Są takie akty prawne, w stosunku do których potrzeba wprowadzenia nie budzi najmniejszych wątpliwości, ponieważ odpowiadają na żywotne i pilne potrzeby całego narodu. Taką potrzebą jest niewątpliwie zwiększenie poziomu bezpieczeństwa cyfrowego obywateli naszego kraju i organizacji, które działają na jego terenie, a najnowszym narzędziem legislacyjnym, które to umożliwia, jest ustawa o zwalczaniu nadużyć w komunikacji elektronicznej.

– Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej to konkretna, mocna odpowiedź na najczęściej występujące zagrożenia cyfrowe, z którymi spotkał niemal każdy obywatel Polski korzystający z internetu i telefonii komórkowej. Oszustwa telefoniczne, SMS-owe, fałszywe maile czy fałszywe strony internetowe – dzięki tej ustawie przestępcom znacznie trudnej będzie zrealizować każdy z tych rodzajów ataku lub ich skuteczność będzie ograniczona – powiedział Janusz Cieszyński, minister cyfryzacji.

Nie ulega wątpliwości, że to niezwykle potrzebna i wartościowa ustawa – świadczy o tym fakt, że została przyjęta głosami ogromnej większości posłów. Ale wyjątkowość tego aktu prawnego polega na czymś innym: część rozwiązań, które sankcjonuje i podnosi do rangi ustawowej, już działa i – jak pokazała praktyka – okazuje się niezwykle skuteczna.

– Zwalczanie nadużyć w komunikacji elektronicznej to jedno z zadań, jakie postawione są przed naszym Instytutem, zarówno w obszarze rozwoju i wykorzystania najnowszych technologii bezpieczeństwa, jak i współpracy przy projektach w obszarze legislacyjnym. Nowa ustawa jest tego bardzo dobrym przykładem – nadaje wyższą rangę rozwiązaniom, które już zostały przez NASK wdrożone, takim jak lista ostrzeżeń przed niebezpiecznymi stronami, ale także uruchamia nowe, wartościowe narzędzia, które wpłyną na poprawę cyberbezpieczeństwa w naszym kraju. Chcę w tym miejscu w szczególny sposób podziękować wszystkim pracownikom Instytutu, zwłaszcza z zespołu CERT Polska, którzy w znaczącym stopniu przyczynili się do opracowania tego aktu prawnego w jego obecnym kształcie – podkreślił Adam Marczyński, Zastępca Dyrektora NASK - Dyrektor ds. Cyberbezpieczeństwa i Innowacji.

Już 23 marca 2020 roku CERT Polska uruchomił listę ostrzeżeń przed niebezpiecznymi stronami, zaś 27 kwietnia 2021 roku ten sam zespół rozpoczął przyjmowanie zgłoszeń dotyczących niebezpiecznych wiadomości SMS. Oba rozwiązania okazały się niezwykle skuteczne, w znaczący sposób ograniczając i utrudniając działalność cyberprzestępców. Obecnie ranga tych narzędzi została dodatkowo podniesiona i usankcjonowana na mocy ustawy z 28 lipca 2023 roku, dzięki czemu mogą wypełniać stawiane przed nimi zadania jeszcze lepiej. A równocześnie ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza też nowe rozwiązania, oferujące kilkanaście dodatkowych korzyści dla osób i organizacji funkcjonujących w polskiej przestrzeni cyfrowej.

Co oznacza w praktyce wejście w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej? W największym skrócie możemy mówić o czterech fundamentalnych zmianach na lepsze: bezpieczniejszych SMS-ach, bezpieczniejszych połączeniach telefonicznych, bezpieczniejszej poczcie elektronicznej i bezpieczniejszym internecie. Bazują one na kilkunastu konkretnych rozwiązaniach, wprowadzanych, udoskonalanych i sankcjonowanych na mocy ustawy.

