1 dzień temu
2
Reklama 3 tysiące złotych na miesiąc.
„Wolna domena podmiotu publicznego to jak otwarte drzwi dla oszustów i wrogów państwa" - mówi w wywiadzie dla Bankier.pl Monika Kamińska, radca prawny i założycielka Truesty, jednego z dziesięciu najbardziej obiecujących startupów w Polsce, zajmującego się walką z hejtem i dezinformacją w sieci. Rozmawiamy między innymi o stronie knf.pl, która mimo skojarzeń, nie ma nic wspólnego z Komisją Nadzoru Finansowego.
Michał Kubicki: Czy uważa Pani, że domeny z rozszerzeniem .pl są w jakimś stopniu częścią tożsamości narodowej w Polsce?
Monika Kamińska: Zdecydowanie tak. Domena to więcej niż techniczny identyfikator – to cyfrowy znak rozpoznawczy Polski w Internecie. Formalnie .pl to krajowa domena najwyższego poziomu przypisana Polsce przez IANA (Internet Assigned Numbers Authority). W praktyce odgrywa jednak znacznie większą rolę. Podświadomie kojarzy się z naszym rynkiem, językiem, kulturą i regulacjami. Algorytmy wyszukiwarek również rozumieją tę preferencję. Google automatycznie wyświetla wyniki z domenami .pl wyżej w rankingu dla polskich internautów. Zjawisko to może zauważyć każdy, kto był za granicą – wyniki wyszukiwania są tam odmienne.
Domena .pl stała się więc elementem cyfrowej rozpoznawalności Polski. To zaufanie jest naszą siłą, ale może stać się też podatnością.
Strona knf.pl prowadzi do giełdy kryptowalut. W dodatku widniejącej na liście ostrzeżeń KNF
Instytucje rządowe korzystają z domeny gov.pl, co pozwala na odróżnienie ich stron internetowych od takich jak np. knf.pl, która używając w adresie skrótu kojarzącego się z Komisją Nadzoru Finansowego, prowadzi do giełdy kryptowalut.
Polskie firmy chętniej wybierają w Internecie domeny z .pl w adresie czy inne na przykład .com, .biz.net, .eu, etc.?
Wybór domeny to dzisiaj bardzo ważna decyzja marketingowa i komunikacyjna. Domena .pl pozostaje nadal domyślnym adresem dla firm działających na polskim rynku. Firmy z globalnymi ambicjami wybierają .com, ale te świadome jednocześnie zabezpieczają wariant .pl. Równocześnie popularne stają się domeny branżowe takie jak .ai, .app, .io. Te końcówki sygnalizują innowacyjność i przyciągają określone grupy odbiorców.
Niektóre firmy modyfikują nazwę produktu pod dostępną domenę. Jeśli kluczowy adres jest zajęty, to racjonalne podejście, które ogranicza potencjalne spory.
Co z perspektywy wizerunkowej adres domeny mówi o jej właścicielu? Jak firmy i instytucje dbają lub powinny dbać o ten wizerunek w Internecie? Czy praktyką dużych korporacji jest wykupywanie skojarzonych adresów „www” w celu ochrony wizerunku i bezpieczeństwa swoich klientów i interesariuszy?
Domena to cyfrowa wizytówka, która często decyduje o pierwszym wrażeniu. Krótka, intuicyjna domena skutecznie buduje profesjonalny wizerunek.
Spektakularnym przykładem jest zakup domeny friend.com za 1,8 miliona dolarów przez młody startup technologiczny. Z doniesień prasowych wynikało, że transakcja pochłonęła ogromną część finansowania pozyskanego przez startup, ale przyjęto, że zaoszczędzi na tym więcej w kosztach marketingu – prestiżowa, budująca zaufanie, prosta i zapadająca w pamięć nazwa jest warta więcej niż kampanie reklamowe.
Firmy wykupują literówki i podobne domeny, aby zapobiec typosquattingowi (rejestracji podobnych domen w złej wierze) oraz działaniom nieuczciwej konkurencji, która chciałaby wykorzystać ich renomę, wprowadzić klientów w błąd lub skierować klientów na własne strony. W przypadku nadużyć, poszkodowane firmy nie są bezbronne – mogą korzystać z szerokiej gamy instrumentów prawnych. Podstawą ochrony mogą być m.in. przepisy kodeksu cywilnego o naruszeniu dóbr osobistych, prawo własności intelektualnej chroniące znaki towarowe oraz ustawa o zwalczaniu nieuczciwej konkurencji.
