Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam a prawo


Daria Gudkowa
Kierownik działu badań i analizy zawartości, Kaspersky Lab

Spam jest nielegalny w wielu krajach, i Polska nie jest pod tym względem wyjątkiem. Dlaczego zatem walkę z tym problemem pozostawia się w głównej mierze ekspertom technicznym, mimo że eksperci twierdzą, iż w tej krucjacie główną rolę powinna odgrywać legislacja? W tym artykule zostaną omówione ustawy antyspamowe istniejące w różnych krajach na całym świecie, ze szczególnym uwzględnieniem ich skuteczności oraz czynników, które uniemożliwiają zwiększenie tej skuteczności.

Co sprawia, że spam jest tak groźny, i dlaczego tak trudno go pokonać?

Nie ma użytkownika Internetu czy poczty elektronicznej, który nigdy nie zetknął się ze spamem. Obecnie wiadomości spamowe stanowią ponad 85% całego ruchu pocztowego w Internecie.

Spam może spowodować wiele poważnych problemów, takich jak nadmierny ruch pocztowy, niedające się odzyskać koszty utraty produktywności pracowników oraz obciążenia serwerów, które przyprawiają o prawdziwy ból głowy dostawców usług pocztowych i administratorów systemów. To jednak nie koniec. Ze względu na przekonanie o jego anonimowości spam jest skutecznie wykorzystywany do przeprowadzania oszukańczych działań, takich jak reklamowanie podrobionych towarów oraz towarów pochodzących z przemytu oraz wiele innych przestępstw. Ponadto, spam jest wykorzystywany do dostarczania szkodliwego oprogramowania. Cyberprzestępcy mogą przesłać szkodliwy program w załączniku lub w treści wiadomości spamowej umieścić odsyłacz do zainfekowanej strony internetowej. Phisherzy wykorzystują również spam, aby skłonić użytkowników do odwiedzenia fałszywych wersji znanych stron internetowych stworzonych w celu kradzieży poufnych danych.

Każdy system pocztowy, łącznie z darmowymi, wykorzystuje zintegrowany filtr spamu pozwalający na oddzielenie legalnych wiadomości od niechcianych reklam. Nie można jednak odfiltrować całego spamu w taki sposób, aby nie miało to wpływu na legalną korespondencję, dlatego wciąż dostajemy zaproszenia na różne seminaria, reklamy specyfików na zwiększenie potencji, powiadomienia o wygranych na loterii itd.

Jedną z największych trudności w zwalczaniu spamu jest jego międzynarodowy charakter. Ponieważ wirtualny świat nie posiada granic, spamerzy mogą działać na globalną skalę. Ta sama wiadomość spamowa może trafić do skrzynek pocztowych w Kanadzie, Australii i innych miejscach. Niechciana reklama w języku chińskim może być rozsyłana z zainfekowanego komputera w Indiach przy pomocy centrum zarządzania zlokalizowanego w Rosji. Możemy się jedynie domyślać, gdzie mieszkają sami spamerzy.

Jednak o ile spam nie uznaje granic, legislacja antyspamowa, która różni się w zależności od kraju, podlega ograniczeniom terytorialnym. Niekiedy jest jednolita w całym kraju, innym razem nie ma jej wcale. To naturalnie utrudnia postawienie cyberprzestępców przed sądem.

Dochodzenia w sprawach dotyczących spamu zawsze są trudne do przeprowadzenia, a jeszcze trudniej jest udowodnić winę spamerów. Nie jest to jednak jedyny kłopot. Drugi problem polega na tym, że wiele osób, w tym władze odpowiedzialne za zapewnienie nam ochrony, lekceważą szkody, jakie może wyrządzić spam, często nie widząc problemu w tym, że w czyjejś skrzynce pocztowej może znajdować się niechciana korespondencja. Dlatego zagadnieniu zwalczania spamu poświęca się znacznie mniej uwagi niż, na przykład, problemowi oszustw komputerowych.

Legislacja antyspamowa: krótka historia

Proces, który zapoczątkował stworzenie ustawowych instrumentów regulujących działalność internetową, rozpoczął się w latach osiemdziesiątych ubiegłego wieku, natomiast w latach dziewięćdziesiątych wprowadzono międzynarodowe ramy prawne. Jednak większość ustaw antyspamowych powstała pod koniec lat dziewięćdziesiątych i na początku 2000 roku. Nie oznacza to jednak, że cyberprzestępstwa popełnione przed tą datą nie były karane – wiele z nich można było podciągnąć pod legislację, która już wtedy istniała. Rozwój technologiczny oraz rozpowszechnienie się Internetu spowodowały, że koniecznością stało się zawarcie w takich ustawach szczegółowej definicji nowych przestępstw popełnianych w Internecie oraz metod wykorzystywanych przez cyberprzestępców do ich popełniania.

8 czerwca 2000 roku Parlament Europejski oraz Rada Europejska przyjęły Dyrektywę 2000/31/EC, nazywaną również Dyrektywą o handlu elektronicznym, której celem było zapewnienie ram prawnych regulacyjnych handel elektroniczny w Unii Europejskiej. Dyrektywa ta obejmuje proces nabywania towarów i usług przez Internet.

23 grudnia 2001 roku Rada Europejska przyjęła Konwencję o cyberprzestępczości. Konwencja ta została do tej pory zatwierdzona przez 46 państw, natomiast ratyfikowana przez 24. Dokument ten wymaga, aby jej strony stworzyły ustawy zapewniające ochronę przed cyberprzestępczością i podjęły inne niezbędne kroki, aby skutecznie ścigać przestępstwa elektroniczne. Obejmuje szeroki zakres przestępstw, takich jak nieautoryzowany dostęp do danych osobowych, oszustwa komputerowe, nielegalne rozpowszechnianie pornografii oraz naruszenie praw autorskich. Niestety, wśród państw, które podpisały konwencję, nie znalazły się te stanowiące główne źródło spamu i szkodliwego oprogramowania, czyli Rosja, Chiny i niektóre kraje Ameryki Łacińskiej.

12 lipca 2002 roku Parlament Europejski i Rada Europejska wprowadziły Dyrektywę 2002/58/EC, zwaną również Dyrektywą o prywatności i łączności elektronicznej. Dotyczy ona przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej. Wysyłanie niechcianych masowych wiadomości e-mail w celach komercyjnych zostało uznane za przestępstwo.

Jednakże jurysdykcja obu dyrektyw jest raczej ograniczona, co spowodowało, że wiele państw europejskich stworzyło i ratyfikowało własne ustawy uzupełniające dotyczące cyberprzestępczości i dystrybucji spamu.

Konwencja dotycząca cyberprzestępczości oraz dyrektywy Parlamentu Europejskiego i Rady Europejskiej skłoniły wiele państw Unii Europejskiej, jak również Stanów Zjednoczonych i Australii, do przyjęcia ustaw antyspamowych oraz zaostrzenia dotychczasowych przepisów.

W Europie oraz Stanach Zjednoczonych wiele ustaw antyspamowych wprowadzono w okresie między 2000 a 2003 rokiem, podczas gdy w państwach Ameryki Wschodniej i Łacińskiej proces ten nastąpił kilka lat później. Chiny i Rosja przyjęły ustawę antyspamową w 2006 roku, natomiast Indie i Brazylia w 2008 roku. Udział tych państw w walce z niechcianą korespondencją jest niezwykle ważny, ponieważ stanowią one główne źródła spamu. W 2009 roku Rosja, Brazylia i Indie zajęły odpowiednio 2, 3 i 4 miejsce w rankingu 10 państwa, z których pochodzi najwięcej spamu. W czołówce znalazły się również Chiny.

gud_ksb_spam09_pic02_en_s.png enlarge.gif

Źródła spamu, 2009

Zasady legislacji antyspamowej

Naturalnie władze ustawodawcze różnych państw współpracują ze sobą, dlatego wprowadzone w nich ustawy antyspamowe mają wiele cech wspólnych:

  • Zasada OPT-IN: użytkownik nie może otrzymywać żadnej masowo wysyłanej wiadomości e-mail, jeżeli nie subskrybował danej usługi;
  • Zasada OPT-OUT: użytkownik zawsze musi mieć możliwość wypisania się z listy mailingowej;
  • E-mail musi posiadać wyraźny adres nadawcy, pole Od musi wskazywać, kto jest rzeczywistym nadawcą, a informacje określające źródło wiadomości jak również drogę jej transmisji nie mogą być sfałszowane;
  • Nagłówek wiadomości musi odzwierciedlać jego treść, a wiadomości zawierające reklamy muszą zostać odpowiednio oznaczone;
  • Wiadomość e-mail musi zawierać dane kontaktowe nadawcy, w szczególności adres zwrotny;
  • Nie należy wykorzystywać oprogramowania służącego do zbierania adresów.

Zasada OPT-IN, która jest uważana za najważniejszy element legislacji antyspamowej, jest uznawana niemal wszędzie. Istnieją jednak pewne różnice i restrykcje. Na przykład w Wielkiej Brytanii ustawa antyspamowa odnosi się jedynie do wiadomości e-mail wysyłanych na prywatne adresy e-mail użytkownika. To oznacza, że legislacja ta nie obejmuje spamu trafiającego do korporacyjnych skrzynek e-mail. W Niemczech masowo wysyłane wiadomości e-mail zawierające reklamy są dozwolone, pod warunkiem że użytkownik wcześniej coś kupił od reklamodawcy.

Najważniejszą ustawą antyspamową jest prawdopodobnie amerykański CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Ustawa ta wymaga odpowiedniego oznaczenia niechcianych wiadomości komercyjnych. Na przykład, temat wiadomości musi zawierać słowo ‘AD’ lub ‘Advertisement’ (ang. reklama). Wiadomość musi zawierać fizyczny adres nadawcy oraz zapewniać odbiorcy możliwość rezygnacji z subskrypcji. Ustawa ta zabrania również gromadzenia adresów e-mail w wyniku monitorowania stron internetowych, jak również automatycznego wyboru adresów przy pomocy techniki podstawiania. Naruszenie ustawy CAN-SPAM Act jest karane grzywną, a nawet pozbawieniem wolności. Jednak ustawa ta nie uwzględnia zasady OPT-IN: wcześniejsza zgoda użytkownika na otrzymywanie masowych wiadomości e-mail nie jest wymagana. Innymi słowy, dozwolone jest rozpowszechnianie każdej ilości wiadomości e-mail pod warunkiem, że zawierają odpowiedni adres zwrotny i spełniają wymagania, które określa zasada OPT-OUT.

Mimo braku zasady OPT-IN amerykańska federalna ustawa antyspamowa nadal jest dość skuteczna. Całkiem niedawno, bo w maju 2009 roku, kilka osób zostało uznanych za winne naruszenia ustawy CAN-SPAM Act. Jedna z nich, Alan Ralsky, został skazany na 4 lata i 3 miesiące pozbawienia wolności, 5 lat nadzoru kuratora oraz grzywnę w wysokości 250 000 dolarów za oszustwo, zmowę cyberprzestępczą oraz rozprzestrzenianie masowych wiadomości e-mail.

Najostrzejszą z dotychczasowych ustaw antyspamowych jest australijska ustawa Spam Act 2003, która podobnie jak podobne legislacje, wymaga, aby nadawca dostarczył odbiorcy informacje identyfikacyjne oraz zapewnił możliwość rezygnacji z subskrypcji. Ponadto wymagana jest wcześniejsza zgoda użytkowników na otrzymywanie masowych wiadomości. Grzywny za rozprzestrzenianie spamu ustanowione urzędowo są bardzo wysokie i mogą dojść nawet do 1,1 miliona dolarów australijskich (około 3 mln zł) za każdą niechcianą wiadomość wysłaną na wiele adresów e-mail. Australijski rząd aktywnie angażuje dostawców internetowych w walkę ze spamem: mają oni obowiązek wykrywać komputery zombie w swoich sieciach (zainfekowane komputery użytkowników końcowych rozprzestrzeniające szkodliwe oprogramowanie i spam) i pomagać użytkownikom w leczeniu zainfekowanych maszyn. Ponadto, użytkownikom oferuje się proste narzędzie powiadamiania o spamie: wystarczy jedno klikniecie myszką, aby wysłać próbkę niechcianej wiadomości e-mail do organów państwowych, które są odpowiedzialne za kontrolowanie spamu.

Ustawa Spam Act 2003 znacznie zmniejszyła ilość spamu pochodzącego z Australii. Przed przyjęciem tej ustawy państwo to często gościło w pierwszej dziesiątce państw stanowiących największe źródła spamu. Natomiast po wejściu ustawy w życie w 2003 roku Australia nawet nie występuje w pierwszej dwudziestce. Niestety, to wcale nie oznacza, że w Australii jest teraz mniej spamu – spamerzy po prostu przenieśli swoją działalność do innych państw. Ci, którzy nadal uczestniczą w takim procederze, regularnie są pociągani do odpowiedzialności prawnej. Na przykład w marcu 2010 roku jeden spamer został skazany na karę grzywny 22 000 dolarów australijskich za rozprzestrzenianie spamu komercyjnego z pogwałceniem krajowej ustawy antyspamowej.

Na wzór innych państw w 2006 roku Chiny wprowadziły ustawę antyspamową pod nazwą ‘Internet Email Service Policing Methodology’. Zawiera ona kilka interesujących nowych zapisów: prawodawcy zachowali zasadę OPT-IN, jednak spam komercyjny musi w każdym przypadku zawierać oznaczenie ‘AD’, niezależnie od tego, czy autor posiada wcześniejszą zgodę odbiorcy. Ponadto, ustawa zobowiązuje nadawcę, aby zapewnił odbiorcy możliwość wypisania się z listy mailingowej, jeżeli nie chce otrzymywać dalszych e-maili (OPT-OUT). Zakazuje również wykorzystywania oprogramowania służącego do zbierania i sprzedaży adresów e-mail (OPT-OUT). Chińska ustawa antyspamowa reguluje również działalność dostawców: dostawca musi najpierw zarejestrować się i uzyskać licencję rządową zezwalającą na oferowanie internetowych usług e-mail. Naruszenie tej ustawy może mieć nieprzyjemne konsekwencje – dostawca może zostać ukarany grzywną lub władze mogą cofnąć mu licencję.

W Rosji obowiązują dwie ustawy zapewniające ochronę użytkowników Internetu przed spamem – ustawa federalna „O reklamie” oraz „O danych osobowych”. Oba instrumenty wyraźnie stanowią, że wysyłanie masowych wiadomości e-mail jest dozwolone tylko za zgodą odbiorcy oraz z zachowaniem zasady OPT-IN.

Niestety, ustawa ta nie jest często egzekwowana. Wynika to z dwóch czynników. Po pierwsze, ustawa zawiera wiele wyjątków, po drugie, jest nieodpowiednio skonstruowana i niejednoznaczna. Na przykład, w ustawie nie zdefiniowano, co stanowi „spam”. Nie sprecyzowano również, w jaki sposób operator lub dystrybutor reklam ma udowodnić, że posiada zgodę odbiorcy. Niektórzy prawnicy wykazują również, że już sam fakt, że obowiązek udowodnienia posiadania takiej zgody spoczywa na operatorze lub dystrybutorze reklam, stanowi pogwałcenie zasady, że człowiek jest niewinny, dopóki udowodnią mu winy.

Walka ze spamerami: cele a rzeczywistość

Jak widać, praktycznie wszystkie kraje rozwinięte i rozwijające się wprowadziły ustawę antyspamową. Mimo to, ilość spamu w ruchu pocztowym nadal wzrasta każdego dnia. W okresie od 2003 do 2004, gdy ustawy antyspamowe zostały wprowadzone w Stanach Zjednoczonych i większości państw Unii Europejskiej, wiele osób myślało, że problem spamu wkrótce przejdzie do historii. Minęło siedem lat, wprowadzono nową ustawę, zmodyfikowano starszą, a mimo to sytuacja pogorszyła się. Dlaczego?

Po pierwsze, jak już wspomnieliśmy wcześniej, spam to zjawisko międzynarodowe, które nie respektuje granic państwowych, dlatego w walce z tym zjawiskiem mogą być skuteczne tylko międzynarodowe rozwiązania legislacyjne. Naturalnie, nie proponujemy tu stworzenia ram prawnych, które miałyby pierwszeństwo nad prawem lokalnym. Wymagałoby to ustanowienia międzynarodowej organizacji. Istotne jest, aby w lokalnych ustawach zastosowano powszechne zasady. Ponadto, powinien istnieć jeden międzynarodowy mechanizm umożliwiający współpracę w tej dziedzinie, na przykład międzynarodowa niekomercyjna organizacja posiadająca uprawnienia do udzielania pomocy władzom wykonawczym różnych państw w walce ze spamerami – coś w rodzaju cyber-Interpolu, który zajmuje się problemami oszustw komputerowych, szkodliwego oprogramowania oraz spamu. Podobne organizacje już istnieją w Europie (na przykład CERT), a do ich zadań należy ujednolicanie legislacji oraz wspieranie międzynarodowej współpracy w kwestiach związanych ze spamem (http://ec.europa.eu/information_society/policy/ecomm/doc/library/ext_studies/privacy_trust_policies/spam_spyware_legal_study2009final.pdf). W innych regionach na świecie współpraca w tym zakresie nie jest tak rozwinięta.

Drugą przyczyną pogorszenia się sytuacji spamowej jest to, że żadne państwo nie wprowadziło ustawy zakazującej zamawiania masowych wysyłek osobom, które sprzedają produkty, mimo że łatwiej ich wyśledzić i pociągnąć do odpowiedzialności karnej, ponieważ ich dane kontaktowe widnieją w każdej wiadomości mailowej. W przeciwieństwie do samych spamerów, podmioty, które korzystają z usług spamerów, nie mogą pozostać anonimowe. Gdyby przyjęto taką ustawę, z rynku zniknęłyby wszystkie małe przedsiębiorstwa wykorzystujące spam jako narzędzie reklamy, natomiast te, które pozostały, zostałyby automatycznie uznane za oszustów. Jedyny problem polega na tym, że taka ustawa pozwoliłaby na fałszerstwo i pomówienia – w celu zdyskredytowania konkurencji wystarczyłoby rozesłać spam rzekomo pochodzący od konkurencyjnej firmy. Mimo to mam nadzieję, że odpowiednie podejście sądownicze umożliwi stworzenie ram prawnych, które w ostateczności pomogą zmniejszyć całkowitą liczbę wiadomości spamowych.

Chociaż skuteczne ustawy antyspamowe powinny uniemożliwić małym przedsiębiorstwom wykorzystywanie spamu do reklamowania swoich produktów i usług, firmy te muszą mieć możliwość legalnego reklamowania swoich produktów za pośrednictwem poczty elektronicznej oraz innych narzędzi elektronicznych. W ten sposób użytkownik otrzymywałby jedynie reklamy, którymi jest zainteresowany, z kolei reklamodawca mógłby kierować swoje reklamy do swoich potencjalnych klientów. Na takiej koncepcji opierają się portale tematyczne oferujące użytkownikom możliwość zarejestrowania się i wyrejestrowania. Należy zauważyć, że w państwach, w których takie systemy istnieją, na przykład w Stanach Zjednoczonych, małe przedsiębiorstwa niezwykle rzadko korzystają z usług spamerów. W Rosji taką możliwość zapewniają elektroniczne biuletyny informacyjne, nie są jednak bardzo popularne.

Kolejnym istotnym czynnikiem w walce ze spamem jest edukacja użytkowników Internetu. Dotyczy to przede wszystkim przedstawicieli odpowiednich organów wykonawczych. Gdyby ta grupa ludzi była w pełni świadoma zakresu problemów, jakie powoduje spam, nie trzeba byłoby długo czekać na powstanie niezbędnych ustaw oraz wprowadzenie ich w życie.

Żadna ustawa nie jest w stanie zapobiec dystrybucji spamu. Cały świat musi mieć świadomość, że spam jest poważnym problemem, a rzeczywisty postęp osiągniemy dopiero wtedy, gdy każdy kraj opracuje i zastosuje powszechnie zatwierdzone ramy prawne. Powinno to iść w parze z zacieśnieniem współpracy międzynarodowej oraz wprowadzeniem grupy instrumentów przeznaczonych do edukacji użytkowników Internetu.

Źródło:
Kaspersky Lab