W poniedziałek (25 września) w życie wchodzi ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Rząd nowymi przepisami chce chronić Polaków przed oszustwami, w tym przed spoofingiem, smishingiem, generowaniem sztucznego ruchu czy nieuprawnionymi zmianami informacji adresowej.
Rząd uderza w oszustów. W życie wchodzą nowe przepisy
Dzięki nowej ustawie będziemy otrzymywali mniej fałszywych połączeń, SMS-ów oraz domen internetowych. Ustawa ma bowiem utrudnić oszustom możliwość podszywania się pod instytucje zaufania publicznego. Według danych Krajowego Systemu Informacyjnego Policji szacunkowa wartość strat materialnych spowodowanych przez oszustwa związane z e-bankowością i phishingiem w 2022 r. wyniosła ponad 124 miliony złotych.
Nowa ustawa ograniczy oszustwa dokonywane za pomocą usług komunikacji elektronicznej, a przedsiębiorcy telekomunikacyjni będą mieli od 6 do 12 miesięcy na wdrożenie proporcjonalnych rozwiązań przeciwdziałającym nadużyciom. Określone zostały też obowiązki nałożone w tym zakresie na prezesa Urzędu Komunikacji Elektronicznej oraz CSIRT NASK - Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego:
- Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa;
- Prezes UKE będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych, aby możliwość podszywania się oszustów pod infolinie urzędów czy innych podmiotów.
Wniosek o wpisanie numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, a także przedsiębiorcy telekomunikacyjni, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii. Dzięki temu oszust, próbujący podszyć się pod bank czy urząd gminy, wpisany do wykazu, w ogóle nie wykona fałszywego połączenia.
Nowa ustawa wchodzi w życie. Ma chronić Polaków przed cyberoszustami
Chronione będą również nadpisy, czyli identyfikatory wiadomości SMS, używane zamiast numeru telefonu. Przykładem nadpisu jest "e-US" używany przez Krajową Administrację Skarbową. Wykaz nadpisów zastrzeżonych dla podmiotów publicznych będzie prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Przedsiębiorcy telekomunikacyjni będą zobowiązani do przeciwdziałania nadużyciom za pomocą różnych środków organizacyjnych i technicznych. Jednym z takich działań jest np. blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu oraz połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.
Ustawa nakłada również nowe obowiązki na dużych dostawców poczty elektronicznej (dla co najmniej 500 tys. użytkowników lub podmiotów publicznych), którzy będą musieli stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Ograniczy to działania oszustów, którzy próbują podszyć się pod zaufane instytucje i wyłudzić dane od użytkowników poczty elektronicznej. Zmniejszy to także ilość ataków typu "man in the middle", polegających na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
