Czytam w serwisie internetowym wiarygodnego medium informacyjnego, że Rafał Brzoska pobił, albo nawet zabił swoją żonę. Obok prezydent RP, jak żywy, zachwala „najnowszy fundusz inwestycyjny Grupy Orlen”. Obie te treści są bezczelnym oszustwem, w realnym świecie byłyby ono bezwzględnie ścigane. Dlaczego przywykliśmy do tego, że w sieci jest nieomal normą?

Publikowane w przestrzeni publicznej, przede wszystkim w popularnych platformach społecznościowych, ale też w serwisach mediów informacyjnych, fałszywe reklamy, bazujące na wizerunkach znanych ludzi - z obszaru polityki, sportu, filmu, rozrywki czy biznesu - często faktycznie służą uwiarygodnieniu działalności przestępców. W tym samym celu cyberprzestępcy stosują techniki deepfake, by podszywać się pod osoby publiczne lub znane osobiście potencjalnym ofiarom. Postęp technologiczny sprawił, że proste, przerobione zdjęcia zastąpiły dobrze przygotowane nagrania wideo, w których znana osoba zachwala daną „inwestycję”. Trudno jest ofierze rozpoznać, że ma do czynienia z nieprawdziwym nagraniem, wytworem oszustów używających algorytmów.

Nowe możliwości manipulowania ludźmi zapewnia sprawcom wykorzystanie sztucznej inteligencji.

Tak. Zgodnie z prognozami ENISA do 2030 roku atakujący powszechnie będą wykorzystywać technologię deepfake do podszywania się pod inne osoby. Również badania naukowe podkreślają atrakcyjność modeli LLM dla socjotechników, wskazując, że LLM potrafią generować treści wiadomości phishingowych lub wyłudzające dane strony internetowe co najmniej tak samo dobrze jak ludzie. Co więcej, wiadomości phishingowe wygenerowane przez LLM już teraz mają znacznie wyższy współczynnik klikalności niż wiadomości phishingowe prawdopodobniej napisane przez ludzi.

Bandyci zdołali nabrać na fałszywą inwestycję nawet znaną i doświadczoną dziennikarkę, straciła niemałe oszczędności. Ale przecież policjantom i prokuratorom łatwiej jest ustalić, że coś jest oszustwem. I powinni z automatu ścigać przestępców.

Co do zasady – oczywiście. Zarówno policja jak i prokuratura prowadzą postępowania dotyczące oszustw inwestycyjnych, jednak należy pamiętać o tym, że cyberprzestępczość ma charakter masowy i ilość ataków nieustannie rośnie. Większość wszczynanych przez prokuraturę postępowań karnych dotyczy oszustw i już ponad połowa tychże oszustw to są oszustwa popełnione online. Sprawcy cyberprzestępstw korzystają z nowoczesnych rozwiązań technologicznych pozwalających na zachowanie anonimowości, sprawną komunikację oraz do prania pieniędzy. W celu ukrycia własnej tożsamości kreują nową tożsamość lub wykorzystują dane innych osób – w tym tzw. słupów. Korzystają również z usług i narzędzi technicznych utrudniających lub uniemożliwiających analizę ruchu sieciowego. Do tego należy jeszcze dodać transgraniczność – w sprawach cyberprzestępczości sprawca, ofiara oraz niezbędne do zabezpieczenia dowody i dane znajdują się w różnych jurysdykcjach. Wynika to ze specyfiki internetu i obowiązujących w nim zasad lub raczej braku wielu zasad.

Jakich?

