Zagrożenie cyberbezpieczeństwa od dawna spędza sen z powiek uczciwym ludziom na całym świecie. Po zdradzieckiej agresji Rosji na Ukrainę zjawisko to stało się poważniejsze niż kiedykolwiek wcześniej. Dlatego rządy, organizacje i indywidualni obywatele starają się mu przeciwdziałać ze wszystkich sił. Jest istotne, by ważyć również koszty. 15 czerwca 2022 r. na stronie Rządowego Centrum Legislacji opublikowano projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (UD402). Wniósł go minister cyfryzacji. Projekt skupia się przede wszystkim na przeciwdziałaniu generowania sztucznego ruchu, smishingowi i CLI spoofingowi. Dokument został skierowany do uzgodnień międzyresortowych i konsultacji publicznych.
W uzasadnieniu rząd argumentuje, że „komunikacja elektroniczna stanowi narzędzie powszechnie wykorzystywane w życiu codziennym przez współczesne społeczeństwo informacyjne. Z usług dostarczanych przez przedsiębiorców telekomunikacyjnych codziennie korzysta wiele milionów osób. Usługi te są również coraz szerzej i w sposób coraz bardziej wyszukany wykorzystywane przez przestępców w celu wyrządzenia szkód po stronie przedsiębiorców telekomunikacyjnych i użytkowników końcowych lub osiągnięcia nienależnych korzyści. W ostatnich miesiącach nasiliły się również ataki na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych. Przestępcy, stosując specjalne bramki internetowe VoIP podszywają się pod numer zaufanych instytucji czy osoby publiczne i dzwonią z rzekomo prawdziwego numeru. W ten sposób próbują nakłonić odbiorców do niekorzystnego działania, a w niektórych przypadkach nawet zastraszyć. Oszuści wykorzystują w ten sposób słabości sieci telekomunikacyjnych, które powodują, że operatorzy sieci mobilnych często nie są w stanie zweryfikować, czy połączenie, w ramach którego jest prezentowany numer, faktycznie pochodzi z karty SIM, która jest zarejestrowana dla danego numeru. Zjawisko to występuje pod nazwą CLI spoofing.”
Innym zagrożeniem dla użytkowników są fałszywe krótkie wiadomości tekstowe SMS. Oszuści, podszywając się pod zaufane instytucje, próbują nakłonić nieświadome ofiary do ujawnienia danych osobowych, informacji o karcie kredytowej czy zainfekować urządzenie poprzez kliknięcie w link w wiadomości. Zjawisko to występuje pod nazwą smishingu.
W tej sytuacji konieczne jest wprowadzenie odpowiednich przepisów dotyczących zwalczania nadużyć w komunikacji elektronicznej. Proponowane rozwiązania mają służyć stworzeniu odpowiednich ram prawnych do podejmowania działań w zakresie zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych, a w dalszej perspektywie pozwolą w większym stopniu niż obecnie ograniczyć skalę nadużyć i chronić bezpieczeństwo użytkowników. Kwestia zwalczania nadużyć nie jest regulowana w Europejskim Kodeksie Łączności Elektronicznej oraz nie była dotychczas regulowana w ustawie Prawo telekomunikacyjne.
Istota rozwiązań ujętych w projekcie
Na przedsiębiorców telekomunikacyjnych zostaną nałożone obowiązki i uprawnienia związane ze zwalczaniem nadużyć w komunikacji elektronicznej, przewiduje rząd. Przedsiębiorcy telekomunikacyjni będą obowiązani w szczególności do:
- Podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej;
- Blokowania krótkich wiadomości tekstowych, które zawierają treści zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK;
- Blokowania połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.
Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych. Zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wskazujące na wystąpienie smishingu. Dostawcy poczty elektronicznej dla co najmniej 500 tysięcy użytkowników, 500 tys. aktywnych kont lub podmiotów publicznych będą obowiązani stosować mechanizm uwierzytelnienia poczty elektronicznej.
Organem odpowiedzialnym za opracowanie projektu jest Ministerstwo Cyfryzacji, zaś osobą – Janusz Cieszyński, sekretarz stanu w Kancelarii Prezesa Rady Ministrów. Planowany termin przyjęcia projektu przez RM: III/IV kwartał 2022 r.
