Stale pojawiają się nowe zagrożenia cyfrowe, a ich potencjalną ofiarą może być niemal każdy obywatel Polski korzystający z internetu i telefonii komórkowej. Za wieloma nie nadąża prawo, co często nie gwarantuje skutecznej obrony przez przestępcami. Ale wraz z wejściem w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej to się zmieni, przyczyniając się do zwiększenia poziomu bezpieczeństwa cyfrowego w Polsce. I każdy z nas może mieć w tym udział.
Spis treści
Cel ustawy o zwalczaniu nadużyć w komunikacji elektronicznej
Oficjalnie prace nad ustawą rozpoczęły się 15 czerwca 2022 roku, a 25 sierpnia 2023 r. dokument został ogłoszony. Wszedł w życie 25 września 2023 roku, natomiast dzisiaj oficjalnie uruchomiono nowy numer do zgłaszania potencjalnie niebezpiecznych wiadomości SMS: 8080.
Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej to konkretna, mocna odpowiedź na najczęściej występujące zagrożenia cyfrowe, z którymi spotkał się niemal każdy obywatel Polski korzystający z internetu i telefonii komórkowej. Oszustwa telefoniczne, SMS-owe, fałszywe e-maile czy spreparowane strony internetowe – dzięki tej ustawie przestępcom znacznie trudniej będzie przeprowadzić każdy z tych rodzajów ataku lub ich skuteczność będzie ograniczona.
Janusz Cieszyński, minister cyfryzacji
Rozwiązania, które obejmuje wspomniany akt, dotyczące m.in. ograniczenia podszywania się pod instytucje zaufania publicznego, są już stosowane, ale teraz zostały one podniesione do rangi ustawowej. Dodajmy, że celem ustawy ma być ograniczenie między innymi przestępstwa spoofingu, czyli podszywania się pod inną osobę; oraz smishingu, czyli wysyłania wiadomości SMS-owych, by oszukać ofiarę np. w celach finansowych.
Zwalczanie nadużyć w komunikacji elektronicznej to jedno z zadań, jakie postawione są przed naszym Instytutem, zarówno w obszarze rozwoju i wykorzystania najnowszych technologii bezpieczeństwa, jak i współpracy przy projektach w obszarze legislacyjnym. Nowa ustawa jest tego bardzo dobrym przykładem – nadaje wyższą rangę rozwiązaniom, które już zostały przez NASK wdrożone, takim jak Lista ostrzeżeń przed złośliwymi stronami, ale także uruchamia nowe, wartościowe narzędzia, które wpłyną na poprawę cyberbezpieczeństwa w naszym kraju.
Wojciech Pawlak, dyrektor Państwowego Instytutu Badawczego NASK
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej w liczbach
Ministerstwo Cyfryzacji zebrało najważniejsze dane związane z ustawą:
- blisko 11 000 zł – tyle średnio straciła każda z ofiar w przypadku postępowań dotyczących oszustw z wykorzystaniem wiadomości SMS, prowadzonych w 2023 roku przez Centralne Biuro Zwalczania Cyberprzestępczości.
- 217 685 – tyle podejrzanych wiadomości SMS zgłoszono do CERT Polska w 2022 roku (2023 r., do października: 116 149).
- 82 499 – tyle wiadomości SMS zgłoszonych do CERT Polska zawierało link przenoszący na niebezpieczną stronę internetową (2023 r., do października: 55 313).
- 25% – ponad 1/4 zgłoszeń zarejestrowanych w 2022 roku przez CERT Polska dotyczyła różnych odmian phishingu, najwięcej spośród wszystkich odmian zgłaszanych zagrożeń.
- 64% – odsetek ataków phishingowych wśród wszystkich incydentów bezpieczeństwa obsłużonych przez CERT Polska w 2022 roku.
- 99% – blisko tylu posłów wszystkich ugrupowań głosowało za przyjęciem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
Zgłoszenia niebezpiecznych stron i wiadomości SMS
Ustawa ma nas chronić przed smishingiem (fałszywymi SMS-ami) oraz spoofingiem (telefonicznym podszywaniem się pod inną osobę/bank itd.), ale warto wspomnieć, że od miesięcy działają narzędzia, dzięki którym można zgłaszać takie przypadki. To pomaga w wykryciu oszustwa i ostrzeżeniu obywateli. Od 23 marca 2020 roku CERT Polska uruchomił listę ostrzeżeń przed niebezpiecznymi stronami, zaś 27 kwietnia 2021 roku ten sam zespół rozpoczął przyjmowanie zgłoszeń dotyczących niebezpiecznych wiadomości SMS. Obecnie ranga tych narzędzi została dodatkowo podniesiona.