• Nowy, łatwy do zapamiętania numer do zgłaszania podejrzanych wiadomości SMS: 8080.
• Lista wzorców złośliwych wiadomości SMS tworzona przez CSIRT NASK, blokowanych na tej podstawie przez operatorów telekomunikacyjnych.
• Możliwość blokowania złośliwych wiadomości SMS przez samych operatorów.
• Lista nadpisów wiadomości SMS zastrzeżonych dla instytucji publicznych.

• Lista numerów instytucji publicznych, na które będzie można przyjmować połączenia, lecz z których nie będzie można ich wykonywać.
• Możliwość blokady połączenia lub ukrycie identyfikacji numeru przy rozpoznaniu spoofingu.

• Ustawa nakłada na dostawców poczty elektronicznej, którzy mają powyżej 500 000 klientów lub dostarczają swoje usługi podmiotowi publicznemu, dwa obowiązki:
  • stosowanie mechanizmów SPF, DMARC i DKIM, umożliwiających weryfikację nadawcy wiadomości e-mail,
  • zapewnienie możliwości uwierzytelniania wieloskładnikowego (MFA).

• Podniesienie „Listy ostrzeżeń” prowadzonej przez zespół CERT Polska do rangi ustawowej.
• Umożliwienie przedsiębiorcom telekomunikacyjnym blokowania domeny znajdujących się na „Liście ostrzeżeń”.
• Wprowadzenie procedury odwoławczej do Prezesa Urzędu Komunikacji Elektronicznej.

– Cieszy mnie, że wartość rozwiązań wprowadzonych przez CERT Polska, takich jak Lista ostrzeżeń czy możliwość zgłaszania niebezpiecznych wiadomości SMS, została jednoznacznie potwierdzona poprzez podniesienie ich rangi na mocy obecnej ustawy. Dzięki temu, jak również dzięki nowym narzędziom, takim jak tworzenie wzorców przeciwdziałających rozsyłaniu złośliwych SMS-ów, nasz zespół ma możliwość jeszcze skuteczniejszego blokowania zagrożeń cyfrowych na bardzo wczesnych etapach ich zarejestrowania – wyjaśnił Sebastian Kondraszuk, szef zespołu CERT Polska.

• blisko 11 000 zł – tyle średnio straciła każda z ofiar w przypadku postępowań dotyczących oszustw z wykorzystaniem wiadomości SMS, prowadzonych w 2023 roku przez Centralne Biuro Zwalczania Cyberprzestępczości.
• 217 685 – tyle podejrzanych wiadomości SMS zgłoszono do CERT Polska w 2022 roku (2023 r., do października: 116 149).
• 82 499 – tyle wiadomości SMS zgłoszonych do CERT Polska zawierało link przenoszący na niebezpieczną stronę internetową (2023 r., do października: 55 313).
• 25% – ponad 1/4 zgłoszeń zarejestrowanych w 2022 roku przez CERT Polska dotyczyła różnych odmian phishingu, najwięcej spośród wszystkich odmian zgłaszanych zagrożeń.
• 64% – odsetek ataków phishingowych wśród wszystkich incydentów bezpieczeństwa obsłużonych przez CERT Polska w 2022 roku.
• 99% – blisko tylu posłów wszystkich ugrupowań głosowało za przyjęciem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
• 23.03.2020 – CERT Polska uruchamia Listę ostrzeżeń przed niebezpiecznymi stronami.
• 27.04.2021 – CERT Polska rozpoczyna przyjmowanie fałszywych wiadomości SMS zawierających link (pod numerem 799 448 084).
• 15.06.2022 – oficjalne rozpoczęcie prac nad projektem ustawy.
• 28.07.2023 – data wydania ustawy.
• 25.08.2023 – data ogłoszenia ustawy.
• 25.09.2023 – data wejścia w życie ustawy.
• 22.11.2023 – data oficjalnego uruchomienia nowego numeru do zgłaszania potencjalnie niebezpiecznych wiadomości SMS: 8080.