Smishing, spoofing i nowa ustawa

Smishing, spoofing i nowa ustawa

15 czerwca br. Ministerstwo Cyfryzacji opublikowało na stronie Rządowego Centrum Legislacji projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Regulacja wprowadza kilka legalnych definicji zjawisk, które są powszechne, takich jak smishing i spoofing.

Ustawa zakazuje określonych zachowań, które mogą być uznane za nadużycia w komunikacji elektronicznej (SMSY, połączenia telefoniczne, e-maile). Określa także prawa i obowiązki przedsiębiorców komunikacyjnych z tym związane. Ponadto wprowadza pojęcia dla praktyk dotychczas niezdefiniowanych w polskim systemie prawnym.

Smishing i spoofing

Smishing – wysyłanie krótkich wiadomości tekstowych (SMSów), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy SMSa do określonego działania. W szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę internetową, żądania kontaktu telefonicznego lub instalacji oprogramowania.

CLI spoofing – nieuprawnione posłużenie się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik służące podszyciu się pod inny podmiot. Ostatnie w celu nakłonienia odbiorcy tego połączenia do określonego działania. W szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania

W skrócie, w smishingu chodzi o oszustwo wyłudzenia danych czy przelewu środków poprzez wysyłanie SMSów. Natomiast w spoofingu o oszustwo poprzez telefony podszywające się pod np. banki czy inne zaufane instytucje. Ustawa definiuje ponadto pojęcie sztucznego ruchu.

Obowiązki i kary

Projekt nakłada na przedsiębiorstwa telekomunikacyjne obowiązki związane ze zwalczaniem nadużyć. Generalnie to przedsiębiorca ma blokować wiadomości smishingowe oraz połączenia w ramach spoofingu – w miarę zakresu swojej działalności. Dostawcy poczty elektronicznej zobligowani będą ponadto stosować określone w ustawie mechanizmy uwierzytelniające. Oczywiście w celu realizacji tych obowiązków przewidziano wsparcie dla przedsiębiorców. Jak wskazali projektodawcy, operatorzy często nie są w stanie zweryfikować czy połączenie rzeczywiście pochodzi z karty SIM zarejestrowanej dla danego numeru. Dlatego Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK) ma za zadanie monitorować występowanie smishingu i przekazywać telekomom wzorce wiadomości, które podlegają blokadzie. Dodatkowo Prezes Urzędu Komunikacji Elektronicznej będzie prowadził jawny rejestr numerów, które służą wyłącznie do odbierania połączeń głosowych (infolinii) banków i innych instytucji zaufania publicznego. To właśnie infolinie takich instytucji wykorzystują oszuści do fałszywych połączeń.

Ustawa przewiduje kary pieniężne nakładane przez prezesa Urzędu Komunikacji Elektronicznej na przedsiębiorców, którzy nie wypełniają obowiązków. Kary pieniężne oraz pozbawienie wolności od 3 miesięcy do lat 5 będą natomiast grozić oszustom dopuszczającym się nadużyć.

Czy wiesz, że…

Kancelaria CZUBLUN TRĘBICKI – partner merytoryczny portalu, konsekwentnie rozwija  swój dział IT i dlatego chętnie odpowie na wszelkie pytania czytelników chmury prawnej, nie tylko z obszaru problemów prawnych w chmurze.

W tej sytuacji redaktorom strony chmuraprawna.pl nie pozostaje nic innego, jak zaprosić Państwa do zadawania pytań.

Zapraszamy, by odwiedzić stronę internetową Kancelarii, która znajduje się pod adresem: https://cztr.pl/o-nas/.

Leave a Reply