- Wdrożenie nowych rozwiązań w przypadku przedsiębiorców telekomunikacyjnych będzie wiązało się ze znacznym wysiłkiem organizacyjnym oraz wielomilionowymi kosztami - powiedział Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji.
W połowie czerwca rząd opublikował projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (nr z wykazu UD402). Ma on na celu walkę z problemem podszywania się pod renomowane firmy i instytucje w celu wyłudzenia od obywateli danych lub haseł dostępowych do rachunków bankowych. Ten cel miałby być osiągnięty poprzez nałożenie obowiązku stosowania przez operatorów nowoczesnych rozwiązań w zakresie cyberbezpieczeństwa oraz zacieśnienie współpracy firm z państwowymi instytucjami. Czy takie zmiany są potrzebne?
Szkody z tytułu nadużyć ponoszą zarówno abonenci, jak i przedsiębiorcy telekomunikacyjni. Rząd przedstawił projekt ustawy, który w założeniu ma pozwolić na skuteczną walkę z tymi nadużyciami. Projekt ten wymaga jednak dalszych prac i zmian. Implementacja proponowanych rozwiązań będzie wiązała się bowiem ze znacznym wysiłkiem organizacyjnym oraz wielomilionowymi kosztami dla przedsiębiorców telekomunikacyjnych. Ale jako odpowiedzialni przedsiębiorcy nie uchylamy się od tych nowych zadań.
Minister cyfryzacji prowadzi zresztą prace legislacyjne nad projektami trzech ustaw, z których każda będzie miała istotny wpływ na funkcjonowanie rynku telekomunikacyjnego i każda będzie oznaczać dla przedsiębiorców telekomunikacyjnych nowe obowiązki oraz znaczne koszty, zarówno dostosowawcze, jak i utrzymaniowe. Dlatego tak ważne jest zachowanie racjonalności w tworzeniu prawa i nakładaniu nowych obowiązków, zwłaszcza w tak trudnych ekonomicznie czasach jak obecnie.
Czy przedstawione pomysły rządu mają szansę całkowicie wyeliminować problem np. smishingu czy CLI spoofingu?
Jednym z podstawowych celów przedsiębiorców telekomunikacyjnych jest dbałość o bezpieczeństwo klientów. Dlatego potrzebne są rozwiązania, które pozwolą na ograniczenie skali nadużyć, a to w pierwszej kolejności wymaga, aby identyfikowani i pociągani do odpowiedzialności byli sprawcy naruszeń. Skala zjawiska będzie bowiem rosła, jeśli sprawcy będą się czuli bezkarni.
Procesy zwalczania nadużyć muszą być kształtowane przede wszystkim z myślą o efektywnym ściganiu i karaniu przestępców przez powołane do tego służby i organy państwa, jednocześnie dając przedsiębiorcom telekomunikacyjnym narzędzia do podejmowania działań antyfraudowych. Przedsiębiorcy telekomunikacyjni są gotowi wspierać państwo w walce z tym procederem, w ramach dostępnych możliwości technicznych uwzględniających obecny etap rozwoju sieci i usług telekomunikacyjnych, ale nie mogą państwa w tym zakresie wyręczać.
Zgodnie z projektem operatorzy będą musieli blokować wiadomości zawierające treści wskazane we wzorcu CSIRT NASK, ale będą mogli też samodzielnie wyszukiwać złośliwe treści. Czy to nie rodzi obawy o naruszenie tajemnicy komunikowania się?
Ochrona tajemnicy komunikowania się ma dla operatorów zrzeszonych w izbie priorytetowe znaczenie. Jak rozumiemy, proponowane rozwiązanie od strony przetwarzania danych można porównać do powszechnie stosowanych rozwiązań chroniących przed spamem w poczcie elektronicznej. Tam dostawca usług automatycznie analizuje wiadomości e-mail, aby wyeliminować albo odpowiednio oznaczyć te, które są spamem. Przedsiębiorcy telekomunikacyjni zrzeszeni w izbie będą w pełni stosować się do obowiązujących w tym zakresie przepisów.
Z pewnością jednym z kluczowych zagadnień, z jakimi będzie musiał zmierzyć się projektodawca, będzie skonstruowanie przepisów tak, aby pozwolić przedsiębiorcom telekomunikacyjnym wywiązywać się z nakładanych na nich obowiązków, przy jednoczesnym zachowaniu wysokiego poziomu ochrony prywatności użytkowników i nienaruszalności tajemnicy telekomunikacyjnej.
Projektowane przepisy przewidują możliwość zawarcia porozumienia o prowadzeniu jawnej listy ostrzeżeń dotyczących domen służących do wyłudzania danych oraz dostępu do kont bankowych. Czy firmy telekomunikacyjne będą zainteresowane zawarciem takiego porozumienia? A jeśli nie, to w jakim przypadku mogą się tym zainteresować?
Planowane regulacje dają ustawową podstawę do kontynuowania współpracy w ramach porozumienia i listy ostrzeżeń, które już funkcjonują. W marcu 2020 r. minister cyfryzacji, prezes Urzędu Komunikacji Elektronicznej, Naukowa i Akademicka Sieć Komputerowa oraz infrastrukturalni operatorzy sieci ruchomych podpisali porozumienie o współpracy w zakresie ochrony użytkowników internetu przed stronami wyłudzającymi dane.
Ideą porozumienia zainicjowanego przez stronę rządową było podniesienie poziomu bezpieczeństwa użytkowników internetu w związku ze zwiększoną zależnością od łączności oraz usług dostępnych online wraz z wybuchem epidemii COVID-19. Proponowane przepisy odczytujemy jako wyraz woli projektodawcy, aby obecna współpraca była kontynuowana również po okresie pandemii i miała ustawowe podstawy.
Rozmawiał Jakub Styczyński