Zanim to wyjaśnię, przypomnę, że w czasach, gdy oszustwa popełnione były face to face, sprawa była w miarę prosta. Skomplikowała się, kiedy pojawiły się oszustwa na portalach aukcyjnych oraz fałszywe sklepy internetowe – jeden taki sklep, który nigdy nie miał żadnego towaru, był w stanie oszukać kilkaset osób na kilka milionów złotych. Dodam, że ofiary składały zawiadomienia o podejrzeniu popełnienia przestępstwa w różnych jednostkach policji i prokuratury, zatem w związku z działalnością jednego fałszywego sklepu wszczynanych było kilkadziesiąt lub nawet kilkaset niezależnych postępowań karnych. Ściganie sprawców w globalnej sieci było od początku utrudnione, zwłaszcza że mogli oni operować z dowolnej części świata. Dziś poziom skomplikowania postępowań dotyczących cyberprzestępstw jeszcze wzrasta. Od pewnego czasu najgwałtowniej rośnie liczba pokrzywdzonych przez twórców fałszywych platform inwestycyjnych. Najbardziej zaawansowani oszuści dopracowali do perfekcji socjotechniczne metody wpływania na ludzi, zaawansowane techniki psychomanipulacji.

Czyli?

Prowadzimy postępowania z tego zakresu, udaje nam się ustalić i zatrzymać sprawców, znamy więc strukturę tych grup i wiemy na przykład, że pracują w nich wykwalifikowani psycholodzy, mentorzy i trenerzy, którzy uczą oszustów kontaktujących się z potencjalnymi ofiarami telefonicznie, skutecznych technik doprowadzania ludzi do niekorzystnego rozporządzenia swoim mieniem. Analiza scenariuszy ataków wykorzystywanych przez sprawców pozwala stwierdzić, że odwołują się oni do uniwersalnych zasad wpływu wyodrębnionych przez Roberta Cialdiniego. Członkowie grup przestępczych wchodzący w interakcję z użytkownikami zwykle dysponują pełnymi skryptami czy scenariuszami rozmów z pokrzywdzonymi bazującymi na technikach wpływu przygotowanymi przez psychologa. Mniej skuteczni socjotechnicy mogą w ramach zorganizowanej grupy liczyć na wsparcie mentora, który pomoże im doskonalić techniki manipulacji. W części spraw widzimy, że przestępcy łączą warstwę techniczną oszustw internetowych z klasycznymi technikami manipulacji.

Jak?

Dla przykładu: w klasycznym schemacie oszustwa inwestycyjnego poza oszukańczą reklamą wykorzystującą wizerunek osób godnych zaufania (zasada autorytetu) oraz pozytywnymi komentarzami mającymi pochodzić od innych inwestorów (społeczny dowód słuszności) ofiara nakłaniana jest do zainwestowania relatywnie małej kwoty. Po upływie kilku dni telefoniści informują ją o sukcesie inwestycyjnym i pomnożeniu wpłaconej kwoty, zachęcając do zainwestowania znacznie większych kwot pieniędzy. Sprawcy poświęcają dużo czasu na budowanie relacji zaufania z ofiarą, oferując pomoc i doradztwo wchodzą w rolę wiarygodnego eksperta. Na tym etapie, jeśli ofiara chce wycofać wpłacone środki oraz uzyskać zyski z inwestycji, środki te otrzymuje na własny rachunek bankowy.

Ma to na celu wzbudzenie zaufania i skłonienie ofiary do zainwestowania zdecydowanie większego kapitału.

Oczywiście. Wykorzystanie we wspomnianych przez pana „reklamach” i „informacjach” siły autorytetu znanej osoby zwiększa podatność odbiorców na psychomanipulację i ma nakłonić ofiary do tego, aby finalnie przekazały swoje środki przestępcom. Co ciekawe, część pokrzywdzonych była kilka razy doprowadzana do niekorzystnego rozporządzenia mieniem przez tę samą zorganizowaną grupę. Kolejne oszustwo bazowało zazwyczaj na podszyciu pod kancelarię prawniczą i zaoferowaniu odpłatnej pomocy w odzyskaniu utraconych środków. W tym miejscu warto wspomnieć, że te same metody wykorzystywane są w tzw. oszustwie na miłość (love scam) i coraz częściej osaczanie potencjalnej ofiary zaczyna się od uwiedzenia, które w kolejnym kroku przechodzi w nakłanianie tej osoby do zainwestowania majątku życia w różnego rodzaju instrumenty finansowe, które ostatecznie okazują się całkowitą fikcją.

ikona lupy />
Cyberprzestępczość: Orlen ostrzega przez oszustwami na fałszywe fundusze inwestycyjne wykorzystujące wizerunek i logo firmy / Forsal.pl / ORLEN

