Polska: Ogłoszono nowe obowiązki dla dostawców usług telekomunikacyjnych i pocztowych

15 czerwca 2022 r. Polska ogłosiła projekt ustawy mającej na celu przeciwdziałanie nadużyciom komunikacji elektronicznej. Projekt ustawy jest odpowiedzią na rosnącą liczbę przypadków nadużyć związanych z oszustwami i smishingiem CLI, z którymi Polska zmagała się w szczególności w 2021 roku.

W projekcie czytamy, że po wejściu w życie nowej ustawy przedsiębiorcy telekomunikacyjni będą zobowiązani do podjęcia „proporcjonalnych środków technicznych i organizacyjnych” mających na celu zapobieganie i zwalczanie nieprawidłowości w komunikacji elektronicznej.

Nadużycia w niedozwolonej komunikacji elektronicznej obejmują w szczególności:

1) przesyłanie lub odbieranie wiadomości elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej przy użyciu sprzętu telekomunikacyjnego lub oprogramowania, których celem nie jest korzystanie z usługi telekomunikacyjnej, lecz rejestracja w punkcie przyłączenia sieci telekomunikacyjnych lub za pośrednictwem systemów bilingowych („ruch sztuczny ”);

2) Wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inną osobę i nakłania odbiorcę wiadomości do podjęcia określonej akcji. komunikacja lub instalacja oprogramowania („smishing”);

3) Nieuprawnione wykorzystanie przez użytkownika wykonania połączenia głosowego z informacją adresową identyfikującą osobę lub podmiot inny niż ten użytkownik, podszywanie się pod inny podmiot w celu wymuszenia na odbiorcy tego połączenia określonego działania, w szczególności przekazania danych osobowych w sposób nieświadomy pozbyć się własności lub zainstalować oprogramowanie („podszywanie się pod CLI”).

Na podstawie wiadomości tekstowych (SMS) otrzymanych od odbiorców, systemowa odpowiedź na zdarzenie bezpieczeństwa „NASK” monitoruje zdarzenie polegające na smishingu i na podstawie tego monitorowania generuje kompletny zestaw wiadomości o smishingu. CSIRT „NASK” poprzez system teleinformatyczny przekazuje informację o zdarzeniu do Komendanta Głównego Policji, Szefowi Urzędu Komunikacji Elektronicznej i Telekomunikacji firmom wraz z szablonem wiadomości wraz z modelem funkcji. Po otrzymaniu powyższych informacji firma telekomunikacyjna:

1) Natychmiastowe przechwytywanie krótkich wiadomości tekstowych (SMS) zawierających treść odzwierciedlającą szablon wiadomości ujawniony przez CSIRT „NASK” za pomocą systemu teleinformatycznego umożliwiającego automatyczną identyfikację krótkich wiadomości tekstowych (SMS);

2) Zaprzestanie blokowania krótkich wiadomości tekstowych (SMS) po otrzymaniu informacji, że treść odzwierciedlona w formacie wiadomości nie jest zła lub że dalsze blokowanie krótkich wiadomości tekstowych (SMS) zawierających takie treści jest bezcelowe.

Zgodnie z projektem ustawy, aby zapobiegać i zwalczać podszywanie się pod CLI, operatorzy zablokują połączenie głosowe lub ukryją tożsamość numeru dzwoniącego przed użytkownikiem końcowym. UKE prowadzi wykaz numerów telefonów służących wyłącznie do odbierania połączeń głosowych i udostępnia go w biuletynie informacji publicznej na swojej stronie internetowej. UKE będzie uprawniony do zgłaszania numerów telefonów wykorzystywanych w swojej działalności w celu umieszczenia w powyższym wykazie liczby organizacji z sektora finansów publicznych i banków. Co ważne, UKE, na żądanie operatora telekomunikacyjnego, powinien wpisać do powyższego wykazu tylko te numery, z których operator telekomunikacyjny korzysta na potrzeby biura obsługi klienta lub infolinii.

(i) dostawca usług poczty elektronicznej dla co najmniej 500 000 użytkowników lub (ii) organizacja publiczna lub 3) musi obsługiwać co najmniej 500 000 aktywnych kont e-mail, korzystać z SPF (Sender Policy Framework), DMARC (Domain-Basic Message Authentication Statement oraz Compliance) i algorytmy DKIM (DomainKeys Identified Mail). Z komercyjnego punktu widzenia dla niektórych dostawców może być istotne, aby podmioty publiczne były zmuszone do korzystania wyłącznie z poczty elektronicznej chronionej opisanymi powyżej mechanizmami.

Niezastosowanie się do powyższych zmian spowoduje również znaczne sankcje finansowe.