Tło i założenia projektu według NASK
Celem wprowadzenia tego rodzaju regulacji jest, jak wynika z uzasadnienia projektu, zapewnienie bezpieczeństwa osobom fizycznym w dobie nasilających się ataków wykorzystujących usługi telekomunikacyjne. W uzasadnieniu projektodawca zwraca szczególną uwagę na przypadki CLI spoofingu, czyli zmiany identyfikatora rozmówcy na zaufany albo rozpoznawalny dla adresata w celu nakłonienia go do określonego zachowania oraz smishingu, tj. wyłudzania danych za pomocą odpowiednio spreparowanej wiadomości SMS. W jego ocenie ani Europejski Kodeks Łączności Elektronicznej (EKŁE) ani ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne nie zapewniają odpowiednich ram prawnych w celu przeciwdziałania temu zjawisku i w tym celu proponuje nałożenie na przedsiębiorców telekomunikacyjnych określonych w przepisach projektowanej ustawy obowiązków. Na marginesie warto zwrócić uwagę na korelację przedstawionej propozycji z regulacjami projektu ustawy Prawo komunikacji elektronicznej (UC45), która ma za zadanie wdrożyć do polskiego porządku prawnego EKŁE [Tekst pochodzi ze strony https://cyberpolicy.nask.pl/projekt-ustawy-o-zwalczaniu-naduzyc-w-komunikacji-elektronicznej/, której wydawcą jest Państwowy Instytut Badawczy NASK (autorką jest Aleksandra Szczęsna z Zespołu Analiz Strategicznych NASK PIB).].
W Ocenie Skutków Regulacji wskazano, że środki zapobiegające podobnym do normowanych sytuacjom przedsięwzięły Wielka Brytania (prowadzenie listy numerów, z których nie są inicjowane połączenia) i Stany Zjednoczone (stosowanie narzędzi umożliwiających uwierzytelnienie informacji adresowej połączenia). W ocenie projektodawcy wprowadzenie ustawy w proponowanym brzmieniu nie będzie powodowało skutków finansowych dla sektora finansów publicznych, a przełoży się na zwiększenie bezpieczeństwa usług komunikacji elektronicznej świadczonych dla obywateli.
Definicje ustawowe
Po uchwaleniu ustawa wprowadzi definicje legalne takich pojęć jak komunikat elektroniczny, poczta elektroniczna, połączenie głosowe czy usługa komunikacji interpersonalnej. Najistotniejsze w słowniczku ustawowym wydaje się jednak zdefiniowanie nadużycia w komunikacji elektronicznej, bowiem pojęcie to jest elementem sankcji administracyjnej, której propozycja znalazła się w art. 15 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Za nadużycie takie, zgodnie z intencją, uważane ma być świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy komunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści (art. 2 pkt 4 projektu). Zakres ten częściowo doprecyzowany został w art. 3, w którym znalazł się otwarty katalog naruszeń uznawanych za powyższe nadużycie (generowanie sztucznego ruchu, smishing, CLI spoofing).
Obowiązki w zakresie przeciwdziałania nadużyciom w komunikacji elektronicznej
Do proponowanych obowiązków CSIRT NASK należeć będzie monitorowanie nadużyć w komunikacji elektronicznej, opracowanie wzorca wiadomości o charakterze smishingowym oraz uruchomienie (w terminie 3 miesięcy od wejścia w życie ustawy) systemu teleinformatycznego przekazującego wzorce tych wiadomości. Do podłączenia się do tego systemu zobowiązani zostali komendant główny Policji, prezes Urzędu Komunikacji Elektronicznej (UKE) i przedsiębiorcy telekomunikacyjni. Informację o systemie udostępni minister właściwy do spraw informatyzacji, zaś CSIRT NASK udostępni na swojej stronie internetowej wzorce powyższych wiadomości. Po ustaniu konieczności blokowania danego wzorca, CSIRT NASK poinformuje o zdjęciu blokady osoby korzystające z systemu. Dodatkowym obowiązkiem tego podmiotu jest opracowanie, prowadzenie i utrzymywanie jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu (zostanie ona przekształcona z listy do tej pory prowadzonej na podstawie porozumienia dotyczącego stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego).
