Koniec podszywania pod instytucje publiczne i banki? Prezydent podpisał ustawę o "spoofingu".

Prezydent Andrzej Duda podpisał ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Jej celem ma być zwiększenie ochrony użytkowników między innymi przed podszywaniem się pod instytucje publiczne czy banki. W myśl nowych przepisów telekomy mają stosować rozwiązania wykrywające i ograniczające tak zwany spoofing.

Rafał Tomaszewski

#Cyberbezpieczeństwo
#Telekomunikacja
#Legal

Opublikowano 7 sierpnia 2023, 14:21

Ustawa nakłada na przedsiębiorców telekomunikacyjnych obowiązki oraz przyznaje im uprawnienia, związane z przeciwdziałaniem naruszeniom w komunikacji elektronicznej. Telekomy będą obowiązane do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu przeciwdziałać nadużyciom. Będą one obowiązane również do blokowania krótkich wiadomości tekstowych (SMS), które zawierają treści wyczerpujące znamiona smishingu a także połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.

Czym jest spoofing i smishing?

Ustawa wprowadza otwarty katalog nadużyć w komunikacji elektronicznej, jak wskazano w uzasadnieniu do projektu ustawy, z uwagi na postęp technologiczny nie jest możliwe zidentyfikowanie wszystkich form nadużyć. Jednocześnie wskazano w ustawie cztery szczególne (podstawowe) formy nadużyć w komunikacji elektronicznej, są to:

generowanie sztucznego ruchu – jest to wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe;
smishing – jest to wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
CLI spoofing – jest to nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu lub poczucia zagrożenia, lub nakłonienia odbiorcy tego połączenia do określonego działania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
nieuprawniona zmiana informacji adresowej – jest to nieuprawnione modyfikowanie informacji adresowej uniemożliwiające lub istotnie utrudniające ustalenie przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu numeru telefonu lub identyfikatora, przy użyciu którego nastąpiło wysłanie komunikatu elektronicznego.

Monitorowaniem występowania smishingu będzie zajmował się Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. CSIRT NASK będzie monitorował występowanie zjawiska smishingu na podstawie danych dobrowolnie przekazanych mu przez podmioty trzecie – odbiorców SMS czy np. samych telekomów. Będzie to się odbywało dokładnie w taki sam sposób jak to się dzieje obecnie – przez przekazanie SMS na specjalny numer albo przez formularz na stronie internetowej.

Na podstawie wyników monitorowania smishingu CSIRT NASK będzie tworzył wzorzec wiadomości wyczerpującej znamiona smishingu. Wzorzec ten będzie przekazywany przedsiębiorcom telekomunikacyjnym, którzy za pomocą własnych systemów teleinformatycznych, blokowaliby automatycznie SMS, których treść byłaby zgodna ze wzorcem. Dzięki temu możliwe będzie zwalczanie smishingu w oparciu o analizę dotychczasowych praktyk oszustów.

Przedsiębiorca telekomunikacyjny będzie mógł również z własnej inicjatywy blokować za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację wiadomości: krótkie wiadomości tekstowe (SMS), zawierające treści wyczerpujące znamiona smishingu, inne niż zawarte we wzorcu wiadomości, a także wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy do określonego zachowania.

Telekomy zobowiązane do blokowania spoofingu

Ustawa nakłada obowiązek na przedsiębiorcę telekomunikacyjnego zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia spoofingu. Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do spoofingu, jest bardzo wysokie lub wysokie. W pozostałych przypadkach telekom powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, że odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów.

Ustawa obliguje CSIRT NASK do prowadzenia i udostępniania na swojej stronie internetowej wykazu nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego. Nadpisem jest identyfikator krótkiej wiadomości (SMS).

Przedsiębiorca telekomunikacyjny będzie obowiązany blokować krótkie wiadomości tekstowe (SMS):

1) zawierające nadpis ujęty w wykazie nadpisów podmiotów publicznych, które nie zostały wysłane przez integratora usług SMS wpisanego w wykazie integratorów usług SMS dla podmiotów publicznych;
2) w których jako nadpis zostały użyte warianty nazwy lub skrótu mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zawarte w wykazie nadpisów podmiotów publicznych.

Powstanie lista ostrzeżeń. Ma ograniczyć podszywanie się pod instytucje

Ustawa nakłada również obowiązek dla Prezesa UKE do prowadzenia jawnego wykazu numerów, które służą wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ma ograniczyć możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wykaz będzie prowadzony w systemie teleinformatycznym Prezesa UKE i udostępniany na stronie podmiotowej Biuletynu Informacji Publicznej Urzędu Komunikacji Elektronicznej. Wpisanie numeru do wykazu powoduje obowiązek po stronie przedsiębiorcy telekomunikacyjnego świadczącego usługę połączeń głosowych do blokowania połączenia inicjowanego z wykorzystaniem tego numeru.

Ustawa sankcjonuje na poziomie ustawowym instytucję „listy ostrzeżeń” czyli jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu. Zgodnie z przepisami ustawy między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym lub przedsiębiorcami telekomunikacyjnymi może zostać zawarte porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tych stron.

W przypadku zawarcia takiego porozumienia podmiotem odpowiedzialnym za prowadzenie listy ostrzeżeń będzie CSIRT NASK. Na listę ostrzeżeń wpisywane będą domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia mieniem. Każdy będzie mógł zgłosić domenę internetową do CSIRT NASK. Z kolei CSIRT NASK z inicjatywy własnej lub po otrzymaniu ww. zgłoszenia, dokonywał będzie wpisu na listę ostrzeżeń.

Pełna treść ustawy o zwalczaniu nadużyć w komunikacji elektronicznej dostępna jest tutaj.