Krótko i na temat, ale to jest naprawdę ciekawe: w serwisie internetowym RCL pojawił się przedstawiony przez resort cyfryzacji projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej — a w nim takie rzeczy jak srogie kary za smishing, CLI spoofing i sztuczny ruch, obowiązek wdrożenia przez dostawców poczty elektronicznej rozwiązań utrudniających podszycie się pod nadawców listeli, etc., etc.
A mianowicie, w pewnym skrócie:
- celem projektowanej regulacji jest nałożenie na operatorów telekomunikacyjnych, dostawców poczty elektronicznej pewnych obowiązków zmierzających do zapobiegania i zwalczania nadużyć w komunikacji elektronicznej;
- czym w rozumieniu nowego prawa będzie nadużycie w komunikacji elektronicznej? nadużycie to każda forma świadczenia lub korzystania z usług telekomunikacyjnych niezgodnie z ich przeznaczeniem lub prawem, w celu lub ze skutkiem w postaci wyrządzenia operatorowi lub innemu użytkownikowi szkody, a także osiągnięcia nienależnych korzyści;
- wśród zakazanych nadużyć ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wymienia tzw. „sztuczny ruch” (rozumiany już jako głuche telefony), a także podszywanie się w esemesie pod innego nadawcę (smishing) lub osobę dzwoniącą (CLI spoofing);
art. 3 ust. 1 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (projekt)
Zakazane są nadużycia w komunikacji elektronicznej, w szczególności
dotyczące:
1) inicjowania wysyłania lub odbierania komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe (sztuczny ruch);
2) wysyłania krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę internetową, żądania kontaktu telefonicznego lub instalacji oprogramowania (smishing);
3) nieuprawnionego posłużenia się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania (CLI spoofing).
- — dla jasności: ten katalog nie jest wyczerpujący („w szczególności”), toteż zakazane jest każde inne działanie, które może być definiowane jako nadużycie (na liście nie ma więc phishingu, co wcale nie oznacza, że oto rząd chce go cudownie zalegalizować);
- zakaz zakazem, a powinność powinnością — i tak każdy przedsiębiorca telekomunikacyjny będzie miał obowiązek podejmować „proporcjonalne” środki techniczne i i organizacyjne w celu zapobiegania i zwalczania nadużyciom w komunikacji elektronicznej;
- projektowana ustawa o zwalczaniu nadużyć komunikacji elektronicznej zakłada, że obowiązkiem CSIRT NASK będzie tworzenie wzorców wiadomości smishingowych — a to na podstawie monitorowania (otrzymanych od odbiorców, bez żadnego śledzenia, przynajmniej na razie) esemesów; wzorzec taki będzie przekazywany m.in. policji i UKE, a także przedsiębiorcom telekomunikacyjnym;
- każdy przedsiębiorca telekomunikacyjny będzie miał obowiązek blokować („na centrali”) esemesy odpowiadające wzorcowi; inne wiadomości, które wyglądają jak smishing operatorzy będą mieli prawo (ale nie obowiązek) blokować;
- każdy nadawca będzie mógł się odwołać do UKE od uznania treści esemesa za „wyczerpujący znamiona smishingu”, urząd będzie miał obowiązek rozpatrzeć taki sprzeciw w ciągu 14 dni;
- projektowana ustawa przewiduje także utworzenie jawnej listy ostrzeżeń dotyczących domen internetowych, za pośrednictwem których wyłudzane są dane osobowe użytkowników (także w celu CLI spoofing) — listę taką prowadzić może CSIRT NASK (może, a nie musi, ponieważ ustawa zakłada, że wykaz taki nie jest obligatoryjny i powstanie dopiero po zawarciu stosownego porozumienia);
- każdy dostawca poczty elektronicznej posiadający co najmniej 500 tys. użytkowników, obsługujący co najmniej pół miliona kont lub obsługujący podmiot publiczny, będzie miał obowiązek wdrożyć stosowne mechanizmy bezpieczeństwa usług („SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail)”) — natomiast każdy podmiot publiczny będzie miał obowiązek z mechanizmów tych korzystać (hłe, hłe, zobaczymy);
- projekt ustawy o zwalczaniu nadużyć komunikacji elektronicznej przewiduje uprawnienie do przetwarzania i wzajemnego udostępniania informacji objętych tajemnicą telekomunikacyjną (z wyjątkiem treści komunikatów — ten zakaz nie dotyczy jednak smishingu) w celu identyfikacji, zapobiegania i zwalczania nadużyć; operator będzie mógł także przetwarzać treść esemesów, m.in. w celu dochodzenia roszczeń (acz „tylko do końca okresu, w którym możliwe jest dochodzenie roszczeń”, por. „Czy przetwarzanie danych osobowych w celu odparcia potencjalnych roszczeń klienta to przetwarzanie „na zapas”, a więc nadmiarowe?”);
- kary, kary: każdy, kto dokonuje nadużyć w komunikacji elektronicznej, musi liczyć się z administracyjną karą pieniężną wysokości do 3% przychodu w poprzednim roku kalendarzowym, tudzież kara pieniężna grozi za nieudostępnienie stosownych zabezpieczeń poczty elektronicznej (SPF, DMARC, DKIM), etc., etc. — wpływy z tytułu kar będą przychodami Funduszu Cyberbezpieczeństwa;
- natomiast dopuszczanie się — w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie — sztucznego ruchu, smishingu lub CLI spoofingu — będzie stanowiło przestępstwo zagrożone sankcją od 3 miesięcy do 5 lat więzienia.
Zamiast komentarza: właściwie to wypadałoby projektowi przyklasnąć, a może nawet przed nim przyklęknąć — bo na razie się wydaje, że im więcej się mówi o ryzykach wynikających z bezmyślnego korzystania z sieci, to tym chętniej ludzie się nabierają na oszustwa — jednak coś mi świta, że grunt to praktyka i profilaktyka, zaś zwalczanie cyberprzestępczości samą ustawą, choćby i najmądrzejszą, choćby i najsurowszymi karami, może być czczą ułudą…