Cyberprzestępczość. Portale, domy mediowe i usługodawcy hostingu powinni odpowiadać za publikowane treści

To wracam do pytania: dlaczego to wszystko jest w ogóle możliwe? Przecież gdybym chciał zamieścić reklamę oszukańczej firmy inwestycyjnej w tradycyjnej gazecie, to – po konsultacji z redakcyjnymi prawnikami – taka publikacja zostałaby z miejsca zablokowana. Tym bardziej nie mógłbym opublikować ani „reklamy”, ani „informacji” wykorzystującej bezprawnie wizerunek znanej osoby.

Mówiąc najprościej: mamy tu do czynienia z podwójnymi standardami i regulacjami - innymi w tradycyjnych mediach, a innymi w sieci. Z niezrozumiałych powodów zasady postępowania w sieci mocno różnią się od tych w realnej przestrzeni i jesteśmy przez to mocno nieskuteczni w ściganiu przestępców. Mechanizmy odpowiedzialności dostawców treści oraz platform, za pośrednictwem których te treści są upubliczniane, trzeba zatem wzmocnić. Część problemów rozwiązuje DSA (akt o usługach cyfrowych) – którego celem jest skuteczniejsza ochrona konsumentów, określenie jasnych obowiązków dla platform internetowych i mediów społecznościowych oraz zwalczanie nielegalnych treści. Na dostawców usług pośrednich DSA nie nakłada jednak ogólnego obowiązku monitorowania informacji, które dostawcy ci przekazują lub przechowują, ani aktywnego ustalania faktów lub okoliczności wskazujących na nielegalną działalność. DSA nie jest zatem remedium na wszystkie bolączki i nie ogranicza znacząco działań przestępców.

To źle?

Najwyższy czas zauważyć, że wykorzystując opacznie rozumianą „wolność w sieci” cyberprzestępcy wykupują w czołowych serwisach przestrzeń na reklamy służące oszustwom. Płacą domom mediowym nie tylko za miejsce, ale i pozycjonowanie swoich stron internetowych w wyszukiwarkach.

To mam fundamentalne pytanie: o odpowiedzialność konkretnych podmiotów, czyli domów mediowych oraz właścicieli platform i serwisów internetowych, za publikowane treści.

Zadajemy je sobie coraz częściej w organach ścigania, ale ono jest również zadawane przez regulatora. W mojej opinii, potrzebne są tutaj jednolite, spójne przepisy, które nakładałyby obowiązek nie tylko usuwania nielegalnych treści zgłoszonych przez użytkownika, ale również proaktywnego weryfikowania treści pod kątem naruszania prawa. Owszem, w odróżnieniu do tradycyjnych publikacji w przeszłości dziś wszystko dzieje się niezwykle szybko, publikacje są zamieszczane błyskawicznie, treści się zmieniają, trwa walka o uwagę odbiorcy. Ale to wszystko nie może zwalniać z odpowiedzialności za publikowane treści.

Podniesie się zaraz wrzawa, że to jest zamach na wolność słowa.

Niechaj każdy spróbuje uczciwie odpowiedzieć na podstawowe pytanie: jak powinniśmy traktować podmiot, który na swojej platformie publikuje reklamy oszustów wykorzystujące wizerunek innych osób i nie reaguje w sytuacji zgłoszenia, a jednocześnie monetyzuje to, że te reklamy się u niego pojawiają.

Jak traktować podmiot, który za pieniądze toleruje na swych platformach działalność botów umieszczonych tam wyłącznie po to, by prezentować reklamy oszukańczych inwestycji finansowych i przykuwać uwagę potencjalnych pokrzywdzonych?

