Chciałbym, aby tak było. Jestem jednak przekonany, że nie usunięcie spoofingu nie będzie tak proste. Tym niemniej warto wspomnieć o ustawie z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Weszła ona w życie właśnie dzisiaj, czyli 25 września 2023 r.
Co ma na celu ustawa o zwalczaniu nadużyć w komunikacji elektronicznej?
Ustawa ma na celu zwalczanie prób wyłudzenia danych i innych działań, które mają na celu nakłonienie użytkowników telefonów i innych urządzeń do niekorzystnych dla siebie działań. Wśród przepisów ustawy wskazałbym w szczególności na obowiązek blokowania SMS-ów i połączeń głosowych, które zostały zakwalifikowane jako powodujące zagrożenie. Przewodnią rolę w tym procesie ma pełnić CESIRT NASK.
Mają także zostać utworzone wykazy dostawców i domen, które powodują ryzyko naruszenia interesów użytkowników, co ma na celu ostrzeżenie przed tymi zagrożeniami. Co istotne dla egzekwowania przepisów nowej ustawy, zostały w niej przewidziane kary.
Czym jest spoofing?
Spoofing to rodzaj ataku, w którym oszuści podszywają się pod zaufane instytucje, takie jak banki czy urzędy państwowe. To oczywiście nie jedyny rodzaj ataku, którego dotyczy ustawa. Ze względu na nieustający i dynamiczny rozwój technologii pozostawia ona katalog zagrożeń otwarty, wskazuje jednak cztery z nich.
Art. 3 [Katalog nadużyć w komunikacji elektronicznej]
1. Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:
1) generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
2) smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
3) CLI spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
4) nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.
2. Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.
3. Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Ty też możesz głosić incydent do CSIRT NASK!
Wprowadzenie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej to niewątpliwie pozytywna wiadomość dla ochrony danych i prywatności. Czas pokaże, czy spełni ona swoje zadania.
Już dzisiaj pamiętaj natomiast, że też możesz przyczynić się do jej realizacji. Mam na myśli możliwość zgłoszenia wszelkiego rodzaju incydentów, np. prób phishingu czy spoofingu, do CSIRT NASK. Zgłoszenie możesz złożyć korzystając z informacji zawartych tutaj 👉 KLIK!
Możesz też przeczytać o zagrożeniach takich jak phishing u mnie na blogu, do czego serdecznie Cię zachęcam!😉 Wpis na ten temat znajdziesz tutaj 👉 KLIK!