Wyjątkowość Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej polega na tym, że skuteczność działania jej mechanizmów będzie częściowo zależeć od samych internautów.
Zgłoszenia nadużyć przez internautów to bardzo ważny element systemu zwalczania tego typu przestępstw. Jako CERT Polska dokładamy najwyższej staranności, żeby reakcja na takie zgłoszenie przebiegła w jak najkrótszym czasie. Cieszy mnie, że to, co udało się już osiągnąć, zostało dodatkowo wzmocnione przez narzędzia systemowe zdefiniowane w tej ustawie.
Sebastian Kondraszuk, szef zespołu CERT Polska
Im więcej zgłoszeń potencjalnych zagrożeń przekazywanych będzie do zespołu CERT Polska, tym skuteczniej blokowane będą incydenty bezpieczeństwa zagrażające wszystkim Polakom. Wiele zależy również od szybkości przekazywania informacji – im szybsze zgłoszenie, tym większa szansa na zablokowanie cyberataku, zanim dotrze on do większej grupy użytkowników.
Rozwiązania, które wchodzą w życie wraz z ustawą
Równocześnie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza nowe rozwiązania i mechanizmy. Podzielono je na cztery części: bezpieczniejsze SMS-y, bezpieczniejsze połączenia telefoniczne, bezpieczniejszą pocztę elektroniczną i bezpieczniejszy internet.
Bezpieczniejsze wiadomości SMS
- Nowy, łatwy do zapamiętania numer do zgłaszania podejrzanych wiadomości SMS: 8080.
- Blokowanie smishingu (w tym również wiadomości SMS, które nie zawierają linków) przez operatorów na podstawie listy wzorców tworzonej przez CSIRT NASK (od 24 marca 2024 roku).
- Lista nadpisów wiadomości SMS zastrzeżonych dla instytucji publicznych (od 24 marca 2024 roku). Oznacza to, że kiedy otrzymujemy wiadomość SMS, wyświetla się informacja o jej nadawcy. Do tej pory przestępcy mogli łatwo tę informację podmienić, tak, żeby odbiorca miał wrażenie komunikacji z konkretną instytucją, np. z konkretnym bankiem. Lista nadpisów sprawi, że wykorzystanie przez przestępców nazwy, która zostanie w tej liście zastrzeżona, nie będzie możliwe. Dodatkowo użytkownik będzie mógł sprawdzić w wyszukiwarce na stronie CSIRT NASK, czy nadpis, z którego dostał wiadomość, rzeczywiście należy do jakiejś instytucji.
Bezpieczniejsza poczta elektroniczna
- Ustawa nakłada na dostawców poczty elektronicznej, którzy mają powyżej 500 000 użytkowników lub dostarczają swoje usługi podmiotowi publicznemu, obowiązki:
- stosowanie mechanizmów SPF, DMARC i DKIM, umożliwiających weryfikację nadawcy wiadomości e-mail,
- zapewnienie możliwości uwierzytelniania wieloskładnikowego (MFA).
- Podmiot publiczny ma obowiązek korzystania z poczty chronionej przez mechanizmy SPF, DMARC i DKIM.
Bezpieczniejszy internet
- Podniesienie Listy ostrzeżeń przed złośliwymi stronami do rangi ustawowej. 24 godziny na dobę, 7 dni w tygodniu zespół CERT Polska wpisuje na tę listę domeny, które wprowadzają użytkowników w błąd i wyłudzają od nich dane.
- Umożliwienie przedsiębiorcom telekomunikacyjnym blokowania domen znajdujących się na Liście ostrzeżeń.
- Wprowadzenie dodatkowej procedury odwoławczej w sprawie wpisanych na Listę domen do Prezesa Urzędu Komunikacji Elektronicznej.
Bezpieczniejsze połączenia telefoniczne
- Lista numerów instytucji publicznych, na które będzie można przyjmować połączenia, lecz z których nie będzie można ich wykonywać.
- Możliwość blokady połączenia lub ukrycie identyfikacji numeru przy rozpoznaniu spoofingu (od 24 września 2024 roku).
Przypomnijmy, że podejrzane wiadomości SMS można zgłaszać na nowy numer 8080, natomiast wiadomości e-mail i niebezpieczne strony internetowe – na stronie incydent.cert.pl.
Źródło: gov.pl
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.