości, które posiadają cechy pozwalające na uznanie ich za smishing. Działania te wykonuje na podstawie zgłoszeń podejrzanych wiadomości przez ich odbiorców oraz informacji od przedsiębiorców telekomunikacyjnych i innych podmiotów.
Podejrzane SMS-y można zgłaszać do CSIRT NASK poprzez bezpośrednie przekazanie ich na nr 799 448 084. Zgodnie z ustawą, wprowadzony zostanie także bezpłatny skrócony numer 8080.
Informacje na temat występowania smishingu oraz wzorce wiadomości udostępniane są Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE oraz przedsiębiorcom telekomunikacyjnym w obsługiwanym przez CSIRT NASK systemie teleinformatycznym. Ponadto, CSIRT NASK publikuje wzorce wiadomości na swojej stronie internetowej.
W celu zwalczania smishingu, obowiązki zostały nałożone także na przedsiębiorców telekomunikacyjnych. Są oni zobligowani do blokowania SMS-ów, które zawierają treść zgodną z wzorcem wiadomości, uznanym przez CSIRT NASK za smishing. Powinni oni także zareagować na odwrotny sygnał od CSIRT NASK – iż wzorzec wiadomości nie spełnia cech smishingu lub niecelowe jest jego dalsze blokowanie – i tego blokowania zaprzestać.
Nadawca SMS, którego wiadomość została w ten sposób zablokowana, ma prawo wnieść sprzeciw do Prezesa UKE.
Przedsiębiorcy telekomunikacyjni mogą także zablokować inne wiadomości SMS niż te odpowiadające wzorcowi opracowanemu przez CSIRT NASK oraz wiadomości MMS, dzięki systemu pozwalającego na automatyczną identyfikację.
Szczególne zabezpieczenia dotyczące wiadomości od podmiotów publicznych
Oszustwa polegające na podszywaniu się pod podmioty publiczne mogą być szczególnie groźne w skutkach. Dlatego dane identyfikacyjne tych podmiotów w komunikacji elektronicznej zostały objęte na mocy ustawy szczególną ochroną. Podmioty publiczne mogą zastrzegać nadpisy wiadomości SMS, czyli nazwy nadawców wiadomości, które wyświetlą się odbiorcom zamiast numeru telefonu. Przypisanie nadpisu do danego podmiotu publicznego zwiększa pewność odbiorcy, iż o ile otrzyma wiadomość z takim nadpisem, to pochodzi ona właśnie od tego podmiotu.
CSIRT NASK udostępnia na swojej stronie internetowej wykaz:
- nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzących od tych podmiotów;
- wariantów tych nazw i skrótów, które mogą zostać wykorzystane do wprowadzenia odbiorcy w błąd.
Dodatkowo, podmioty publiczne mogą zabezpieczyć się przed nieuprawnionym wykorzystywaniem ich nadpisu poprzez zlecenie usługi wysyłania wiadomości wyłącznie określonemu integratorowi wiadomości SMS. Prezes UKE tworzy wykaz integratorów, z którymi podmioty publiczne mogą zawrzeć taką umowę.
Przedsiębiorcy telekomunikacyjni są zobligowani do zablokowania SMS-ów, które:
- zawierają nadpis zastrzeżony dla podmiotu publicznego, a nie zostały wysłane przez integratora obsługującego dany podmiot publiczny;
- zawierają wprowadzający w błąd wariant nadpisu podmiotu publicznego, ujęty w wykazie CSIRT NASK.
CLI Spoofing
Przedsiębiorcy telekomunikacyjni mają obowiązek ukrywać identyfikację numeru albo blokować połączenia głosowe, które mają na celu podszywanie się pod inną osobę lub instytucję.
Prezes UKE opublikuje wykaz numerów służących wyłącznie do odbierania połączeń. Chodzi tu o numery infolinii podmiotów takich jak banki, fundusze inwestycyjne czy zakłady ubezpieczeń, z których same instytucje zasadniczo nie wykonują połączeń, a jednocześnie numery te są łatwe do wyszukania w internecie i często wykorzystywane przez przestępców do podszywania się pod nie.