Właśnie. Wolność jest ważna, ale nie może ona oznaczać naruszania praw i wolności innych, ani bezkarności sprawców i bezradności ich ofiar. Jak wspomniałam, rozporządzenie DSA wprowadza tu pewne mechanizmy. W przypadku świadczenia usługi polegającej na przechowywaniu informacji przekazanych przez odbiorcę usługi dostawca usług nie ponosi odpowiedzialności za informacje przechowywane na wniosek odbiorcy usługi, pod warunkiem że dostawca nie ma faktycznej wiedzy o nielegalnej działalności lub nielegalnych treściach oraz podejmuje bezzwłocznie odpowiednie działania w celu usunięcia lub uniemożliwienia dostępu do nielegalnych treści, gdy uzyska taką wiedzę lub wiadomość. W szczególności dostawcy usług hostingu powinni wdrożyć mechanizmy umożliwiające zgłoszenie nielegalnych treści. Więc zakładamy, że przynajmniej część problemów zostanie rozwiązanych. Mam jednak nieodparte wrażenie, że te mechanizmy nie zawsze będą skuteczne, więc ta regulacja, w mej opinii, powinna ewoluować.

Cyberprzestępczość. Współpraca międzynarodowa i bulletproof hostings

Wspomniała pani, że w sieci przestępcy mogą działać z dowolnego punktu globu. Ich ściganie wymaga więc dobrej współpracy międzynarodowej, zwłaszcza że w Europie najpopularniejsze są od lat serwisy społecznościowe należące do amerykańskich bóg-techów i w tych, a także chińskich serwisach notorycznie dochodzi do publikacji oszukańczych treści. Jak w praktyce wygląda ta globalna współpraca z punktu widzenia polskiego prokuratora?

Wiele zależy od poszczególnych państw oraz dostawców usług. Jako organy ścigania korzystamy z instrumentów współpracy międzynarodowej w ramach Unii Europejskiej. Tych instrumentów jest dość dużo i są one skuteczne. Mamy europejski nakaz dochodzeniowy, mamy cały pakiet e-evidence, co pozwala nam uzyskać dostęp do danych cyfrowych niezbędnych w toku postępowań przygotowawczych i sądowych, niezależnie od lokalizacji tych danych. Skutecznym mechanizmem współpracy jest również konwencja budapeszteńska (o cyberprzestępczości), do której przystąpiło wiele krajów spoza UE. Opieramy nasze działania na spontanicznej wymianie danych i polskie organy ścigania coraz częściej uzyskują informacje od podmiotów zlokalizowanych w różnych jurysdykcjach na zasadzie dobrowolnej wymiany danych.

A konkretnie?

Mamy dostawców z siedzibami w egzotycznych krajach, którzy udzielają nam odpowiedzi niezbędnych do dalszego prowadzenia postępowania w ciągu kilkunastu godzin, a jednocześnie borykamy się z dużą grupą dostawców określanych slangowo jako „bulletproof hostings”.

Hosting polega na udostępnianiu przestrzeni na serwerach różnym osobom i firmom, które przechowują tam i udostępniają w ten sposób zawartość swojej strony internetowej. A „kuloodporny hosting”?

Taką usługę świadczą podmioty, które co do zasady nie współpracują z organami ścigania, a de facto udostępniają swoje serwery cyberprzestępcom i są tego świadome. Wiemy, że gwarantują swoim klientom, że nie będą reagowały na różnego rodzaju zgłoszenia dotyczące nadużyć i biorą z tego tytułu dodatkowe opłaty. Działa to tak, że jeżeli w sprawie użytkownika konta hostingowego zwracają się organy ścigania, to taki dostawca nie przekazuje organom ścigania danych, nie podejmuje działań w celu usunięcia nielegalnych treści, a informuje klienta o zapytaniu organów ścigania i zwiększa temu klientowi opłatę.

Nawet jeśli ten podmiot ma w swoich plikach złośliwe oprogramowanie służące do cyberataków i treści wykorzystywane do ewidentnych oszustw?

Zwłaszcza wtedy. Hosting tego typu wysyła swojemu klientowi informację, że jeśli dalej chce działać na danej platformie, to musi zapłacić więcej, bo policja się nim interesuje. Tak więc skuteczność organów ścigania zależy również od woli dostawców usług oraz właścicieli platform. Jeśli chcemy większy nacisk położyć na ochronę pokrzywdzonych – zdecydowanie powinniśmy dążyć do zmian i stworzenia rozwiązań systemowych. Można zacząć od tego, aby wszyscy dostawcy usług byli zobowiązani do tego, że jeżeli świadczą usługę dostępną na terytorium Polski, to muszą w ramach polskiego prawa przekazywać uprawnionym organom określone informacje niezbędne w toku postępowania karnego w sposób szybki i kompleksowy.

