10 marca 2022 r. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała wytyczne dotyczące informowania przez przedsiębiorców telekomunikacyjnych użytkowników o cyberzagrożeniach[1]. Opublikowanie wytycznych jest konsekwencją obowiązywania w Unii Europejskiej od grudnia 2020 r. Europejskiego kodeksu łączności elektronicznej (EKŁE), który na podstawie art. 40 ust. 3 zobowiązuje przedsiębiorców telekomunikacyjnych do informowania o występujących cyberzagrożeniach. Przedstawione przez ENISA wytyczne zawierają rekomendacje dotyczące tworzenia polityk informowania użytkowników o cyberzagrożeniach, a także case studies procedur już stosowanych przez wybranych przedsiębiorców telekomunikacyjnych.

Dlaczego przedsiębiorcy telekomunikacyjni powinni informować o cyberzagrożeniach?

Zgodnie z art. 40 EKŁE państwa członkowskie przy transpozycji tej dyrektywy powinny nałożyć na przedsiębiorców telekomunikacyjnych obowiązek podejmowania właściwych i proporcjonalnych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług, tak aby te środki zapewniały poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka, z uwzględnieniem aktualnego stanu wiedzy i technologii. O ile legislatorzy dają przedsiębiorcom telekomunikacyjnym dowolność w wyborze stosowanych środków (ograniczając się do wskazania, że wśród możliwych do zastosowania środków jest korzystanie z szyfrowania), o tyle dodatkowym instrumentem, który ma przeciwdziałać cyberzagrożeniom, jest określony w art. 40 ust. 3 EKŁE obowiązek informowania użytkowników o takich zagrożeniach.

Zgodnie z EKŁE informowanie użytkowników powinno mieć dwie postaci:

  1. „W przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem” przedsiębiorcy telekomunikacyjni powinni poinformować „użytkowników, na których takie zagrożenie może mieć wpływ, o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć”.
  2. „W stosownych przypadkach podmioty powinny informować swoich użytkowników również o samym zagrożeniu”, rezygnując z informowania o możliwych do podjęcia środkach ochronnych i naprawczych.

Jednocześnie motyw 96 EKŁE przedstawia więcej szczegółów związanych z informowaniem użytkowników o cyberzagrożeniach. W przypadku szczególnych i istotnych zagrożeń dla bezpieczeństwa informacja powinna dotyczyć nie tylko samych zagrożeń, lecz także środków, które użytkownicy powinni podjąć w celu ochrony bezpieczeństwa łączności, takich jak konieczność zastosowania szczególnego rodzaju oprogramowania lub technologii szyfrowania. Przekazywanie takich informacji użytkownikom powinno być bezpłatne. Dodatkowo motyw 96 EKŁE precyzuje, że informowanie o zagrożeniach jest tylko jednym z elementów przeciwdziałania cyberzagrożeniom, a podjęte działania informacyjne nie powinny jednocześnie zwalniać przedsiębiorców telekomunikacyjnych „z obowiązku podjęcia na własny koszt odpowiednich i natychmiastowych środków w celu zaradzenia wszelkim zagrożeniom bezpieczeństwa oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi”.

Sposobem na zapewnienie skutecznej realizacji tych obowiązków przez telekomy jest – zgodnie z art. 41 ust. 1 EKŁE – umożliwienie właściwym organom krajowym wydawania przedsiębiorcom telekomunikacyjnym wiążących instrukcji „dotyczących środków wymaganych, aby zaradzić incydentowi związanemu z bezpieczeństwem lub aby zapobiec wystąpieniu takiego incydentu”.

Zasady wynikające z EKŁE miały być transponowane do polskiego porządku prawnego poprzez ustawę Prawo komunikacji elektronicznej (PKE), jednakże mimo toczących się od 2020 r prac w tym zakresie oraz publikowania kolejnych wersji projektu – ustawa Prawo komunikacji elektronicznej do chwili obecnej nie trafiła nawet do sejmu.

Mając na uwadze obecne prace legislacyjne, wydaje się, że transpozycja przepisów EKŁE w tym zakresie może zostać wkrótce dokonana poprzez zmianę przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Zmiany takie właśnie przewiduje najnowszy projekt nowelizacji UKSC z dnia 15 marca 2022 r.[2] (projekt nowelizacji UKSC). Na podstawie przedstawionego projektu nowelizacji (art. 20f ust. 1) na przedsiębiorcę komunikacji elektronicznej (w tym przedsiębiorcę telekomunikacyjnego)[3] nałożony zostanie obowiązek publikacji na stronie internetowej informacji o:

  1. potencjalnych zagrożeniach związanych z korzystaniem przez użytkowników z usług komunikacji elektronicznej,
  2. rekomendowanych środkach ostrożności i najbardziej popularnych sposobach zabezpieczania telekomunikacyjnych urządzeń użytkowników przed złośliwym lub szpiegującym oprogramowaniem,
  3. przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia telekomunikacyjnych ich urządzeń.

