Polski rząd chce też zaglądać do skrzynek e-mail obywateli. Powstanie rejestr logowań

W połowie czerwca tego roku w Rządowym Centrum Legislacji pojawił się projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. To efekt nasilenia ataków z początku 2022 roku, którego ofiarami padli też przedstawiciele rządu. Mowa o atakach typu phishing, smishing i spoofing.

Zaczynając od ataków smishing (próby wyłudzenia danych dostępowych do bankowości elektronicznej ofiar przy pomocy wiadomości SMS), bo tu już się udało po konsultacjach z operatorami (szczegóły w tym tekście) wypracować model walki, a polegać on będzie na blokowaniu tego trybu treści na poziomie operatorskim.

Operatorzy będą blokować wiadomości tekstowe, które zawierają treści zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK.

Jeśli chodzi o spoofing, czyli podszywanie się pod numery zaufanych instytucji (głównie banki) czy osoby publiczne i próby przestępców nakłonienia ofiar do niekorzystnych dla nich działań - pojawiła się propozycja, by podejrzane połączenia z numerów, które podszywają się po nasze własne poprzedzać na przykład gwiazdką, w ten sposób identyfikowane by były jako połączenia od innych osób, niż te rzeczywiste. A więc inne niż te, zapisane w naszej książce telefonicznej, na przykład od naszego banku czy innej instytucji.

Czytaj dalej poniżej

Skąd tyle ataków w polskiej sieci? 84% Polaków nie wie czym jest phishing Grzegorz Ułan

Microsoft, Google i 2FA uratowali mi skórę. Atak hakerski dotknął i mnie Jakub Szczęsny

Według projektu ustawy w ten obszar działań miałby być zaangażowanych Prezes Urzędu Komunikacji Elektronicznej:

Przedsiębiorcy telekomunikacyjni będą obowiązani, w szczególności do blokowania połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję. Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych.

Natomiast w przypadku phishingu wiemy już, że istniejące rozwiązania są niedostateczne. Podobnie, jak ma być w przypadku wiadomości SMS, NASK gromadzi domeny wykorzystywane w takich atakach, które są automatycznie blokowane przez operatorów w Polsce. Problem w tym, że działa to podobnie jak blokowanie nielegalnych stron hazardowych, w miejsce blokowanych pojawiają się nowe.

W projekcie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej znajdziemy tylko jeden pomysł na dodatkowe zabezpieczenia w tym temacie, w ramach którego na dostawcach poczty elektronicznej ma zostać nałożony obowiązek stosowania mechanizmu uwierzytelnienia poczty elektronicznej. Przy czym obowiązek ten ma dotyczyć tylko tych dostawców, którzy obsługują co najmniej 500 000 użytkowników.

Teraz, jak czytamy w Dzienniku Gazecie Prawnej, do ustawy o zwalczaniu nadużyć w komunikacji elektronicznej chce się „podpiąć” Ministerstwo Obrony i wprowadzić do niej obowiązek tworzenia rejestru logowań użytkowników poczty e-mail w Polsce, zawierający - dokładną datę i godzinę oraz adres IP osoby, która wchodzi na swoją skrzynkę e-mail.

Serwisy udostępniające pocztę elektroniczną powinny zbierać informacje dotyczące logowania do obsługiwanych przez siebie skrzynek poczty elektronicznej. Dziennik ma składać się z daty, godziny (co do jednej sekundy), adresu IP oraz portu przypisanego użytkownikowi w trakcie połączenia. Tak stworzoną bazę danych operator powinien przechowywać przez co najmniej 90 dni i udostępnić ją organom państwa na potrzeby prowadzonych przez nie postępowań. Takie zalecenia znalazły się w opinii, jaką MON przesłało do projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, którą szykuje KPRM.

Reklama

Ten obowiązek tłumaczony jest koniecznością ułatwienia pracy organom ścigania w celu sprawnego ścigania przestępców, wykorzystujących ten środek komunikacji elektronicznej.

Tak więc podobna argumentacja, jak przy pozostałych rozwiązaniach, których celem było gromadzenie danych obywateli, na przykład w przypadku ustawy antyterrorystycznej, która tylko utrudniła życie zwykłym obywatelom.

Źródło: Dziennik Gazeta Prawna.
Stock Image from Depositphotos.