Szybkość ma znaczenie?

W zwalczaniu cyberprzestępczości czas ma kluczowe znaczenie, ponieważ nie ma czegoś takiego jak retencja danych w sieci. W Polsce mamy retencję danych telekomunikacyjnych ustaloną na 12 miesięcy, natomiast nie ma retencji danych internetowych. Jeśli więc ktoś usuwa swoje dane z konta w usłudze hostingowej, to tych danych tam po prostu za chwilę nie będzie. Pozostaną dane dotyczące użytkownika oraz płatności. Jednak dane dotyczące użytkownika pochodzą z kradzieży tożsamości, podszycia się pod inny podmiot albo zostały wykreowane w celu ukrycia prawdziwej tożsamości sprawcy, ponieważ każdy cyberprzestępca dba o zachowanie własnej anonimowości.

Czy bulletproof hosting można traktować jako pomocnictwo lub współsprawstwo w przestępstwie?

Tak. Prowadzone są postępowania karne dotyczące takich dostawców i podmioty udostepniające taką usługę traktowane są co do zasady jako pomocnicy. Oczywiście weryfikacji podlega czy mieli świadomość tego, co jest w danej usłudze przechowywane. W innych sytuacjach można odwołać się do odpowiedzialności takich podmiotów na podstawie regulacji poza karnych. Pamiętajmy przy tym, że odpowiedzialność karna to jest ultima ratio.

Powinniśmy je stosować tylko wtedy, gdy danego problemu społecznego nie da się rozwiązać innymi środkami. Ten się da?

Owszem. Odpowiedzialność można budować na innych fundamentach, niż przepisy karno-prawne. Przykładem są przepisy związane z ochroną danych osobowych – widać, że kary administracyjne bywają lepszą metodą zachęcania podmiotów do podjęcia pewnych działań mających na celu zapewnienie zgodności regulacyjnej i dokonania analizy potencjalnych ryzyk. Również DSA przewiduje kary administracyjne za brak realizacji określonych obowiązków.

Cyberprzestępczość a wolność w sieci. Jak chronić najsłabszych

Kraje dalekie od ideałów liberalnej demokracji i wolności obywatelskich już dawno uporały się z omawianymi tu przez nas problemami: po prostu blokują dostęp do wszystkich platform, które uważają za przestępne i bardzo silnie regulują internet. Mają mocne administracyjne narzędzia służące kontroli sieci. Zarazem z tych krajów pochodzą platformy, na których złoczyńcy m.in. reklamują fejkowe inwestycje wykorzystując w tym celu bezprawnie wizerunki znanych osób. Łamią w ten sposób wiele europejskich, w tym polskich, przepisów – i pozostają kuloodporne…

Po pierwsze - myślę, że regulacja dotycząca treści w sieci będzie się zmieniała. Mam też nadzieję, że proporcja pomiędzy wolnością korzystania z internetu a koniecznością zapewniania bezpieczeństwa użytkownikom będzie lepiej wyważona. Dobrym przykładem proaktywnej ochrony użytkowników internetu przed cyberprzestępczością jest blokowanie stron wyłudzających dane do logowania albo środki finansowe. Obszar ten reguluje ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, określająca m.in. zasady działania tzw. listy ostrzeżeń oraz przeciwdziałania smsishingowi i CLI spoofingowi. Mechanizm uregulowany w tej ustawie pozwala operatorom telekomunikacyjnym blokować możliwość wyświetlenia użytkownikowi końcowemu strony dodanej do listy ostrzeżeń. Tym prostym mechanizmem technicznym zaczęto proaktywnie chronić najsłabszych – to jest tych, którzy nie mieli świadomości, że otrzymywany SMS o konieczności dopłaty do przesyłki, czy jej dezynfekcji jest początkiem ataku ukierunkowanego na przejęcie danych do logowania do bankowości elektronicznej i kradzieży z włamaniem środków zapisanych na rachunku. Lista ostrzeżeń okazała się skutecznym narzędziem ochrony najmniej odpornych na socjotechnikę. Tym samym aktem prawnym przedsiębiorców telekomunikacyjnych zobowiązano do blokowania krótkich wiadomości tekstowych (SMS) zawierających treść zgodną z treścią wzorca smsa smishingowego przekazanego przez CSIRT NASK. Przedsiębiorca telekomunikacyjny może również blokować krótkie smsy zawierające treść wyczerpującą znamiona smishingu na podstawie innych, np. własnych indykatorów.

