Na początku czerwca w Rządowym Centrum Legislacji opublikowano projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
Temat projektu ustawy jest bardzo interesujący – rząd podejmuje pierwszą próbę zwalczania zjawiska spoofingu – czyli podszywania się atakującego pod np. numery zaufanych instytucji czy też osoby fizyczne.
Odbiorca połączenia telefonicznego widzi na wyświetlaczu telefonu nazwisko albo nazwę instytucji np. banku, który teoretycznie wykonuje do niego połączenie, ale w praktyce jest osoba podszywająca się pod osobę czy instytucję.
Tak można „w czyimś” imieniu zadzwonić do służb ratunkowych z informacją o podłożonej bombie albo próbować wyłudzić dostęp do bankowości elektronicznej.
Projekt ustawy definiuje, w art. 3 pkt 3, spoofing (nazwany CLI spoofing) jako:
nieuprawnionego posłużenia się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania
Wcześniej, bo w art. pkt 2 projektu ustawy, pojawia się nam definicja nadużycie w komunikacji elektronicznej:
świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści
Projekt ustawy porusza też kwestie ochrony użytkowników internetu przed osobami, które tworzą strony internetowe w celu wyłudzenia np. danych osobowych – art. 11 ust. 1 projektowanej ustawy brzmi tak:
W celu ochrony użytkowników internetu przed stronami internetowymi wyłudzającymi dane, w tym dane osobowe oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich majątkiem, może zostać zawarte porozumienie w zakresie prowadzenia i utrzymywania jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu oraz uniemożliwienia dostępu do tych stron.
Dla dużych graczy na rynku, w zakresie dostarczania poczty elektronicznej, ustawodawca szykuje obowiązek stosowania pewnych mechanizmów informatycznych, które mają zapobiegać wysyłaniu smsów podszywających się pod zaufanych odbiorców.
Mechanizmy te to:
- SPF (Sender Policy Framework);
- DMARC (Domain-based Message Authentication Reporting and Conformance);
- DKIM (DomainKeys Identified Mail)
Ustawodawca przewiduje możliwość przetwarzania informacji objętych tajemnicą telekomunikacyjną oraz wymieniania się między sobą takimi informacja. W tym aspekcie wskazuje się wyłączenie stosowania zarówno pośredniego obowiązku informacyjnego (art. 14 RODO) jak i prawa dostępu do danych (art. 15 RODO), co należy ocenić negatywnie. Warto ograniczyć informowanie o źródle pozyskania danych, a nie całkowicie eliminować prawo do uzyskani informacji o przetwarzaniu danych. Projektowany art. 14 ust. 4 tak odnosi się do powyższego zagadnienia:
Do przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych, przepisu art. 14 i 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) nie stosuje się w zakresie, w jakim jest to niezbędne dla identyfikacji, zapobiegania oraz zwalczania przestępstw na szkodę przedsiębiorcy telekomunikacyjnego.