Podmioty publiczne zostaną bowiem zobowiązane do korzystania z poczty wykorzystującej trzy, określone mechanizmy uwierzytelniania: SPF, DKIM oraz DMARC. Dzięki wprowadzonym rozwiązaniom zmniejszyć ma się liczba oszustw związanych z podszywaniem się pod instytucje przy wysyłaniu wiadomości email.

Poczta elektroniczna w JST tylko w określonym mechanizmie uwierzytelnienia - projekt ustawy

Ponadto podmioty publiczne będą mogły złożyć wniosek, by wpisać swoje telefony do wykazu numerów służących wyłącznie do odbierania.

"Rozwiązanie to ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów" - czytamy w uzasadnieniu projektu.

Cieszyński pytany był w Radiu Lublin o wynik kontroli Najwyższej Izby Kontroli, która zarzuciła rządowi, że nie dba o indywidualnych użytkowników internetu.Zwrócił uwagę, że kontrola dotyczy działań z lat 2019-2021 przez co Izba nie uwzględniła wszystkiego, co się wydarzyło w międzyczasie. „Zarzuty NIK-u w tym zakresie są o tyle chybione, że nie uwzględniają aktualnych wydarzeń, które rzeczywiście tę sytuację zmieniły” – ocenił Cieszyński.

Jako przykład wskazał właśnie przyjęcie przez rząd 14 lutego projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.

„Jej głównym celem jest wprowadzenie takich mechanizmów, które zabezpieczą użytkowników narażonych np. na złośliwe smsy, na podszywanie się w rozmowach telefonicznych, czy wiadomości wysyłane pocztą elektroniczną, które są wysyłane nie przez te osoby za które się podają” – wyjaśnił.

Według ministra ta ustawa wejdzie w życie po wakacjach. „Aktualnie trwa proces notyfikacji tych przepisów w Komisji Europejskiej” – zaznaczył.

Projektowana ustawa wprowadza kary dla oszustów, a nowe przepisy uwzględniają szczególnie smishing, czyli fałszywe SMS-y pochodzące rzekomo od kurierów, banków czy instytucji publicznych zawierające np. link do strony zachęcającej do podania danych osobowych czy przelania środków.

Nowe rozwiązania mają przeciwdziałać także spoofingowi czyli podszywaniu się pod numer telefonu zaufanej instytucji czy innej osoby i próby zastraszenia ofiary, wyłudzenia pieniędzy lub danych osobowych.

Projekt przewiduje, że zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wyczerpującej znamiona tego przestępstwa.

Zgodnie z projektem, Prezes Urzędu Komunikacji Elektronicznej ma prowadzić wykaz numerów służących wyłącznie do odbierania połączeń głosowych. To rozwiązanie ograniczy możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki, inne instytucje finansowe lub ubezpieczeniowe, ale też operatorzy, rejestrując numery telefonów wykorzystywane przez nich na potrzeby biura obsługi klientów lub infolinii.

Jak wyjaśniono, przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania "proporcjonalnych środków organizacyjnych i technicznych", które będą przeciwdziałać nadużyciom w komunikacji elektronicznej. Jednym z takich działań jest – wspomniane wyżej – blokowanie SMS-ów, które zawierają treści wyczerpujące znamiona smishingu (zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK) oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.

Z przywoływanej w radiu Lublin kontroli NIK wynika m.in., że Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT (Computer Security Incident Response Team w 2020 r. zajmował się 32 incydentami zaklasyfikowanymi jako poważne, czyli takimi, których wystąpienie powoduje lub może spowodować istotne obniżenie jakości lub przerwanie ciągłości świadczenia tzw. usługi kluczowej przez m.in. instytucje administracji rządowej i samorządowej oraz przedsiębiorców z najważniejszych sektorów gospodarki.

js/ gab/