Dodatkowo w sytuacji szczególnego i znacznego zagrożenia wystąpienia incydentu telekomunikacyjnego[4] przedsiębiorca komunikacji elektronicznej ma obowiązek poinformowania użytkowników na takie zdarzenie narażonych. Obowiązek ten obejmuje informację o zagrożeniu, możliwych środkach, które użytkownicy mogą podjąć, oraz związanych z tym kosztach. Jeżeli wpływ incydentu telekomunikacyjnego na dostępność świadczonych usług jest istotny, przedsiębiorca komunikacji elektronicznej ma jednocześnie obowiązek poinformowania o takim incydencie na swojej stronie internetowej.

Realizacja obowiązków dotyczących informowania użytkowników o incydentach telekomunikacyjnych, w tym sposób przekazania takiej informacji, będzie również wzmocniona wynikającym z art. 20h ust. 5 projektu nowelizacji UKSC uprawnieniem Prezesa Urzędu Komunikacji Elektronicznej (Prezes UKE), który w drodze decyzji będzie mógł nałożyć na przedsiębiorcę komunikacji elektronicznej obowiązek podania do publicznej wiadomości informacji o wystąpieniu poważnego incydentu telekomunikacyjnego, gdyby wykorzystywane przez Prezesa UKE kanały komunikacji (strona Biuletynu Informacji Publicznej Urzędu Komunikacji Elektronicznej) były niewystarczające do ochrony interesu publicznego.

W zakresie obowiązków informowania o cyberzagrożeniach należy również zwrócić uwagę na przedstawioną propozycję ustawy Prawo komunikacji elektronicznej (PKE)[5], zgodnie z którą (art. 279 ust. 2 pkt. 5 PKE) – w przypadku przyjęcia PKE w kształcie obowiązującym na kwiecień 2022 r. – ustawodawca będzie zobowiązywać przedsiębiorców telekomunikacyjnych, aby zakres podejmowanych przez nich działań związanych z cyberzagrożeniami i sposób informowania o takich zagrożeniach precyzowali w umowach o świadczenie usług komunikacji elektronicznej z użytkownikami, a także informowali o tym użytkowników jeszcze na etapie udzielania informacji przedumownych.

Zasady informowania o cyberzagrożeniach

ENISA na podstawie praktyk obecnie stosowanych przez sektor telekomunikacji w opublikowanych wytycznych wskazała, że informowanie użytkowników o cyberzagrożeniach powinno być oparte na dwóch stosowanych przez przedsiębiorcę strategiach, którymi są:

  1. Strategia cyberbezpieczeństwa – polegająca na zdefiniowaniu wysokopoziomowych planów telekomów na budowanie odporności na zagrożenia.
  2. Strategia komunikacji z użytkownikami – polegająca na tworzeniu zasad komunikacji poprzez wybór odpowiedniego stylu komunikacji, użycie właściwych kanałów i planowanie efektów podejmowanych działań.

Połączenie obu tych strategii stosowanych przez przedsiębiorcę telekomunikacyjnego będzie pozwalało mu zdefiniować, w jaki sposób przeciwdziałać cyberzagrożeniom przez samych użytkowników.

W zależności od wyboru sposobu informowania o zagrożeniach cyberbezpieczeństwa ENISA wyróżnia dwie kategorie komunikacji z użytkownikami:

  1. Informacje przeznaczone do budowania ogólnej świadomości na temat potencjalnych ryzyk.
  2. Informacje dotyczące konkretnych cyberzagrożeń (np. phishing, kradzież danych, ataki DoS) z opisem działań mających na celu minimalizację wystąpienia tych ryzyk – z wytycznych wynika, że tego typu komunikacja jest skuteczniejsza, zwłaszcza gdy przekazywane użytkownikom informacje dotyczą bardziej konkretnych zagrożeń i są kierowane do użytkownika bezpośrednimi kanałami (lepiej e-mail lub SMS niż post na portalu społecznościowym lub komunikat prasowy).

Jeśli chodzi o informowanie o konkretnym cyberzagrożeniu, ENISA proponuje następującą procedurę obsługi takiego zagrożenia, która została podzielona na trzy etapy:

  1. Etap oceny zagrożenia – na tym etapie przedsiębiorcy telekomunikacyjni powinni case-by-case ocenić, czy komunikacja z użytkownikiem jest potrzebna, w szczególności powinni oni zadać sobie pytanie, na ile poważne i prawdopodobne jest to zagrożenie, czego dotyczy i jaki wpływ może mieć na użytkowników (np. czy poinformowanie nie spowoduje zwiększenia ryzyka wystąpienia incydentu cyberbezpieczeństwa). ENISA jednocześnie wskazuje, że telekomy powinny mieć świadomość, iż decyzja o poinformowaniu użytkownika nie powinna być podejmowana zbyt pochopnie – zbyt częsta aktywność telekomów może doprowadzić do sytuacji, że użytkownicy zaczną ignorować otrzymywane wiadomości.
  2. Etap komunikacji – na tym etapie przedsiębiorcy telekomunikacyjni powinni wybrać odpowiednią formę komunikacji z użytkownikiem, aby najlepiej odpowiedzieć na pojawiające się zagrożenie. ENISA rekomenduje, aby przedsiębiorcy telekomunikacyjni ocenili w szczególności, kogo będzie dotyczyć zagrożenie, jaki będzie najlepszy kanał komunikacji z zagrożoną grupą użytkowników oraz jakie środki powinien podjąć sam użytkownik, przy czym telekomy powinny pamiętać, że podstawową zasadą komunikacji z użytkownikiem jest tworzenie prostych komunikatów zawierających tylko praktyczne informacje z uwagi na ich największą skuteczność w dotarciu do grupy docelowej.
  3. Etap oceny skutków komunikacji – na tym etapie przedsiębiorcy telekomunikacyjni powinni dokonać estymacji, na ile skuteczne były publikowane przez nich komunikaty w przeciwdziałaniu cyberzagrożeniom. ENISA rekomenduje, aby telekomy definiowały obiektywnie weryfikowalne parametry, które pozwolą na ocenę skuteczności stosowanej komunikacji (m.in. poprzez weryfikację, czy użytkownicy podjęli zalecane im działania).

Ryzyka związane z komunikacją z użytkownikami

ENISA jednocześnie wskazuje na wyzwania, jakie stoją przed przedsiębiorcami przy komunikacji z użytkownikami. Najważniejszymi z tych wyzwań są:

  1. Ryzyko „zmęczenia” użytkowników komunikatami – zbyt częsta lub zbyt skomplikowana komunikacja, a także wymaganie od użytkowników podejmowania zbyt wielu działań mogą doprowadzić do sytuacji, że użytkownicy zaczną ignorować otrzymywane komunikaty, oraz spowodują, że cele, do jakich dążą przedsiębiorcy telekomunikacyjni poprzez publikowane informacje, nie zostaną osiągnięte.
  2. Ryzyko wykorzystania komunikacji do oszustw – niewłaściwie sformułowane komunikaty mogą być wykorzystane do działań przestępczych (m.in. phishingu). Źle zaprojektowane informacje mogą doprowadzić do sytuacji, że użytkownik nie będzie w stanie odróżnić informacji telekomów o realnym zagrożeniu od komunikacji stanowiącej próbę oszustwa.
  3. Ryzyko bagatelizowania innych działań – informowanie użytkowników powinno być tylko działaniem uzupełniającym w stosunku do innych czynności, które przedsiębiorcy telekomunikacyjni powinni podejmować, aby minimalizować ryzyko wystąpienia incydentu cyberbezpieczeństwa. W szczególności powinni podejmować działania techniczne i organizacyjne, które będą przeciwdziałać cyberzagrożeniom lub łagodzić ich skutki (np. poprzez automatyczne blokowanie wiadomości SMS stanowiących próbę oszustwa).

Podsumowanie

Przygotowane przez ENISA wytyczne stanowią zbiór dobrych praktyk, którymi przedsiębiorcy telekomunikacyjni powinni się kierować przy informowaniu użytkowników o zagrożeniach, aby skutecznie chronić użytkowników, a także – jeśli to konieczne – aktywnie włączać ich do systemu ochrony przed tymi zagrożeniami. Skuteczne osiągnięcie tego jest możliwe tylko poprzez umiejętne kształtowanie przekazu o cyberzagrożeniach. Jednocześnie przedsiębiorcy telekomunikacyjni powinni pamiętać, że podejmowanie działań w zakresie informowania użytkowników nie tylko służy ochronie świadczonych usług przed cyberzagrożeniami, ale jest również ustawowym obowiązkiem (zarówno zgodnie z art. 175e ust. 2 Prawa telekomunikacyjnego, jak i na podstawie EKŁE, a za nim art. 20f ust. 1 UKSC) którego niewypełnienie może prowadzić do sankcji w postaci kary pieniężnej w wysokości 3% przychodu osiągniętego w poprzednim roku kalendarzowym.

[1] Zob. https://www.enisa.europa.eu/news/enisa-news/cyber-threat-warnings-the-ins-and-outs-of-consumer-outreach (dostęp: 31.03.2022).

[2] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 15 marca 2022 r., https://legislacja.rcl.gov.pl/projekt/12337950 (dostęp: 11.04.2022 r.)

[3] Zgodnie z projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 15 marca 2022 r., przedsiębiorca komunikacji elektronicznej to przedsiębiorca telekomunikacyjny lub podmiot świadczący publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów.

[4] Zgodnie z definicją zawartą w projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 15 marca 2022 r. za incydent telekomunikacyjny uznaje się każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci i usług komunikacji elektronicznej

[5] Projekt ustawy Prawo komunikacji elektronicznej z dnia 2 grudnia 2021 r., https://mc.bip.gov.pl/prawo-i-prace-legislacyjne/projekty-aktow-prawnych-mc/projekt-ustawy-prawo-komunikacji-elektronicznej.html (dostęp: 11.04.2022 r.)