Niektórzy dostawcy poczty elektronicznej (dla co najmniej 500 tys. użytkowników, dla podmiotów publicznych lub obsługujący co najmniej 500 tys. aktywnych kont) zobowiązani będą do zapewnienia mechanizmu uwierzytelnienia poczty. I analogicznie, podmioty publiczne będą zobowiązane do korzystania tylko z poczty elektronicznej podmiotu spełniającego powyższy wymóg. Kontrolę wykonywania tych obowiązków może przeprowadzić prezes UKE.
Sprzeciwy od uznania komunikatu za nadużycie i wpisania go do systemu prowadzonego przez CSIRT-NASK zgodnie z projektem będzie rozpatrywał prezes UKE. Będzie on również nakładał kary administracyjne za dokonywanie nadużyć. Projekt umożliwia mu ponadto zawarcie porozumienia z operatorami telekomunikacyjnymi w sprawie środków wykorzystywanych do przeciwdziałania CLI spoofingowi. Zgodnie z założeniem, utworzy on także wykaz numerów służących wyłącznie do odbierania połączeń głosowych (np. infolinii urzędów i banków). Zgodnie z projektowaną regulacją będzie on przedstawiał sejmowej komisji właściwej w sprawach nowych technologii roczne sprawozdanie z wykonywania swoich obowiązków i uprawnień w powyższym zakresie.
Przedsiębiorcy telekomunikacyjni zostaną zobowiązani do podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej (które mogą wynikać z porozumienia prezesa UKE z operatorami), niezwłocznego blokowania smishingu (na podstawie wzorca przekazanego przez CSIRT NASK), blokowania połączeń o charakterze CLI spoofingu lub ukrywania identyfikacji numeru dla użytkownika końcowego (na podstawie danych z wykazu numerów prowadzonego przez prezesa UKE). Przedsiębiorcy ci będą mogli wymieniać się informacjami dotyczącymi nadużyć w zakresie określonym w projektowanej ustawie.
Dodatkowo twórcy projektu proponują, aby prezes UKE, minister właściwy do spraw informatyzacji, NASK-PIB oraz przedsiębiorcy komunikacyjni uzyskali uprawnienie do podpisania porozumienia w sprawie zasad współpracy, zgłaszania, wpisywania oraz usuwania z listy domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu prowadzonej przez CSIRT-NASK.
Sankcje
Istotnym zagadnieniem jest kwestia projektowanych kar, możliwych do nałożenia zarówno na osoby, które dokonywać będą nadużyć, ale również na podmioty, które nie wywiążą się ze swoich obowiązków. W projekcie zaproponowano dwa rodzaje sankcji: karę administracyjną w art.15 i karną w art. 16. Art. 15 dotyczy nałożenia kar pieniężnych na podmioty, które nie wywiążą się z określonych obowiązków. Kary te nakładane są w drodze decyzji przez prezesa UKE, a zatem mają charakter kar administracyjnych. Z kolei art. 16 projektowanej ustawy to norma karna, która penalizuje czyny uznane za nadużycia, tj. generowanie sztucznego ruchu, smishing i CLI spoofing. Co do zasady przestępstwa te mają być zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5, zaś w przypadkach mniejszej wagi – grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.
Podsumowanie
- Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej został opublikowany na stronie Rządowego Centrum Legislacji 15 czerwca 2022 roku. Aktualnie jest na etapie opiniowania.
- Propozycje regulacji mają za zadanie przeciwdziałać takim nadużyciom w komunikacji elektronicznej jak generowanie sztucznego ruchu, smishing czy CLI spoofing, chociaż katalog nadużyć w komunikacji elektronicznej nie jest zamknięty.
- Zakłada się prowadzenie takich działań jak monitorowanie komunikatów elektronicznych, wprowadzenie wzorca wiadomości o charakterze smishingowym, stworzenie listy domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu czy wykazu numerów służących wyłącznie do odbierania połączeń głosowych.
