Nowe wyzwania w obszarze zagrożeń cyfrowych wymagają wprowadzenia innowacyjnych narzędzi i ciągłego poszukiwania skuteczniejszych sposobów obrony. Wiele z nich sankcjonuje przyjęta niedawno ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która w istotny sposób przyczynia się do zwiększenia poziomu bezpieczeństwa cyfrowego w naszym kraju.
– Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej to konkretna, mocna odpowiedź na najczęściej występujące zagrożenia cyfrowe, z którymi spotkał się niemal każdy obywatel Polski korzystający z internetu i telefonii komórkowej. Oszustwa telefoniczne, SMS-owe, fałszywe e-maile czy spreparowane strony internetowe – dzięki tej ustawie przestępcom znacznie trudniej będzie przeprowadzić każdy z tych rodzajów ataku lub ich skuteczność będzie ograniczona – podkreśla Janusz Cieszyński, minister cyfryzacji.
Wyjątkowość tego aktu prawnego polega jednak również na tym, że część rozwiązań, które sankcjonuje i podnosi do rangi ustawowej, już działa i – jak pokazała praktyka – okazuje się niezwykle skuteczna.
– Zwalczanie nadużyć w komunikacji elektronicznej to jedno z zadań, jakie postawione są przed naszym Instytutem, zarówno w obszarze rozwoju i wykorzystania najnowszych technologii bezpieczeństwa, jak i współpracy przy projektach w obszarze legislacyjnym. Nowa ustawa jest tego bardzo dobrym przykładem – nadaje wyższą rangę rozwiązaniom, które już zostały przez NASK wdrożone, takim jak Lista ostrzeżeń przed złośliwymi stronami, ale także uruchamia nowe, wartościowe narzędzia, które wpłyną na poprawę cyberbezpieczeństwa w naszym kraju. Chcę w tym miejscu w szczególny sposób podziękować wszystkim pracownikom Instytutu, zwłaszcza z zespołu CERT Polska, którzy w znaczącym stopniu przyczynili się do wypracowania obecnego kształtu tego aktu prawnego – mówi Wojciech Pawlak, dyrektor Państwowego Instytutu Badawczego NASK.
Już 23 marca 2020 roku CERT Polska uruchomił listę ostrzeżeń przed niebezpiecznymi stronami, zaś 27 kwietnia 2021 roku ten sam zespół rozpoczął przyjmowanie zgłoszeń dotyczących niebezpiecznych wiadomości SMS. Oba rozwiązania okazały się skuteczne, w znaczący sposób ograniczając i utrudniając działalność cyberprzestępców. Obecnie ranga tych narzędzi została dodatkowo podniesiona. Równocześnie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza też nowe rozwiązania, oferujące kilkanaście dodatkowych korzyści dla osób i organizacji funkcjonujących w polskiej przestrzeni cyfrowej.
Kilkanaście konkretnych korzyści
Co oznacza w praktyce wejście w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej? Możemy mówić o czterech fundamentalnych, korzystnych zmianach: bezpieczniejszych SMS-ach, bezpieczniejszych połączeniach telefonicznych, bezpieczniejszej poczcie elektronicznej i bezpieczniejszym internecie. Mają one swój wyraz w kilkunastu konkretnych rozwiązaniach.
Bezpieczniejsze wiadomości SMS
- Nowy, łatwy do zapamiętania numer do zgłaszania podejrzanych wiadomości SMS: 8080.
- Blokowanie smishingu (w tym również wiadomości SMS, które nie zawierają linków) przez operatorów na podstawie listy wzorców tworzonej przez CSIRT NASK (od 24.03.2024).
- Lista nadpisów* wiadomości SMS zastrzeżonych dla instytucji publicznych (od 24.03.2024).
* Kiedy otrzymujemy wiadomość SMS, wyświetla nam się informacja o jej nadawcy. Do tej pory przestępcy mogli łatwo tę informację podmienić, tak żeby odbiorca miał wrażenie komunikacji z konkretną instytucją, np. z konkretnym bankiem. Lista nadpisów sprawi, że wykorzystanie przez przestępców nazwy, która zostanie w tej liście zastrzeżona, nie będzie możliwe. Dodatkowo użytkownik będzie mógł sprawdzić w wyszukiwarce na stronie CSIRT NASK, czy nadpis, z którego dostał wiadomość, rzeczywiście należy do jakiejś instytucji.
Bezpieczniejsza poczta elektroniczna
- Ustawa nakłada na dostawców poczty elektronicznej, którzy mają powyżej 500 000 użytkowników lub dostarczają swoje usługi podmiotowi publicznemu, obowiązki:
- stosowanie mechanizmów SPF, DMARC i DKIM, umożliwiających weryfikację nadawcy wiadomości e-mail, zapewnienie możliwości uwierzytelniania wieloskładnikowego (MFA).
- Podmiot publiczny ma obowiązek korzystania z poczty chronionej przez mechanizmy SPF, DMARC i DKIM.
Bezpieczniejszy internet
- Podniesienie Listy ostrzeżeń przed złośliwymi stronami do rangi ustawowej. 24 godziny na dobę, 7 dni w tygodniu zespół CERT Polska wpisuje na tę listę domeny, które wprowadzają użytkowników w błąd i wyłudzają od nich dane.
- Umożliwienie przedsiębiorcom telekomunikacyjnym blokowania domen znajdujących się na Liście ostrzeżeń.
- Wprowadzenie dodatkowej procedury odwoławczej w sprawie wpisanych na Listę domen do Prezesa Urzędu Komunikacji Elektronicznej.
Bezpieczniejsze połączenia telefoniczne
- Lista numerów instytucji publicznych, na które będzie można przyjmować połączenia, lecz z których nie będzie można ich wykonywać.
- Możliwość blokady połączenia lub ukrycie identyfikacji numeru przy rozpoznaniu spoofingu (od 24.09.2024).
– Zgłoszenia nadużyć przez internautów to bardzo ważny element systemu zwalczania tego typu przestępstw. Jako CERT Polska dokładamy najwyższej staranności, żeby reakcja na takie zgłoszenie przebiegła w jak najkrótszym czasie. Cieszy mnie, że to, co udało się już osiągnąć, zostało dodatkowo wzmocnione przez narzędzia systemowe zdefiniowane w tej ustawie – wyjaśnia Sebastian Kondraszuk, szef zespołu CERT Polska.
Wyjątkowość Ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej polega na tym, że skuteczność działania ważnej części proponowanych w niej mechanizmów zależy także od samych internautów. Im więcej zgłoszeń potencjalnych zagrożeń przekazywanych będzie do zespołu CERT Polska, tym skuteczniej blokowane będą incydenty bezpieczeństwa zagrażające wszystkim Polakom. Wiele zależy również od szybkości przekazywania informacji – im szybsze zgłoszenie, tym większa szansa na zablokowanie cyberataku, zanim dotrze on do większej grupy użytkowników.
Podejrzane wiadomości SMS można zgłaszać na nowy numer 8080, natomiast wiadomości e-mail i niebezpieczne strony internetowe – na stronie incydent.cert.pl. Każda informacja o potencjalnym zagrożeniu, która została przesłana do CERT Polska, poprawia poziom bezpieczeństwa nas wszystkich, dlatego bardzo zachęcamy do zgłoszeń!
Film promujący nowy numer do zgłaszania podejrzanych wiadomości SMS: https://youtu.be/jC9l67g4A6o?si=KXPBHmfMIIZXVdsw