Niektórzy chcieliby zobaczyć taką niebezpieczną stronę?

Tak. I mają taką możliwość. Nie jest to trudne. Pamiętajmy, że ta regulacja jest wąska: jeżeli specjalista z NASK uzna na podstawie analizy, że jakaś strona wygląda jak panel do logowania do usługi poczty elektronicznej albo panel logowania do banku, a nie jest to ani poczta, ani strona banku, to ta strona z pewnością wyłudza dane do logowania albo środki finansowe i zostanie dodana do listy ostrzeżeń.

Blokujemy takie strony proaktywnie, nie czekając, aż ktoś – np. potencjalna czy realna ofiara takiego wyłudzenia – zgłosi to?

Dokładnie tak. Jeśli ktoś dostaje smsa z linkiem i hasłem „dopłać do przesyłki” lub „dopłać do zamówienia”, ten podejrzany sms może wysłać pod darmowy numer 8080 i wtedy zostanie on poddany analizie przez NASK. Adres strony trafi na listę ostrzeżeń, a sms służy do zbudowania wzorca smsa smishingowego. Następnie przedsiębiorcy telekomunikacyjnych uniemożliwią dostarczenie kolejnych smsów zgodnych z wzorcem oraz uniemożliwią wyświetlenie się złośliwej strony.

Czyli kolejna osoba, do której wysłano takiego esemesa, albo go nie dostanie, albo jeśli nawet go otrzyma i kliknie w link, to nie wyświetli oszukańczej strony?

Tak jest. Niektórzy próbują twierdzić, że wolność takiej osoby do zapoznania się z treścią oszukańczej strony jest ograniczona.

Ale tak na logikę: o tak rozumianą „wolność” najsilniej będą walczyć złoczyńcy.

Wtedy ktoś inny może im odpowiedzieć, że mechanizm blokowania nie jest stuprocentowo skuteczny, bo można przecież skorzystać z usług innego operatora, nieobjętego porozumieniem, albo z sieci TOR. Pamiętajmy jednak, że celem regulacji była ochrona najsłabszych. Jeżeli ktoś umie wyświetlić blokowaną przez ten mechanizm stronę, to znaczy, że jest świadomy zagrożeń i wie, że tam jest fałszywy panel logowania.

W czy ten wzorzec smsa smishingowego udostępniony operatorom nie może służyć do blokowania kolejnych oszukańczych smsów?

Może - i służy. Dostawcy usług telekomunikacyjnych blokują możliwość dostarczenia smsów zgodnych z tym wzorcem. To też jest pewne ograniczenie, bo część z nas już nie dostaje takich wiadomości.

Ale w realnej przestrzeni publicznej też mamy miejsca z ograniczeniami, na przykład są barierki, które nie pozwalają nam spaść, chociaż niektórzy chcieliby sprawdzić, czy mogą chodzić nad przepaścią, prawda?

Dobre porównanie. Tylko że w internecie ludzie notorycznie postępują inaczej niż postąpiliby w realnym świecie. Np. bez żadnych zahamowań obrażają inne osoby, choć nigdy nie robią tego w kontakcie bezpośrednim. W komentarzach pod różnego rodzaju postami pojawiają się wpisy, które są groźbami karalnymi, albo formą znieważenia, czyli wyczerpują znamiona czynów zabronionych. Albo naruszają przynajmniej jakieś przyjęte normy zachowania. Część z tych osób uważa, że internet zapewnia im tak właśnie rozumianą wolność, a zarazem – anonimowość. Tu rodzi się kolejne pytanie: czy nie powinniśmy skutecznie identyfikować i weryfikować użytkowników internetu po to, żeby zapewnić bezpieczeństwo?