- Projekt zakłada nałożenie nowych obowiązków na NASK-CSIRT, prezesa UKE, komendanta głównego Policji, przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej i podmioty publiczne. To działania podjęte przez te podmioty mają służyć realizacji projektowanego celu ustawy.
- Dokument zawiera propozycje nałożenia kar na podmioty niewywiązujące się z obowiązków w zakresie przeciwdziałania nadużyciom w komunikacji elektronicznej. W zależności od rodzaju podmiotu i przewinienia, kary będą mogły być nakładane administracyjnie lub w drodze wyroku sądowego.
A jak projekt ustawy ocenia środowisko teleinformatyczne?
– Przedsiębiorcy zrzeszeni w naszej Izbie nie uchylają się od nowych zadań – deklaruje Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji. – Teoretycznie nie mają więc nic przeciwko projektowanej ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Zwracają jednak uwagę, że regulacja w obecnie proponowanym kształcie będzie generować wielomilionowe koszty, a przedsiębiorcy nie mogą wyręczać państwa w ściganiu nadużyć.
Projektowana ustawa ma na celu walkę̨ z podszywaniem się̨ pod firmy i instytucje w celu wyłudzania od obywateli danych lub haseł dostępowych do rachunków bankowych. Ten cel miałby być osiągnięty poprzez nałożenie obowiązku stosowania przez operatorów telekomunikacyjnych nowoczesnych rozwiązań w zakresie cyberbezpieczeństwa oraz zacieśnienie współpracy firm z instytucjami państwowymi. Zgodnie z projektem operatorzy musieliby blokować wiadomości zawierające treści wskazane we wzorcu CSIRT NASK, ale będą mogli też samodzielnie wyszukiwać złośliwe treści.
– Jak rozumiemy, od strony technicznej proponowany system można porównać do powszechnie stosowanych rozwiązań chroniących przed spamem w poczcie elektronicznej – mówi Andrzej Dulka. – Tam dostawca usług automatycznie analizuje wiadomości e-mail, aby wyeliminować albo odpowiednio oznaczyć te, które są spamem. Pojawia się jednak pytanie, czy nie rodzi to obaw o naruszenie tajemnicy komunikowania się. A przecież ochrona tajemnicy telekomunikacyjnej ma dla operatorów priorytetowe znaczenie.
Odpowiedzialni przedsiębiorcy zrzeszeni w Izbie nie uchylają się zatem od tych nowych zadań. Ale w ocenie PIIT jednym z kluczowych zagadnień, z jakimi będzie musiał zmierzyć się projektodawca, będzie odpowiednie skonstruowanie przepisów. Chodzi o umożliwienie przedsiębiorcom telekomunikacyjnym wywiązywania się z nakładanych na nich obowiązków, przy jednoczesnym zachowaniu wysokiego poziomu ochrony prywatności użytkowników i nienaruszalności tajemnicy telekomunikacyjnej.
Izba zwraca uwagę, że implementacja rozwiązań proponowanych w projekcie będzie się wiązała ze znacznym wysiłkiem organizacyjnym oraz wielomilionowymi kosztami. Przedsiębiorcy telekomunikacyjni są gotowi wspierać państwo w walce z oszustwami w ramach dostępnych możliwości technicznych. Bo przecież szkody z tytułu nadużyć ponoszą zarówno abonenci, jak i przedsiębiorcy telekomunikacyjni. Ci ostatni nie mogą jednak państwa w tym zakresie wyręczać.
– Wszelkie wysiłki przedsiębiorców nie przyniosą oczekiwanych rezultatów tak długo, jak długo sprawcy będą pozostawali bezkarni. I to jest rola państwa i właściwych jego organów. Z natury rzeczy wsparcie przedsiębiorców telekomunikacyjnych ma jedynie charakter wspomagający. W ocenie branży procesy zwalczania nadużyć muszą być zatem kształtowane przede wszystkim z myślą o efektywnym ściganiu i karaniu przestępców przez powołane do tego służby i organy państwa. Ale przedsiębiorcy muszą mieć jednocześnie zapewnione warunki do podejmowania pewnych działań w zakresie posiadanych przez nich możliwości technicznych i organizacyjnych – podkreśla Andrzej Dulka.
