Rząd zapowiedział koniec SMS-ów i połączeń wyłudzających poufne dane. Wszystko dzięki przyjętemu przez Radę Ministrów projektowi ustawy, który ma zwalczać nadużycia w komunikacji elektronicznej. Innymi słowy: zrobić wreszcie porządek ze złodziejami i oszustami, którzy podszywają się pod wszelkiej maści firmy oraz instytucje.
Przygotowywany projekt ustawy ma uderzyć w cyberprzestępców
Nie da się ukryć, że w ostatnim czasie phishing stał się poważnym problemem. Oszuści i złodzieje podszywają się pod właściwie każdą możliwą firmę oraz instytucję. Szczególnie upierdliwi są gotowi udawać nie tylko kurierów, firmy telekomunikacyjne i dostawców energii, ale wręcz Urząd Skarbowy. Szczytem bezczelności z ich strony było podszywanie się pod Ministerstwo Finansów.
Nic więc dziwnego, że co rusz możemy natrafić na apele o zachowanie szczególnej ostrożności i zdrowego krytycyzmu, gdy reagujemy na SMS-y i maile. W końcu cyberprzestępcy tylko czekają, by wykorzystać chwilę nieuwagi Polaków do pozbawienia ich oszczędności.
Równocześnie co jakiś czas ktoś sugeruje, że może czas, by rządzący potraktowali zagrożenie na poważnie. Wreszcie mamy w tej kwestii jakaś dobrą wiadomość: Rada Ministrów najwyraźniej postanowiła wreszcie uprzykrzyć oszustom życie. Służyć ma temu projekt ustawy, o zwalczaniu nadużyć w komunikacji elektronicznej. Rządzący pochwalili się jego przyjęciem za pośrednictwem rządowego portalu gov.pl.
Założenia projektowanych przepisów są dość oczywiste. Z jednej strony nakładają na operatorów nowe obowiązki, których realizacja ma skutecznie utrudnić oszustom uskutecznianie ich procederu. Z drugiej zaś nadużycia w komunikacji elektronicznej mają wreszcie spotkać się z adekwatną karnoprawną reakcją.
Zacznijmy od pierwszej kwestii. Rządowy komunikat wyraźnie precyzuje, z jakiego rodzaju środkami zaradczymi będziemy mieli do czynienia.
Nowe przepisy przewidują, że przedsiębiorcy telekomunikacyjni będą musieli zwalczać takie nadużycia, jak generowanie sztucznego ruchu, smishing, CLI spoofing czy nieuprawniona zmiana informacji adresowej. Natomiast dostawcy poczty elektronicznej, dla co najmniej 500 tys. użytkowników lub podmiotów publicznych, będą stosowali mechanizm uwierzytelnienia poczty elektronicznej
Rządzący spieszą z wyjaśnieniem poszczególnych pojęć. Smishing to fałszywe SMS-y udające wiadomości od kuriera, banku, czy innego rodzaju firmy lub instytucji. Spoofing to podszywanie się pod numer telefonu wykorzystany w rozmowie telefonicznej. Nieuprawniona zmiana informacji adresowej to z kolei modyfikacja numeru telefonu w taki sposób, by utrudnić rozliczenie za połączenie.
Rządzący chcą zwalczać nadużycia w komunikacji elektronicznej także za pomocą prawa karnego
Projekt ustawy mającej ukrócić nadużycia w komunikacji elektronicznej zawiera mechanizm umożliwiający instytucjom i przedsiębiorcom zastrzeżenie swoich numerów telefonów jako „służące wyłącznie do odbierania połączeń głosowych”.
Zgodnie z ustawą, Prezes Urzędu Komunikacji Elektronicznej ma prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych. To rozwiązanie ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też operatorzy, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii
Operatorzy będą musieli także automatycznie blokować SMS-y, które spełniają znamiona smishingu określone przez NASK CSIRT. Mowa w tym przypadku o wyspecjalizowanym państwowym instytucie badawczym nadzorowanym przez Kancelarię Prezesa Rady Ministrów. Kolejny obowiązek dotyczy blokowania rozmów telefonicznych, których celem jest podszywanie się pod inną osobę lub instytucje.
Dostawcy poczty elektronicznej mający przynajmniej 500 tys. użytkowników będą musieli także stosować wyspecjalizowane mechanizmy uwierzytelnienia SPF, DKIM lub DMARC. Służą one temu, by odbiorca miał pewność, że zadeklarowany nadawca faktycznie jest autorem danej wiadomości e-mail. Kolejną istotną zmianę stanowi ustawowe umocowanie listy ostrzeżeń dotyczące domen internetowych, które mogą być potencjalnie niebezpieczne dla użytkowników.
Wreszcie: rząd chce zwalczać nadużycia w komunikacji elektronicznej poprzez wprowadzenie do systemu prawnego kar dla oszustów. Ich proponowana wysokość nie jest na razie znana. Pozostaje mieć nadzieję, że będą odzwierciedlały wyjątkowa szkodliwość społeczną, jaką niesie ze sobą działalność cyberprzestępców.