Aby monitorować, wykrywać i wymieniać informacje o występowaniu CLI spoofingu, a także zwalczać jego występowanie, przedsiębiorcy telekomunikacyjni muszą wprowadzić środki organizacyjne i techniczne.
Ponieważ jest to bardzo szeroko określony obowiązek, w ustawie przewidziano pewne ułatwienia, które pomogą podmiotom w upewnieniu się, iż realizują go w sposób prawidłowy. Mianowicie dostawcy publicznie dostępnych usług telekomunikacyjnych, dostarczający je co najmniej 50 000 abonentów, mogą zawrzeć porozumienie z Prezesem UKE, w którym określone zostanie, jakie dokładnie środki organizacyjne i techniczne powinni wprowadzić. Dla pozostałych przedsiębiorców telekomunikacyjnych Prezes UKE może wydać rekomendacje w tym zakresie.
Fałszywe strony internetowe
Ustawa zawiera także zapisy przewidujące możliwość zwiększenia ochrony użytkowników przed stronami internetowymi służącymi do popełniania oszustw. W tym celu, Prezes UKE, minister adekwatny do spraw informatyzacji, NASK oraz przedsiębiorca lub przedsiębiorcy telekomunikacyjni mogą zawrzeć porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tego typu stron.
Taka lista będzie prowadzona przez CSIRT NASK. Każdy będzie mógł zgłosić domenę, którą uważa za podejrzaną.
Przedsiębiorca telekomunikacyjny, będący stroną porozumienia, może uniemożliwić użytkownikom dostęp do stron internetowych wpisanych na listę ostrzeżeń. Użytkownicy próbujący wejść na takie strony zostaną przekierowani na stronę prowadzoną przez CSIRT NASK z informacjami m. in. o lokalizacji listy ostrzeżeń, wpisaniu szukanej nazwy domeny internetowej na tę listę oraz o możliwej próbie wyłudzenia danych lub niekorzystnego rozporządzania mieniem.
Podmiotowi, który posiada tytuł prawny do domeny wpisanej na listę ostrzeżeń, przysługuje prawo wniesienia sprzeciwu do Prezesa UKE.
Zablokowanie numeru lub usługi
Prezes UKE może, gdy jest to uzasadnione ochroną użytkowników przed nadużyciami w komunikacji elektronicznej, nakazać przedsiębiorcy telekomunikacyjnemu, w czasie nie krótszym niż 6 godzin, zablokowanie dostępu do numeru lub usługi oraz nałożyć obowiązek wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie tego terminu. Następuje to w drodze decyzji, która może mieć także formę ustną – wtedy wersja pisemna powinna zostać doręczona w terminie 14 dni od ogłoszenia.
Zapobieganie email spoofingowi
Zgodnie z ustawą, dostawcy poczty elektronicznej, którzy obsługują co najmniej 500 000 użytkowników lub podmioty publiczne, mają obowiązek stosowania:
- SPF (Sender Policy Framework);
- DMARC (Domain-based Message Authentication Reporting and Conformance);
- DKIM (DomainKeys Identified Mail).
Są to mechanizmy, których rolą jest uniemożliwienie wykorzystania danej domeny do podszywania się pod jej właściciela lub modyfikację wysyłanych z niej wiadomości.
Ustawa nakłada na podmioty publiczne obowiązek korzystania wyłącznie z poczty elektronicznej, w której zostały zastosowane takie mechanizmy.
Odpowiedzialność
Za naruszenie przepisów ustawy przewidziana została odpowiedzialność zarówno administracyjna, jak i karna.
Przedsiębiorcy telekomunikacyjni, którzy dopuszczają się nadużyć wskazanych w ustawie jako szczególnie zabronione lub nie wypełniają nałożonych na nich obowiązków, podlegają karze pieniężnej w wysokości do, co do zasady, 3% przychodu osiągniętego w poprzednim roku kalendarzowym.
