Aktualny

Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej – w walce z cyberatakami

Ewa Lewańska

Autor: Ewa Lewańska

Dodano: 11 kwietnia 2023
113bc09ab4639521a57a3f1410d3250c41eb6d29-xlarge (12)

W komunikacji elektronicznej jesteśmy narażeni na cyberataki typu smishing czy spoofing. Jak z nimi walczyć? Nowe rozwiązania w tym zakresie przewidziano w projekcie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Sprawdź, jakie obowiązki przewidziano w niej dla operatorów telekomunikacyjnych i dostawców poczty e-mail.

Zakaz nadużyć w komunikacji elektronicznej – czego dotyczy

Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej trafił już do Sejmu. Jego celem jest walka z nieuczciwymi działaniami podejmowanymi za pomocą środków komunikacji elektronicznej, a więc również z cyberatakami.

Uwaga

Ustawa ma przeciwdziałać m.in.:

  • generowaniu sztucznego ruchu w ramach sieci telekomunikacyjnych,

  • smishingowi (są to krótkie wiadomości tekstowe, w których nadawca miałby podszywać się pod inną osobę lub podmiot w celu nakłonienia kogoś np. do przekazania danych osobowych),

  • CLI spoofingowi (przedstawianiu odbiorcy połączenia fałszywych informacji co do tożsamości dzwoniącego mających wywołać strach, poczucie zagrożenia lub nakłonienie odbiorcy tego połączenia do określonego zachowania, np. do przekazania danych osobowych),

  • modyfikacji informacji adresowej, które uniemożliwia lub istotnie ogranicza ustalenie przez odpowiednie organizacje rządowe lub przedsiębiorców telekomunikacyjnych, kto przesłał dany komunikat lub wykonał połączenie.

Przeczytaj także: Cyberatak w 7 postaciach

Operatorzy muszą zwalczać cyberataki

Zgodnie z projektem operatorzy telekomunikacyjni będą musieli podejmować proporcjonalne środki organizacyjne i techniczne w celu zapobiegania i zwalczania nadużyć. Ustawa nie zatem nakłada obowiązku podejmowania starań, które mają zmierzać do absolutnego wyeliminowania nadużyć.

Kary pieniężne za niewdrożenie środków bezpieczeństwa

Bierność w tym zakresie może skutkować karami pieniężnymi nakładanymi przez Prezesa Urzędu Komunikacji Elektronicznej na:

  • przedsiębiorców telekomunikacyjnych,

  • dostawców poczty elektronicznej.

Co więcej, kary będą mogły być nałożone także na osoby pełniące funkcje kierownicze lub wchodzące w skład organu zarządzającego podmiotu, który nie spełni swoich obowiązków.

Uwaga

Prezes UKE będzie mógł nałożyć karę w wysokości:

  • do 3% przychodu osiągniętego przez ukarany podmiot w poprzednim roku kalendarzowym lub

  • uwzględniający średni przychód z ostatnich 3 lat, gdy przychód w zeszłym roku nie przewyższył 500 000 zł.

Niewykluczona będzie też odpowiedzialność karna tych osób – za czyny związane z nadużyciami będzie groziła kara pozbawienia wolności od 3 miesięcy do 5 lat. Z kolei w wypadku mniejszej wagi sprawca będzie karany grzywną, ograniczeniem wolności lub pozbawieniem wolności do roku.

Wzorce smishingu

Ciekawym rozwiązaniem będą wzorce wiadomości SMS noszących znamiona smishingu. Wzorce te opracuje CSIRT NASK. Dzięki temu będzie można wykryć najczęstsze elementy nieuczciwych wiadomości czyli słowa kluczowe. Wzorce będą odnosić się także od konkretnych linków odsyłających na podejrzane strony WWW. Z wzorców tych skorzystają operatorzy telekomunikacyjni, którzy dostosują do nich swoje środki walki z nadużyciami. Wzorce wiadomości będą też później podane do wiadomości publicznej.

Uwaga

Operatorzy telekomunikacyjni będą w związku z tym:

  • blokować wysyłanie wiadomości, które zawierają treści zawarte we wzorcu wiadomości (operator będzie mógł także blokować inne wiadomości mieszczące się w definicji smishingu, a ich treść nie pokrywa się w ustalonych wzorcach),

  • zakończyć blokadę, gdy okaże się, że wzorzec nie nosi znamion smishingu lub gdy takie blokowanie jest niecelowe.

Co ciekawe, nadawca zablokowanej wiadomości SMS będzie mógł zgłosić sprzeciw w związku z taką blokadą do UKE.

Blokada połączeń w celu walki ze spoofingiem

W celu zapobiegania cyberatakami typu CLI spoofing operatorzy telekomunikacyjni będą:

  • blokować połączenia głosowe,

  • ukrywać identyfikację numeru widocznego dla użytkownika podczas połączenia (w celu zapobiegania sytuacji, w której oszust podszywałby się pod numer kojarzony przez odbiorcę z kimś zaufanym).

Uwaga

W związku z powyższym w ustawie przewidziano katalog podmiotów, które mogą wpisać swój numer telefonu służący wyłącznie do odbierania połączeń (numerów, z których korzystają osoby zainteresowane, aby skontaktować się z daną instytucją) do publicznego rejestru prowadzonego przez UKE.

Rejestr listy ostrzeżeń

W projekcie umożliwiono zawarcie porozumienia pomiędzy takimi instytucjami jak Prezes UKE, CSIRT NASK czy minister właściwy ds. cyfryzacji. Na bazie takiego porozumienia mógłby powstać rejestr listy ostrzeżeń. W rejestrze tym wskazane byłyby domeny internetowe wykorzystywane do wyłudzania danych i środków finansowych użytkowników. Z kolei operatorzy telekomunikacyjny mieliby obowiązek blokady dostępu do takich stron WWW użytkownikom internetu. Prezes UKE mógłby wydać natychmiast wykonalną decyzję nakazującą operatorowi:

  • blokadę dostępu do numeru lub usługi,

  • wstrzymanie opłat za połączenia lub usługi.

Operator musiałby wykonać taką decyzję w ciągu zaledwie 6 godzin.

Właścicielom stron WWW, których strony wpisano do rejestru, mogliby składać sprzeciw do Prezesa UKE.

Techniczne zabezpieczenia poczty e-mail

Dostawcy poczty e-mail, którzy dostarczają pocztę dla co najmniej 500 tys. użytkowników lub dla podmiotu publicznego będą musieli wdrożyć adekwatne techniczne środki bezpieczeństwa takie jak:

  • SPF,

  • DMARC,

  • DKIM.

Będą one zmierzały choćby do weryfikacji nadawców wiadomości e-mail oraz podszywania się pod inne domeny lub adresy e-mail.

Uwaga

W przypadku poczty e-mail dostarczanej podmiotom publicznym konieczne będzie wdrożenie uwierzytelniania dwuskładnikowego. Jednostki te będą mogły korzystać z usług wyłącznie takich dostawców, którzy zapewniają to zabezpieczenie.

  • rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

Ewa Lewańska

Autor: Ewa Lewańska

radca prawny specjalizujący się w prawie farmaceutycznym

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x