28 lipca br. prezydent Andrzej Duda podpisał ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Ministerstwo Cyfryzacji określa regulację, jako "krok milowy w zakresie naszego bezpieczeństwa w komunikacji elektronicznej". Dzięki tym regulacjom – jak podkreśla resort – zmniejszy się ilość fałszywych połączeń, SMS-ów oraz domen internetowych. Nowe przepisy mają w szczególności chronić dzieci i seniorów, którzy nie zawsze potrafią rozpoznać zagrożenie.
„Zły dzień dla oszustów"
– To dobry dzień dla użytkowników nowych technologii, a zły dla oszustów – podkreśla minister cyfryzacji Janusz Cieszyński.
Ministerstwo wskazuje, że za sprawą współpracy Naukowej i Akademickiej Sieci Komputerowej (NASK), Urzędu Komunikacji Elektronicznej (UKE) oraz Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) wzrasta skuteczność ochrony Polaków przed utratą pieniędzy i danych osobowych. – Zaproponowane rozwiązania skutecznie ograniczą podszywanie się pod instytucje zaufania publicznego – przekonuje szef resortu cyfryzacji.
Ostatnie lata przyniosły gwałtowny wzrost oszustw elektronicznych. Z przytoczonych przez resort danych Krajowego Systemu Informacyjnego Policji wynika, że szacunkowa wartość strat materialnych spowodowanych przez oszustwa związane z e-bankowością i phishingiem wyniosła w ubiegłym roku ponad 124 mln zł.
Podpisana ustawa ma ograniczyć oszustwa dokonywane za pomocą usług komunikacji elektronicznej. Przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie proporcjonalnych rozwiązań przeciwdziałającym nadużyciom. Określone zostały też obowiązki nałożone w tym zakresie na prezesa Urzędu Komunikacji Elektronicznej (UKE) oraz CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego:
-
Zespół CSIRT NASK będzie monitorował występowanie smishingu (fałszywe SMS-y podszywające się pod wiadomość od kuriera, z banku czy instytucji publicznej) i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa,
-
Prezes UKE będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych – w ten sposób ograniczymy możliwość podszywania się oszustów pod infolinie urzędów czy innych podmiotów.
Resort wskazuje, że wniosek o wpisanie numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też przedsiębiorcy telekomunikacyjni, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii. Dzięki temu oszust, próbujący podszyć się np. pod pracownika banku wpisanrgo do wykazu, w ogóle nie wykona fałszywego połączenia.
Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest „e-US” używany przez Krajową Administrację Skarbową. Wykaz nadpisów zastrzeżonych dla podmiotów publicznych, będzie prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Nowe obowiązki operatorów
Przedsiębiorcy telekomunikacyjni będą zobowiązani do przeciwdziałania nadużyciom za pomocą różnorakich środków organizacyjnych i technicznych. Jednym z takich działań jest wspomniane blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu oraz połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada również nowe obowiązki na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Ograniczy to działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. Zmniejszy to także ilość ataków typu man in the middle, polegających na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Nowe przepisy wejdą w życie po upływie 30 dni od chwili ich ogłoszenia.
Czytaj też:
Oszuści podszywają się pod Straż Graniczną. „Należy się rozłączyć i nie oddzwaniać”Czytaj też:
Będzie referendum połączone z wyborami. Prezydent Duda podpisał nowelizację