Ukarany może zostać także dostawca poczty elektronicznej, który nie stosuje wymaganych ustawą mechanizmów zabezpieczających.
Dodatkowo, niezależnie od kar dla przedsiębiorstwa, ustawa przewiduje możliwość pociągnięcia do odpowiedzialności osobistej osób kierujących przedsiębiorstwem telekomunikacyjnym. W ich przypadku, Prezes UKE może nałożyć karę pieniężną w wysokości do 300% miesięcznego wynagrodzenia.
Również kierownik podmiotu publicznego, który nie wypełnia obowiązku korzystania z usług wyłącznie spełniających ustawowe wymogi operatorów poczty elektronicznej i integratorów SMS, musi liczyć się z możliwością nałożenia kary pieniężnej w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej.
Za popełnienie jednego z czterech nadużyć wskazanych w ustawie jako szczególnie zabronione sprawców może czekać kara grzywny, ograniczenia lub więzienia do roku w przypadku czynów mniejszej wagi, a w razie tych poważniejszych – pozbawienia wolności od 3 miesięcy do choćby 5 lat.
Czas na dostosowanie się do nowych przepisów
Przedsiębiorcy telekomunikacyjni na wdrożenie proporcjonalnych środków organizacyjnych i technicznych w celu zapobiegania nadużyciom i ich zwalczania mają:
- 6 miesięcy – w przypadku nadużyć w postaci generowania sztucznego ruchu i smishingu;
- 12 miesięcy – w przypadku nadużyć w postaci CLI spoofingu i nieuprawnionej zmiany informacji adresowej.
Dostawcy poczty elektronicznej, którzy świadczą usługi dla podmiotów publicznych, muszą z kolei spełnić obowiązki wynikające z ustawy w terminie 3 miesięcy od jej wejścia w życie.
Podobnie integratorzy usług SMS, którzy obsługują podmioty publiczne, są zobowiązani złożyć wniosek o wpis do wykazu prowadzonego przez Prezesa UKE w terminie 30 dni od wejścia w życie ustawy.
CSIRT NASK w terminie 3 miesięcy od wejścia w życie ustawy:
- uruchomi system teleinformatyczny służący do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcami wiadomości;
- utworzy wykaz nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd.
Część przepisów wejdzie w życie w późniejszym terminie niż całość ustawy.
Podsumowanie
- 25 września 2023 r. weszła w życie Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej.
- Ma ona na celu zwiększenie ochrony użytkowników przed szkodliwymi działaniami dokonywanymi za pośrednictwem technologii telekomunikacyjnych.
- Ustawa nakłada nowe obowiązki na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej, podmioty publiczne oraz CSIRT NASK w celu zapobiegania nadużyciom i zwalczania ich.
- W ustawie wymieniono cztery główne typy nadużyć: generowanie sztucznego ruchu, smishing, CLI spoofing i nieuprawniona zmiana informacji adresowej. Zawiera także zapisy dotyczące zwalczania fałszywych stron internetowych.
- Przewidziano w niej kary pieniężne dla przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej, którzy dopuszczają się nadużyć lub nie wypełniają swoich obowiązków. Dodatkowo, osobistą odpowiedzialność mogą ponieść osoby na stanowiskach kierowniczych. Za popełnienie nadużyć przewidziana jest także odpowiedzialność karna.
- Przedsiębiorcy telekomunikacyjni, operatorzy poczty elektronicznej i integratorzy SMS mają określony czas na dostosowanie się do nowych przepisów.
[1] Więcej na ten temat można przeczytać w artykule K. Zielińskiego i A. Ślusarek ,,Wykorzystanie sztucznej inteligencji jako zagrożenie dla klientów rynku finansowego” w raporcie NASK ,,Cyberbezpieczeństwo AI. AI w cyberbezpieczeństwie”. Raport dostępny jest TUTAJ.