0 0
dni
0 0
godz
0 0
min
0 0
sek

Bezpieczeństwo skrzynek elektronicznych - jakie są wymogi?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Ustawa z dnia 28 lipca 2023 roku o zwalczaniu nadużyć w komunikacji elektronicznej wprowadza nowe wymogi prawne w odniesieniu do komunikacji elektronicznej, w tym zabezpieczenia komunikacji e-mail. Czy wiesz jakie są wymogi, jeśli chodzi o bezpieczeństwo skrzynek elektronicznych? Sprawdź poniższy artykuł i dowiedz się więcej na temat zmian w obszarze bezpieczeństwa telekomunikacyjnego!

Nadużycie w komunikacji elektronicznej

Zgodnie z ustawą nadużycie w komunikacji elektronicznej to świadczenie lub korzystanie z usługi telekomunikacyjnej, lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem bądź skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu albo osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:

  • generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów bądź połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe;
  • smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
  • CLI spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika bądź przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
  • nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.

Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.

Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.

Obowiązek stosowania mechanizmów uwierzytelniania poczty

Przy świadczeniu poczty elektronicznej jej dostawca:

  • dla co najmniej 500 000 użytkowników poczty lub
  • dla podmiotu publicznego

– ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).

Przez dostawcę poczty elektronicznej rozumie się osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadzi, chociażby ubocznie, działalność zarobkową bądź zawodową związaną ze świadczeniem poczty elektronicznej.

Z kolei poczta elektroniczna w rozumieniu ustawy oznacza usługę komunikacji interpersonalnej, która nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, i która umożliwia przekazywanie komunikatu z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje.

Podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej powyższe mechanizmy.

CSIRT NASK udostępnia na swojej stronie internetowej informację na temat standardów sieciowych RFC (Request for Comments) z odniesieniem do dokumentów umieszczonych na stronach internetowych organizacji Internet Engineering Task Force, które składają się na aktualną wersję opisów mechanizmów, o których mowa powyżej.

Dostawca poczty elektronicznej dla podmiotu publicznego obowiązkowo oferuje pocztę elektroniczną umożliwiającą stosowanie metod uwierzytelniania wieloskładnikowego.

Dostawca poczty elektronicznej świadczący pocztę elektroniczną na podstawie umowy, której stroną jest podmiot publiczny, obowiązującej w dniu wejścia w życie ustawy, jest obowiązany w terminie 3 miesięcy od dnia wejścia w życie ustawy do spełnienia obowiązku, o którym mowa wyżej.

Jeżeli dostawca poczty elektronicznej nie spełni wymagań w terminie, umowa może zostać jednostronnie rozwiązana przez podmiot publiczny, a dostawcy poczty elektronicznej nie przysługują roszczenia z tego tytułu.

W terminie 6 miesięcy od dnia wejścia w życie ustawy dostawca poczty elektronicznej, który zawarł umowę z podmiotem publicznym o świadczenie poczty elektronicznej, ma obowiązek przedstawić ofertę poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego, chyba że świadczona przez tego dostawcę poczta elektroniczna umożliwia stosowanie tych metod.

Bezpieczeństwo skrzynek elektronicznych a sankcje za nadużycia

Karze pieniężnej podlega przedsiębiorca telekomunikacyjny, który dokonuje następujących nadużyć w komunikacji elektronicznej:

  • generowani sztucznego ruchu,
  • smishing,
  • CLI spoofing,
  • nieuprawniona zmiana informacji adresowej.

Kary pieniężne nakłada Prezes UKE w drodze decyzji w wysokości do 3% przychodu podmiotu osiągniętego w poprzednim roku kalendarzowym.

Przykład 1.

Czy kara pieniężna może być także nałożona za naruszenie związane z niestosowaniem odpowiednich metod uwierzytelniania wieloskładnikowego przez dostawców poczty elektronicznej? 

Tak, na dostawcę poczty elektronicznej, który nie wypełnia obowiązków ustawowych w tym zakresie, może zostać nałożona kara pieniężna, jeżeli przemawia za tym zakres lub charakter naruszenia.

Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła lub odbiera komunikaty lub połączenia głosowe w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Karze pozbawienia wolności od 3 miesięcy do lat 5 podlega ten, kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła krótką wiadomość tekstową (SMS), wiadomość multimedialną (MMS) lub wiadomość za pośrednictwem innych usług komunikacji interpersonalnej, w której podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej.

Ponadto, kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody, przy wywoływaniu połączenia głosowego posługuje się, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Karze pozbawienia wolności od 3 miesięcy do lat 5 podlega ten, kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody dokonuje niezgodnej z prawem modyfikacji informacji adresowej uniemożliwiającej albo istotnie utrudniającej ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów