Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej – w walce z cyberatakami

Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej trafił już do Sejmu. Jego celem jest walka z nieuczciwymi działaniami podejmowanymi za pomocą środków komunikacji elektronicznej, a więc również z cyberatakami.

Przeczytaj także: Cyberatak w 7 postaciach

Zgodnie z projektem operatorzy telekomunikacyjni będą musieli podejmować proporcjonalne środki organizacyjne i techniczne w celu zapobiegania i zwalczania nadużyć. Ustawa nie zatem nakłada obowiązku podejmowania starań, które mają zmierzać do absolutnego wyeliminowania nadużyć.

Bierność w tym zakresie może skutkować karami pieniężnymi nakładanymi przez Prezesa Urzędu Komunikacji Elektronicznej na:

• przedsiębiorców telekomunikacyjnych,

• dostawców poczty elektronicznej.

Co więcej, kary będą mogły być nałożone także na osoby pełniące funkcje kierownicze lub wchodzące w skład organu zarządzającego podmiotu, który nie spełni swoich obowiązków.

Niewykluczona będzie też odpowiedzialność karna tych osób – za czyny związane z nadużyciami będzie groziła kara pozbawienia wolności od 3 miesięcy do 5 lat. Z kolei w wypadku mniejszej wagi sprawca będzie karany grzywną, ograniczeniem wolności lub pozbawieniem wolności do roku.

Ciekawym rozwiązaniem będą wzorce wiadomości SMS noszących znamiona smishingu. Wzorce te opracuje CSIRT NASK. Dzięki temu będzie można wykryć najczęstsze elementy nieuczciwych wiadomości czyli słowa kluczowe. Wzorce będą odnosić się także od konkretnych linków odsyłających na podejrzane strony WWW. Z wzorców tych skorzystają operatorzy telekomunikacyjni, którzy dostosują do nich swoje środki walki z nadużyciami. Wzorce wiadomości będą też później podane do wiadomości publicznej.

Co ciekawe, nadawca zablokowanej wiadomości SMS będzie mógł zgłosić sprzeciw w związku z taką blokadą do UKE.

W celu zapobiegania cyberatakami typu CLI spoofing operatorzy telekomunikacyjni będą:

• blokować połączenia głosowe,

• ukrywać identyfikację numeru widocznego dla użytkownika podczas połączenia (w celu zapobiegania sytuacji, w której oszust podszywałby się pod numer kojarzony przez odbiorcę z kimś zaufanym).

W projekcie umożliwiono zawarcie porozumienia pomiędzy takimi instytucjami jak Prezes UKE, CSIRT NASK czy minister właściwy ds. cyfryzacji. Na bazie takiego porozumienia mógłby powstać rejestr listy ostrzeżeń. W rejestrze tym wskazane byłyby domeny internetowe wykorzystywane do wyłudzania danych i środków finansowych użytkowników. Z kolei operatorzy telekomunikacyjny mieliby obowiązek blokady dostępu do takich stron WWW użytkownikom internetu. Prezes UKE mógłby wydać natychmiast wykonalną decyzję nakazującą operatorowi:

• blokadę dostępu do numeru lub usługi,

• wstrzymanie opłat za połączenia lub usługi.

Operator musiałby wykonać taką decyzję w ciągu zaledwie 6 godzin.

Właścicielom stron WWW, których strony wpisano do rejestru, mogliby składać sprzeciw do Prezesa UKE.

Dostawcy poczty e-mail, którzy dostarczają pocztę dla co najmniej 500 tys. użytkowników lub dla podmiotu publicznego będą musieli wdrożyć adekwatne techniczne środki bezpieczeństwa takie jak:

• SPF,

• DMARC,

• DKIM.

Będą one zmierzały choćby do weryfikacji nadawców wiadomości e-mail oraz podszywania się pod inne domeny lub adresy e-mail.

• rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej