Cyberprzestępcy poczynają sobie coraz śmielej w naszym kraju, masowo wydzwaniając lub SMS-ując do niewinnych osób. Kolejne próby podszywania się pod znane firmy i cieszące się zaufaniem instytucje oraz kolejne, coraz bardziej bezpardonowe kampanie mailowe mające na celu wyłudzenie pieniędzy, od lat są już codziennością. Rząd postanowił wreszcie coś z tym zrobić.
Sejm przyjął ustawę anty-spoofingową. Będą blokować fałszywe SMS-y
Prace nad projektem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej trwały od ponad roku, ale teraz jej treść doczekała się finalnego kształtu. W ostatnich dniach sejm przyjął bowiem poprawki senatu i teraz dokument będzie mógł trafić na biurko prezydenta. Przepisy zakładają szereg zmian, które mają pomóc w walce z cyberprzestępcami stosującymi przede wszystkim spoofing (czyli podszywanie się pod numer telefonu firmy lub organizacji podczas rozmów telefonicznych) oraz smishing lub SMS phishing (czyli analogiczny sposób oszustwa, ale z wykorzystaniem SMS-ów).
Ustawa zakłada po pierwsze powstanie "wykazu nazw i ich skrótów zastrzeżonych dla podmiotów publicznych", który prowadzić i udostępniać na swojej stronie będzie jednostka CSIRT (Computer Security Incident Response Team) NASK. Będą to nazwy, z których skorzystać będą mogły tylko podmioty publiczne. NASK będzie też udostępniał inne warianty tych nazw lub skrótów, które mogą zostać wykorzystane, aby "wprowadzać odbiorcę w błąd co do pochodzenia wiadomości". W osobnym artykule zakazano też podmiotom prywatnym wykorzystanie nazw i skrótów kończących się wyrażeniem "#RP". "Podmiot inny niż podmiot publiczny nie może używać jako nadpisu nazwy lub skrótu, kończących się wyrażeniem #RP" - rzecze artykuł 12. ustawy.
Powstanie również "integrator usług SMS", czyli dostawca, któremu podmioty publiczne będą zlecać wysyłanie SMS-ów do obywateli. Tylko podmioty korzystające z tego integratora będą mogły posługiwać się wyrażeniami i skrótami z wykazu nadpisów podmiotów publicznych. Operatorzy telekomunikacyjni będą z kolei odpowiedzialni za blokowanie wszystkich wiadomości, zawierających zastrzeżone nazwy, ale które zostały wysłane przez innych nadawców. Taki system ma sprawić, że cyberprzestępcy nie będą w stanie dostarczać potencjalnym ofiarom wiadomości, które wprost podszywają się pod instytucje państwowe.
CSIRT NASK będzie szukać schematów oszustw
Jak tłumaczy serwis Niebezpiecznik.pl, ustawa wreszcie określa też definicje smishingu oraz CLI Spoofingu. Zdaniem ustawodawcy są to takie działania, których celem może być podszycie się przede wszystkim by "wywołać strach, poczucie zagrożenia lub nakłonienie odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania".
CSIRT NASK będzie też odpowiedzialny za monitorowanie smishingu, czyli wyłapywanie wzorców smishingu, a więc często wykorzystywanych przez oszustów schematów. Nowe schematy będą zgłaszane służbom i firmom telekomunikacyjnym, które będą mogły je blokować. Przykłady nowych sposobów oszustw będą mogli zgłaszać też obywatele. "Przedsiębiorca telekomunikacyjny może blokować krótkie wiadomości tekstowe (SMS), zawierające treść wyczerpującą znamiona smishingu, inną niż treść wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości" - czytamy w treści ustawy. Na podobnej zasadzie blokowane będą wiadomości multimedialne (MMS-y).
Nadawca zablokowanej wiadomości będzie mógł się od takiej decyzji odwołać u prezesa Urzędu Komunikacji Elektronicznej. Ustawa wprost zakazuje też nadużyć w komunikacji głosowej - przede wszystkim generowania sztucznego ruchu oraz CLI spoofingu. Telekomy staną się również odpowiedzialne za blokowanie połączeń wyczerpujących znamiona spoofingu. Z kolei dostawcy poczty e-mail będą musieli wdrożyć wymienione w ustawie mechanizmy pomagające w przeciwdziałaniu oszustwom (mechanizmy SPF, DMARC oraz DKIM).