Weźmy najprostszą rzecz: wiek internauty. Z raportu „Internet dzieci”, zaprezentowanego w Sejmie 4 marca, wynika, że z serwisów społecznościowych i komunikatorów dozwolonych od 13. roku życia aktywnie korzysta 58 proc. dzieci w wieku od 7 do 12 lat – to aż 1,4 mln młodych ludzi! 760 tys. ma regularny dostęp do TikToka, 580 tys. do Facebooka, a 290 tys. do Instagrama.

W wielu serwisach weryfikacja wieku i weryfikacja tożsamości to zupełna fikcja. Dzieci do lat 13 w ogóle nie powinny mieć kont w mediach społecznościowych – mówią o tym wprost regulaminy tych mediów. Pojawia się zatem kolejne pytanie o odpowiedzialność platform za weryfikację wieku i tożsamości.

Gdyby ona była realna, być może rozwiązałoby to wiele problemów, które się dziś nawarstwiają i potem dają o sobie znać w całkiem realnym świecie.

To nie jest tak, że internet to jest inna rzeczywistość. To, co się tam dzieje, z czym stykają się nasze dzieci, ma istotny wpływ na ich zachowania. Hejt w internecie może prowadzić nawet do samobójstwa dziecka. Tu po raz kolejny powraca problem: czy i jak daleko powinna być posunięta w sieci anonimowość. To kwestia równie istotna jak wspomniane przez nas wcześniej stosowanie proaktywnych mechanizmów blokowania dostępu do stron, które służą przestępcom do wyłudzenia danych do logowania, wyłudzenia środków finansowych. Ja uważam takie narzędzia za niezbędne do zapewnienia ochrony najmniej cyberodpornym.

Cyberprzestępczość i edukacja

A co ze społeczną świadomością cyberzagrożeń?

Oczywiście, równolegle powinniśmy budować cyberhigienę społeczeństwa. Nasze dzieci dostają urządzenia ekranowe często na długo przed wejściem w system edukacji. Tablety i smartfony mają już dwulatki. Możemy się domyślać, jak wygląda świadomość cyfrowa takiego dziecka. A jaka jest świadomość jego rodzica? Z badań Eurostatu wynika, że tylko 16 proc. Polaków weryfikuje informacje znalezione online. To jest bardzo mało. To znaczy, że jesteśmy zbyt ufni, a przez to podatni i na dezinformację, i na socjotechnikę.

Ponad 90 proc. osób z wykształceniem podstawowym twierdzi, że nigdy nie spotkało się z dezinformacją w sieci. Czyli nawet nie wiedzą, że są lub mogą być przedmiotami codziennej dezinformacji i manipulacji.

Wyzwaniem systemu edukacji powinno być kształtowanie krytycznego myślenia oraz budowanie umiejętności weryfikacji informacji. To musi być fundament całego procesu edukacji, tylko to zapewni nam odporność na ataki bazujące na socjotechnice – które dziś dominują. Gdyby ludzie umieli myśleć krytycznie, nie ulegaliby reklamom fikcyjnych platform inwestycyjnych, fałszywych sklepów internetowych, nie padaliby ofiarą kradzieży środków z rachunku bankowego po wcześniejszym ataku smishingowym. Umiejętność weryfikowania informacji i krytyczne myślenie to podstawowe kompetencje we współczesnym świecie. Widzę więc, nie tylko jako prokurator, ale przede wszystkim jako naukowiec, szereg rozwiązań, które można by było wdrożyć pilnie - nie tylko prawnych, ale też organizacyjnych i związanych z systemem edukacji. Jedynie kompleksowe działania pozwolą nam zbudować społeczeństwo odporne na cyberzagrożenia i dezinformację.

ikona lupy />
Agnieszka Gryszczyńska / Forsal.pl / MARCIN OLIVA SOTO

* Agnieszka Gryszczyńska - Dyrektor Departamentu do Spraw Cyberprzestępczości i Informatyzacji Prokuratury Krajowej, profesor w Katedrze Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie.