Środa, 09 VII 2008

wersja do druku

Podsumowanie roku 2003

Wypowiedź opublikowana w Forum ekspertów "Internet, telekomunikacja, IT 2004" magazynu Internet Standard

Spam był jednym z najbardziej zauważalnych w Internecie zjawisk roku 2003, zarówno na świecie jak i w Polsce. Nie bez powodu pewna amerykańska firma consultingowa uznała spam za "produkt roku 2003" - nie bynajmniej dla jego zalet, lecz ze względu na skalę rozpoznawania zjawiska przez konsumentów oraz ogrom szkód jakie on powoduje.

Kilka liczb

Stany Zjednoczone okazały się największym spamerem na świecie. Z raportu ONZ-towskiej agendy UNCTAD (United Nations Conference on Trade and Development) wynika, że w marcu 2003 USA produkowały 58,4% światowego spamu. Na drugim miejscu w tym niechlubnym rankingu były Chiny z 10-krotnie niższym wynikiem - 5.6%, na trzecim Wielka Brytania - 5.2%. W tym samym raporcie szacuje się, że straty dla światowej gospodarki z powodu spamu w roku 2003 wyniosły aż 20.5 mld USD. Ponadto, według innych szacunków, około 90% spamu docierającego do Europy pochodziło właśnie z USA.

W minionym roku odsetek spamu w poczcie przekroczył "magiczną" barierę 50%. Według statystyk brytyjskiej firmy Brightmail, w styczniu 2003 spam stanowił 42% przesyłek e-mailowych - w grudniu było to już 58%, a wg amerykańskiej firmy MessageLabs nawet 62%. Polska nie pozostaje daleko w tyle za tą ponurą statystyką, bo z danychopublikowanych w styczniu przez portal Onet.pl wynika, że w Polsce odsetek spamu w całej poczcie internetowej wynosi już 57%.

Nastąpił postęp w ochronie prawnej

Tak wielkie liczby musiały przyciągnąć uwagę rządów i organizacji międzynarodowych. W minionym roku w USA wprowadzono kilka nowych ustaw antyspamowych (niestety również "antyspamowych"), w tym najbardziej kontrowersyjna ustawa CAN-SPAM Act, która zamiast ograniczać spam - reguluje go. W Europie problem dostrzeżono znacznie wcześniej, wydając między innymi 2 dyrektywy (2000/31/EC i 2002/58/EC) bezpośrednio dotyczące spraw poszanowania prywatności i ochrony przed spamem. W minionym roku 2003 Komisja Europejska już dość mocno naciskała na poszczególne kraje członkowskie by przyspieszyły one uchwalanie krajowych regulacji wykonawczych. Odpowiednie ustawy zostały wprowadzone w życie w kilku krajach.

Polska, jako kraj dopiero wstępujący do Wspólnoty, miała okazję ładnie się zaprezentować na tle krajów już zrzeszonych, gdyż od marca 2003 obowiązuje u nas ustawa o świadczeniu usług drogą elektroniczną, będąca realizacją części z zapisów tych unijnych dyrektyw. Jednakże sankcja za wysyłanie spamu (a raczej tylko jednego z jego rodzajów - niezamawianych informacji handlowych) przewidziana przez tę ustawę wygląda mało imponująco na tle ustawodawstwa innych krajów. W Polsce maksymalna kara wynosi około 1000 EUR za udowodnienie wysyłki jako takiej. W państwach Wspólnoty kara wynosi od kilkudziesięciu aż kilka tysięcy EUR - ale nie za "całokształt działalności", lecz za każdą sztukę wysłanego spamu... W wypadku udowodnienia masowej wysyłki kara taka nie będzie przypominała ukąszenia komara, lecz może doprowadzić do bankructwa, a we Włoszech wysyłka spamu może nawet zaprowadzić spamera do więzienia.

Polskie prawodawstwo jest jeszcze słabe

Niskie kary nie są przy tym jedyną wadą naszej ustawy o świadczeniu usług drogą elektroniczną, dobitnie ukazał to pierwszy proces przeciwko polskiemu spamerowi (co zresztą smutne, firmie należącej do grona założycieli PIIT), który zakończył się w listopadzie 2003. Sędzia uznał wprawdzie, że naruszenie prawa miało miejsce, odrzucając argumentację że wysyłane przesyłki nie były informacjami handlowymi - ale musiał uniewinnić prezesa firmy ponoszącego faktyczną odpowiedzialność za to naruszenie, bowiem sformułowania ustawy nie pozwalały na uznanie go winnym. Kolejną wadą ustawy jest brak w niej zapisów umożliwiających dochodzenie odszkodowań przez odbiorców spamu - niska grzywna która jedynie zasili budżet Państwa, ani nie pokryje kosztów procesu, ani też nie stanowi zachęty dla poszkodowanych by walczyli o własną satysfakcję finansową. Wad ustawy jest zresztą więcej i należą do nich też różnego rodzaju niekonsekwencje czy nieprecyzyjne zapisy, których nie ma sensu dokładniej tu omawiać. Na rychłe poprawienie ustawy o świadczeniu usług drogą elektroniczną jednak nie liczę. Nawet gdyby natychmiast rozpoczęto nad tym prace, na ich zakończenie i uchwalenie poprawek trzeba by poczekać kilka miesięcy, a biorąc pod uwagę konieczne vacatio legis, optymistycznie patrząc, na poprawę trzeba pewnie poczekać co najmniej do roku 2005. Pewne nadzieje można natomiast wiązać z trwającymi jeszcze pracami nad prawem telekomunikacyjnym, w którym ma się również znaleźć zapis, że wysyłanie komunikatów jest możliwe tylko po uzyskaniu zgody odbiorcy.

Pozytywnym akcentem prawnym tego roku była natomiast decyzja UOKiK nakazująca innemu spamerowi zaprzestania wysyłania niezamawianych informacji handlowych i umieszczenia w prasie przeprosin na własny koszt. Daje to pewne nadzieje na dochodzenie w przyszłości praw ofiar spamu poprzez UOKiK właśnie. Pozostaje też możliwość odwołania się do GIODO i skorzystania z ustawy o ochronie danych osobowych - bowiem i ta ustawa jest często przez spamerów naruszana. Być może rok 2004 przyniesie nam jakieś precedensy tego rodzaju.

Nowe poważne zagrożenia

Podsumowując rok 2003 nie można nie wspomnieć o gwałtownym zwiększeniu się zagrożenia zjawiskami związanymi ze spamem, ale dużo groźniejszymi niż sam spam. Mam na myśli zombie oraz phishing.

Zombie, to określenie komputera, na których działa "koń trojański", wirus podporządkowujący komputer spamerom. Zdalnie sterowana maszyna jest wykorzystywana do hostowania nielegalnych witryn internetowych, rozsyłania spamu, "ogłupiania" narzędzi służących do wykrywania źródeł spamu, czy wreszcie do ataków typu DDoS. Wirus jest najczęściej rozsyłany również za pomocą spamu. O powadze zagrożeń przekonał się w minionym roku Julian Green, Brytyjczyk, który z powodu wirusa typu zombie spędził kilka miesięcy w więzieniu i areszcie, podejrzany o rozpowszechnianie pornografii dziecięcej. Źle zabezpieczone komputery są jednak groźne nie tylko dla ich właścicieli, ale dla wszystkich użytkowników Internetu. Prawdziwa epidemia tych wirusów doprowadziła w roku 2003 do zainfekowania dziesiątków milionów komputerów na całym świecie, przyczyniła się też do likwidacji kilku witryn zaatakowanych przez armię zombie. Z tego względu zachęcam wszystkich użytkowników Internetu do poważnego zainteresowania się programami antywirusowymi i wykrywającymi tzw. malware.

Phishing natomiast to rodzaj spamu (a także nazwa oszustwa), zawierajęcego informacje o rzekomych zmianach na koncie bankowym, aukcji, sklepie internetowym lub w końcu własnym koncie internetowym. W związku z tymi zmianami (np. wygaśnięciem konta czy uruchamianiem nowego systemu zabezpieczeń) należy zalogować się na wskazanej witrynie i podać swoje personalia, hasło, numer konta, karty kredytowej itp. Spam zawiera odpowiednio spreparowany odnośnik przekierowujący adresata na należącą do oszusta witrynę w taki sposób, że ofiara jest przekonana, iż znajduje się np. na stronie serwisu eBay lub swojego banku. Podaje więc poufne dane, które potem są przez przestępców wykorzystywane do oszustw i kradzieży. W tego rodzaju oszustwach niezwykle "pomocna" okazała się dziura w przeglądarce Internet Explorer, która pozwala ukryć przed użytkownikiem prawdziwy adres odwiedzanej strony. Z tego względu wszyscy muszą pamiętać, że firmy świadczące usługi finansowe nigdy nie proszą drogą e-mailową swoich klientów o podanie poufnych danych. Niektóre z tych firm połączyły swe wysiłki w celu ochrony przed podobnymi atakami, tworząc organizację Anti-Phishing.orgzajmującą się tropieniem oszustów.

Przewidywania na rok 2004

Nie trzeba być prorokiem, by twierdzić, że do końca roku 2004 (lub nawet znacznie wcześniej) odsetek spamu w poczcie przekroczy 75%. Trudny do przewidzenia jest wpływ wspomnianej wyżej amerykańskiej ustawy CAN-SPAM Act. Wprawdzie ewidentnie zezwala ona na rozsyłanie spamu, co może spowodować jego wysyłkę nawet przez firmy które do tej pory nie uciekały się do tego rodzaju środków - ale jednocześnie badania przeprowadzone w już na początku roku 2004 wykazały, że ponad 99% amerykańskiego spamu nie spełnia wymogów tej ustawy, co nadawców naraża na ogromne grzywny. Prawdopodobnie przez kilka miesięcy będą się oni po prostu "uczyć" wysyłania spamu zgodnego z ustawą, co spowoduje w drugiej połowie roku 2004 znaczący wzrost ilości niechcianej poczty pochodzącej z USA. Spodziewam się, że wzrost ilości amerykańskiego spamu będzie powodował zaostrzanie kryteriów filtrowania przesyłek pochodzących zza oceanu. Jednocześnie jednak można się spodziewać nacisków na amerykańskich ustawodawców by zaostrzyć przepisy, co może spowodować pewną poprawę, zapewne jednak ze skutkami nie prędzej niż w roku 2005.

Jeśli chodzi o Polskę, to wprowadzenie w życie ustawy o świadczeniu usług drogą elektroniczną zahamowało w połowie roku 2003 przyrost ilości rodzimego spamu. Pod koniec roku jednak zaczęło go znów przybywać i trend ten pewnie będzie się jeszcze przez jakiś czas utrzymywał. Liczę jednak, że w najbliższych miesiącach znajdą na wokandzie rozstrzygnięcie rozpoczęte w roku 2003 sprawy o rozsyłanie niezamawianych informacji handlowych i ich nadawcy zrozumieją, ze nie wystarczy takiej informacji nazwać innym słowem by uniknąć odpowiedzialności. Jeśli tak się stanie, to zapewne ilość krajowego spamu komercyjnego zmniejszy się, a ten który pozostanie, nabierze więcej cech kryminalnych. Utrudni to być może znalezienie sprawcy - lecz w wypadku jego identyfikacji ułatwi dotkliwe ukaranie.

Sądzę zresztą, że zauważalnie zwiększy się odsetek spamów o charakterze kryminalnym - różnego rodzaju oszustwa (jak phishing), wyłudzenia itp. Będzie to też spowodowane zwiększaniem się zainteresowania spamem w kręgach przestępczości zorganizowanej, gdyż każda działalność dochodowa a nielegalna przyciąga przestępców. Być może spowoduje to przy okazji redukcję liczby spamerów, którym zwyczajnie przestanie się opłacać wysyłanie spamu, jeśli będą musieli dodatkowo płacić haracz.

Druga grupa spamów która da się nam we znaki w roku 2004 to spamy o charakterze politycznym, społecznym czy charytatywnym, przed którymi ustawa o świadczeniu usług drogą elektroniczną nas nie chroni. Polskie prawo nie pozostawia wprawdzie odbiorców tego typu spamu całkowicie bez ochrony, jednak niektórzy politycy zapewne zechcą wykorzystać luki prawne choćby w związku ze zbliżającymi się wyborami do Parlamentu Europejskiego.

Co do formy spamu, ze względu na coraz skuteczniejsze filtry poczty elektronicznej, można się zapewne spodziewać wzrostu ilości niechcianych wiadomości przesyłanych już nie drogą pocztową, ale przez komunikatory internetowe (takie jak ICQ czy Gadu-Gadu) oraz przez SMS.

Największy wpływ na gwałtowne zwiększenie się ilości spamu w roku 2003 miała, moim zdaniem, epidemia wirusów typu zombie. Zapewne spadnie jednak tempo przyrostu ilości spamu pochodzącego z zainfekowanych komputerów, gdy użytkownicy Internetu coraz lepiej będą sobie zdawali sprawę z istniejących zagrożeń. Spodziewam się, że świadomość ta znacząco podniesie się w bieżącym i przyszłym roku,

czego sobie i Państwu życzę.

Data ostatniej modyfikacji: 02 II 2004

wersja do druku