UOKiK kontra spamerzy

Miesiąc Przeciwdziałania Oszustwom ( Fraud Prevention Month ) to inicjatywa Międzynarodowej Sieci Ochrony Konsumentów ( ICPEN ) zrzeszającej 33 państwa, w tym Polskę. W marcu tego roku Urząd Ochrony Konkurencji i Konsumentów organizuje w jej ramach szereg działań mających na celu podnoszenie poziomu świadomości na temat prawnych możliwości zwalczania niechcianej korespondencji przesyłanej drogą elektroniczną ( spamu ). Postanowiliśmy dowiedzieć się więcej na temat - dlatego też o Miesiącu Przeciwdziałania Oszustwom oraz o polskim spamie rozmawialiśmy z Justyną Kurek i Łukaszem Wrońskim, ekspertami z Urzędu Ochrony Konkurencji i Konsumentów.

Jak przebiegać będzie antyspamowa akcja "Miesiąc Przeciwdziałania Oszustwom"? Jaki udział w niej będzie miał Urząd Ochrony Konkurencji i Konsumentów?*Justyna Kurek*: Miesiąc Przeciwdziałania Oszustwom - czyli Fraud Prevention Month - jest coroczną inicjatywą edukacyjną organów ochrony konsumentów zrzeszonych w Międzynarodowej Sieci Ochrony Konsumentów ( ICPEN ), której aktywnym członkiem jest Prezes UOKiK. Każdy z uczestników tej inicjatywy wybiera sam temat przewodni działań edukacyjnych i organizuje miesięczną "zmasowaną akcję informacyjną".

Odbywająca się w marcu bieżącego roku kampania informacyjna UOKiK będzie poświęcona prawnym, ekonomicznym i społecznym aspektom niechcianej korespondencji - spamu. Problem ten w naszej ocenie stanowi ostatnio jeden z poważniejszych problemów, z którym spotykają się polscy e-konsumenci. W ocenie UOKiK, większość z nich wiąże się z nieposiadaniem przez nich wystarczających informacji o skutkach zjawiska oraz środkach technicznych i prawnych, które mogą podjąć, aby skuteczne bronić się przed negatywnymi następstwami spamu. Dlatego zamysłem tego projektu jest poprawa poziomu ochrony interesów konsumentów w Polsce poprzez zwiększenie świadomości nie tylko konsumentów, ale także pracowników administracji, organów ścigania oraz przedsiębiorców funkcjonujących na rynku usług internetowych.

Łukasz Wroński: Marcowe projekty UOKiK są skierowane do różnych kategorii podmiotów. W dniu 7 marca w siedzibie UOKiK odbyło się spotkanie z czołowymi dostawcami usług internetowych, organizowane wraz z Polską Izbą Informatyki i Telekomunikacji ( PIIT ) poświęcone idei samoregulacji. Celem spotkania było zainicjowanie prac nad kodeksem dobrych praktyk dla ISP w zakresie przeciwdziałania spamowi oraz przedstawienie korzyści związanych z samoregulacją i podstawowych założeń takiego projektu. Podczas spotkania przedstawiliśmy zarówno ideowe założenia samoregulacji, jak i wprowadzone w innych krajach rozwiązania, które mogą przyczynić się do ograniczenia skali niekontrolowanego spamu.

W dniu 14 marca ( czyli dziś ) odbędzie się konferencja naukowa, poświęcona tematyce bezpieczeństwa w sieci, w szczególności problemowi spamu. Projekt ten organizowany jest wspólnie z Naukową i Akademicką Siecią Komputerową ( NASK ). Konferencja ta zostanie zorganizowana w formie trzech bloków tematycznych poświęconych krajowym i międzynarodowym inicjatywom w zakresie przeciwdziałania spamowi; aspektom prawnym niechcianej korespondencji oraz roli CERT i międzynarodowej współpracy międzyoperatorskiej w zakresie zwalczania spamu.

Natomiast w dniu 23 marca w siedzibie UOKiK odbędą się warsztaty szkoleniowe zorganizowane przez ekspertów NASK dla prokuratorów w zakresie metod ścigania przestępców internetowych, powiązań technicznych i organizacyjnych w podziemiu gospodarczym, metod zbierania materiału dowodowego ( w tym identyfikacji sprawców ) i ustalania relacji pomiędzy różnymi rodzajami przestępstw sieciowych. Ponadto w marcu ukażą się liczne artykuły w prasie na temat walki ze spamem - od periodyków kobiecych do prasy fachowej.

Czy w Polsce spam stanowi poważny problem użytkowników Internetu?*ŁW*: Wszyscy jesteśmy świadomi, że spam stanowi jeden z poważniejszych problemów użytkowników Internetu. Skalę tego problemu świetnie obrazują statystyki obrazujące ilość wysłanych wiadomości kwalifikowanych jako spam. Z raportu firmy Ferris Research opublikowanego w zeszłym roku przez New York Times wynika, że ponad 60% wysyłanych wiadomości ( ogółem dziennie wysyłanych jest na świcie około 80 mld e-maili ) stanowi niechcianą korespondencję - spam. Z wyliczeń firmy F-Secure wynika natomiast, ze na spam odpowiada dziennie średnio 1 na 40 tysięcy adresatów, czyli 400 tysięcy internautów.

Ilość spamu systematycznie rośnie i jest ściśle powiązana z atakami zarówno na komputery, jak i serwery w celu ich przejęcia i stworzenia sieci komputerów, które wysyłają spam bez wiedzy swoich właścicieli ( problem komputerów zombie ).

JK: Co ciekawe, dostępne statystyki zgłaszanego spamu zupełnie nie oddają skali problemu: z raportu CERT Polska z 2004 r. wynika, że spośród 1222 zgłoszonych incydentów tylko 130 stanowiło czysty spam. W 2005 r. zgłoszono ponad 2500 zdarzeń, związanych z naruszeniem bezpieczeństwa w sieci. Zdecydowaną większość z nich stanowiły próby pozyskania informacji znajdujących się na odległych komputerach poprzez skanowanie niebezpiecznych portów. Należy jednak pamiętać, że wszelkie statystyki opierają się na przypadkach zgłoszonych. Polskie statystyki mogą w związku z tym wskazywać, iż problem spam w Polsce nie istnieje. Nic bardziej błędnego. Polskie statystyki nie wydają się być reprezentatywne.

JK: W naszym przekonaniu nie ma jednego dobrego rozwiązania. Należy również pamiętać, że spamu nie da się zupełnie wyeliminować, jest to bowiem najtańsze, a zarazem bardzo efektywne źródło przekazu reklamowego, dlatego realnie mało wyobrażalne wydaje się całkowite rozwiązanie problemu.

ŁW: W naszym przekonaniu skuteczna walka polegać musi na ograniczaniu niekontrolowanego spamu oraz związanych z nim treści kryminalnych i niebezpiecznych. Dlatego prowadzona przez nas akcja edukacyjna kierowana jest to różnych grup: przedsiębiorców z branży internetowej, pracowników administracji zaangażowanych w zwalczanie spam czyli: Ministerstwa Transportu i Budownictwa, GIODO, Urzędu Komunikacji Elektronicznej, konsumentów oraz prokuratorów. Celem naszym jest uświadomienie, iż nie ma uniwersalnego rozwiązania tego problemu, ograniczenie skali jest możliwe poprzez konsolidację działań na różnych poziomach. Przykładowo: dostawcy usług internetowych mogą wprowadzać pewne technologiczne rozwiązania, które znacznie zredukują możliwość wysyłania przez ich klientów lub za pomocą ich sieci nieautoryzowanej poczty. Organy administracji mogą usprawnić i odformalizować procedury współpracy przy zwalczaniu nielegalnych czy też przestępczych działań w sieci. Konieczne jest również prowadzenie zarówno przez organy
administracji jak i branżę internetową stałej działalności edukacyjno - informacyjnej.

JK: Na koniec warto również zastanowić się nad ewentualną "korektą" obowiązujących przepisów pomocnych w zwalczaniu spamu. Należy bowiem pamiętać, iż już w chwili obecnej obowiązują w Polsce przepisy prawne, chroniące użytkowników przed niechcianą korespondencją handlową. Zgodnie z art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną ( Dz. U. z dnia 9 września 2002 r. ) zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Natomiast informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. W przeciwnym razie działanie takie stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji i jest jako wykroczenie ścigane na wniosek pokrzywdzonego zagrożone karą grzywny w wysokości od 20 zł
do 5000 zł. Regulacja ta w praktyce nie stanowi skutecznego oręża walki ze spamem ze względu na zupełnie marginalny odsetek zgłaszanych do organów ścigania przypadków. Nie wydaje się również wysoko prawdopodobne, aby same zamiany legislacyjne ( zaostrzenie kar i zmiana kwalifikacji na przestępstwo ) mogły cokolwiek zmienić.

ŁW: Ze względu na masowy i globalny charakter sieci, problem spam w wydaniu krajowym stanowi w zasadzie ok. 20% niechcianej korespondencji, która trafia do polskich użytkowników Internetu. Na szczęście Polska jest obecnie członkiem kilku międzynarodowych organizacji rządowych walczących z problemem spamu, co może nam pomóc w skutecznym egzekwowaniu przestrzegania praw polskich konsumentów przez zagraniczne firmy. Przykładem na to może być uczestnictwo Polski w CNSA ( Siec Kontaktowej Krajowych Organów Antyspamowych ) działającej przy Komisji Europejskiej, w której interesy RP reprezentuje Minister Transportu i Budownictwa. Kolejnym takim międzynarodowym gremium jest ICPEN ( Międzynarodowa Sieć Ochrony Konsumentów ), której członkiem jest Prezes UOKiK.

ŁW: Niestety, jedyne posiadane przez nas statystyki dotyczą zgłoszonych przypadków spam. Jak była już o tym mowa wcześniej, z danych udostępnionych przez CERT Polska wynika, że w 2004 r. zostało zgłoszonych 1222 incydentów w sieci. W roku 2005 ilość incydentów, o której CERT został powiadomiony, wzrosła dwukrotnie ( ponad 2500 ). Wszyscy jesteśmy jednak tego świadomi, że statystyki te nie są reprezentatywne dla skali problemu w Polsce.

JK: Misją Urzędu Ochrony Konkurencji i Konsumentów jest prowadzenie aktywnej działalności edukacyjnej i podwyższanie poziomu ochrony praw konsumentów w Polsce. Działania te wynikają w szczególności z rządowego dokumentu kreującego politykę konsumencką rządu RP - "Strategia Polityki Konsumenckiej na lata 2004 - 2006". Należy ponadto podkreślić, iż zobowiązanie Prezesa UOKiK do przeprowadzenia akcji edukacyjnej w zakresie niechcianej korespondencji wynika z decyzji KERM podjętej jesienią ubiegłego roku, kreującej współpracę międzyresortową w zakresie przeciwdziałania spamowi.

Poza organizowanym w marcu 2006 "Miesiącem Przeciwdziałania Oszustwom" - poświeconym spamowi, UOKiK bierze udział również w innych akcjach dotyczących bezpieczeństwa sieci m.in. projekcie, który również odbywa się w ramach prac ICPEN - Internet Sweep Day - czyli dzień przeszukiwania Internetu. Zeszłoroczny projekt był właśnie poświęcony badaniu ilości spam. Raport z tego badania dostępny jest na stronach ICPEN ( www.icpen.org ).

ŁW: Kolejnym przykładem działań w tym zakresie jest przyłączenie się przez Prezesa UOKiK w lipcu 2005 r. do prowadzonej przez amerykańską Federalną Komisję Handlu międzynarodowej inicjatywy "spam zombie", mającej na celu przeciwdziałanie wykorzystywaniu komputerów konsumentów ( zombie ) do rozsyłania niechcianej korespondencji elektronicznej. Trzydzieści sześć instytucji rządowych odpowiedzialnych za zwalczanie niechcianej korespondencji wysyłanej drogą elektroniczną podjęło inicjatywę mającą na celu przeciwdziałanie praktykom przejmowania kontroli nad komputerami konsumentów przez podmioty masowo wysyłające niezamówione listy elektroniczne. Warto podkreślić, iż na stronach Federalnej Komisji Handlu poświęconych spamowi zombie dostępny jest list przygotowany dla przedsiębiorców z branży internetowej w języku polskim - http://www.ftc.gov/bcp/conline/edcams/spam/zombie/translations/polish.pdf informujący o możliwościach
ograniczenia spamu.Co może zrobić polski internauta, który otrzymuje niechcianą korespondencje?

JK: W sytuacji otrzymania spamu należy przede wszystkim upewnić się, czy inernauta nie wyraził wcześniej zgody na otrzymywanie korespondencji od nadawcy lub też czy na podstawie umowy o świadczenie usług elektronicznych ze swoim dostarczycielem usług internetowych nie wyraził przypadkiem zgody na przekazanie jego adresu poczty elektronicznej w celach reklamowych innym podmiotom. Należy bowiem przypomnieć, że przy zakładaniu darmowych kont internetowych na popularnych portalach warunkiem koniecznym do dokonania pełnej rejestracji jest wyrażenie zgody na otrzymywanie określonego rodzaju informacji handlowych. W związku z tym dopuszczalne jest wysyłanie komunikatów handlowych na takie konto.

ŁW: Jeżeli natomiast nie mamy do czynienia z wysłaną zgodnie z regulaminem świadczenia usług przez danego ISP informacją handlową, przepisy przewidują odpowiedzialność karną zarówno za bezprawne wykorzystywanie danych osobowych, jak i przesyłanie niezamówionych informacji handlowych. Kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny ( art. 24 ust. 1 ustawy o świadczeniu usług drogą elektroniczną ). Ściganie wykroczenia przesyłania niezamówionych informacji handlowych następuje na wniosek pokrzywdzonego.

Internauta ma w związku z tym kilka możliwości działania: może złożyć zawiadomienie na Policję w związku z popełnieniem wykroczenia lub złożyć skargę do: Urzędu Ochrony Konkurencji i Konsumentów - http://www.uokik.gov.pl, Federacji Konsumentów - http://www.federacja-konsumentow.org.pl, Powiatowego ( Miejskiego ) Rzecznika Konsumentów, Generalnego Inspektora Ochrony Danych Osobowych - http://www.giodo.gov.pl.

JK: Dla wygody internautów przygotowywana jest obecnie w Ministerstwie Transportu i Budownictwa centralna skrzynka antyspamowa, do której będzie można zgłaszać spamy. Przypadki zagrożenia lub naruszenia bezpieczeństwa w sieci Internet możesz też zgłosić do zespołu CERT Polska ( www.cert.pl ) lub swojego dostawcy usług. Należy jednak pamiętać o tym, że sama treść wiadomości wyświetlana przez program pocztowy nie wystarcza do ustalenia rzeczywistego źródła listu. W szczególności wszystkie informacje zawarte w polu "Od" i "Do", a więc dane nadawcy i odbiorcy, mogą być sfałszowane przez nieuczciwego wysyłającego.

ŁW: Więcej informacji na temat obrony przed niechcianą informacją handlową i spamem można znaleźć na specjalnie w tym celu utworzonej platformie internetowej UOKiK, dostępnej pod adresem: http://www.uokik.gov.pl/pytanie1 . *Kilka lat temt Bill Gates prognozował, że spam wkrótce zniknie z Sieci. Nic takiego niestety jak do tej pory się nie wydarzyło - czy sądzą Państwo, że kiedyś to nastąpi? Co będzie do tego niezbędne? ŁW: Nie wydaje się aby udało się całkowicie wyeliminować spam z sieci. Jak wynika ze statystyk, o których mówiliśmy, w krótkim czasie ilość wiadomości wysyłanych jako spam przerosła ilość pożądanej korespondencji, powodując tym samym wzrost kosztów oraz wymierne straty zarówno dla dostarczycieli usług, świata biznesu jak i końcowych użytkowników. W związku ze wzrostem zależności użytkowników od Internetu oraz komunikacji e-mail dla ich osobistych oraz profesjonalnych potrzeb komunikacyjnych, zjawisko
spam może poważnie szkodzić rozwojowi gospodarki cyfrowej oraz społeczeństwu poprzez utratę zaufania do działalności on-line. Naszym zdaniem pogłoski o "śmierci spamu" były zdecydowanie przesadzone. Ilość spamu rośnie mimo, iż pojawia się coraz więcej skutecznych narzędzi antyspamowych. Wszelkie rozwiązania techniczne będą jednak zawsze o jeden krok do tyłu za cyberprzestępcami. Dla przykładu, według analityków firmy Commtouch, rozsyłający wirusy ma 8-10 godzin przewagi nad firmami antywirusowymi, które produkują uaktualnienia do oprogramowania antywirusowego. JK: Należy ponadto zaznaczyć, że obecnie korespondencja zaliczana do spamu coraz częściej wykorzystywana jest posiłkowo do działań kryminalnych w świecie internetowym, takich jak próby wyłudzeń informacji finansowych ( numery kont oraz hasła dostępu ), czy wysyłanie zamaskowanych wiadomości podszywających się pod zaufanych nadawców ( "brand-spoofing", "phishing" ). Przykładowo można wskazać, iż ze statystyk zgłoszeń przypadków phishingu do ITU (
Interentional Telecommunication Union ) wynika, iż tylko w styczniu 2005 r. odnotowanych zostało 12 845 wiadomości z tej grupy. Stanowi to 42% wzrost w stosunku do analogicznych przypadków zanotowanych w grudniu 2004 r. Ataki te były wspierane za pomocą 2560 specjalnie w tym celu utworzonych stron WWW, co stanowiło wzrost 47% w stosunku do danych pochodzących z grudnia 2004r. i prawie 300% w stosunku do skali tego problemu obserwowanej w październiku 2004 r. więcej w serwisie PC World Komputer &*187;