Należy pamiętać, że rejestrator nie weryfikuje, czy nazwa narusza cudze prawa. To abonent odpowiada za legalność nazwy. W praktyce oznacza to, że jeśli ktoś zarejestruje domenę naruszającą cudzy znak towarowy, to w przypadku braku porozumienia, poszkodowany może skorzystać z arbitrażu domenowego.
Arbitraż domenowy to szybsza alternatywa dla postępowania sądowego. Prawomocne orzeczenie pozwala na zmianę abonenta w rejestrze NASK.
Najważniejsza jednak jest profilaktyka. Ochrona wizerunku wymaga działań ciągłych, nie jednorazowych. To nie tylko kwestia rejestracji domeny i odpowiednich zabezpieczeń technicznych, ale także systematyczny monitoring, proaktywne działania prawne i świadomość całego zespołu.
Można postawić znak równości pomiędzy potencjałem wizerunkowym i odbiorem przez użytkowników Internetu adresów knf.pl a knf.net ?
Absolutnie nie. W świadomości użytkowników te adresy niosą zupełnie inne komunikaty. Domena .pl automatycznie sygnalizuje związek z Polską i sugeruje, że podmiot chce dotrzeć do polskich użytkowników. Zawiera dorozumiany przekaz: „jestem stąd i podlegam polskim regulacjom”. Domena .net to globalna końcówka pozbawiona konotacji państwowej. Pierwotnie była przeznaczona dla podmiotów związanych z sieciami komputerowymi, dzisiaj nie jest ograniczona tematycznie i może ją zarejestrować każdy.
Czy przykład istnienia strony knf.pl, która nie należy do Komisji Nadzoru Finansowego to realne ryzyko wykorzystania wizerunku instytucji do dezinformacji i oszustw finansowych?
To nie tylko ryzyko – to rzeczywistość, z którą mierzymy się już teraz.
„Wolna” domena podmiotu publicznego to jak otwarte drzwi dla oszustów i wrogów państwa. Rosyjska kampania „Doppelganger” pokazała, że podszywanie się pod media i urzędy w lokalnych domenach to standard w wojnie informacyjnej.
Wyobraźmy sobie skrajny scenariusz: strona pod adresem knf.pl ma szatę graficzną Komisji Nadzoru Finansowego i zostaje tam opublikowany fałszywy komunikat o upadłości banku, wpisaniu konkurencji na listę ostrzeżeń czy serwowanie złośliwego oprogramowania. O tym, że plotka może wywołać panikę na rynku, przekonał się Silicon Valley Bank w 2023 roku, gdy negatywne wpisy w mediach społecznościowych wywołały „bank run 2.0”. W ciągu 24 godzin klienci wypłacili 42 miliardy dolarów, doprowadzając do utraty płynności jednego z większych banków w Stanach Zjednoczonych.
Mechanizmy obrony istnieją, ale mają ograniczenia. NASK może blokować domeny, a przeglądarki oznaczają podejrzane strony ostrzeżeniami. Ale dezinformacja działa na zasadzie pierwszego wrażenia i może mieć olbrzymi wpływ, jeżeli jest w wykorzystana w krytycznych momentach chaosu informacyjnego, które towarzyszą np. wojnom, kataklizmom, zmianie urzędu czy zatrzymaniu znanych osób. Ponadto pomaga to utrwalać fałszywe narracje, które są często budowane miesiącami w wielu osobnych kanałach przekazu.
Problem może nasilić sztuczna inteligencja. Generatywne modele mogą tworzyć wiarygodnie wyglądające strony i treści w kilka minut. Deepfake'i pozwalają podszywać się pod konkretne osoby – nie tylko w formie obrazu, ale również video oraz nagrań dźwiękowych. Koszt ataku dramatycznie spada, a wykrycie staje się coraz trudniejsze.
Z jednej strony mamy knf.pl, ale z drugiej np. stronę prezydent.pl czy inne, należące do instytucji państwowych, które kończą się na .pl. To może wprowadzać pewien chaos?
Domena .gov.pl jest domeną kontrolowaną przez NASK. Rejestracja wymaga przedstawienia dokumentów potwierdzających status podmiotu publicznego. To bezpieczna przestrzeń.
Problem polega na tym, że domena .pl jest dostępna dla każdego bez weryfikacji uprawnień – co do zasady: kto pierwszy zarejestruje, ten ma domenę. Domeny, nawiązujące do organów władzy publicznej, powinny być przez nie zabezpieczone. CERT Polska działający w strukturach NASK m.in blokuje złośliwe strony w domenie .pl – dotyczy to stron phishingowych i zawierających szkodliwe oprogramowanie.
W przypadku stron z innymi kategoriami nielegalnych lub szkodliwych treści, takich jak zniesławiające, ujawniające intymne zdjęcia bez zgody czy sprzedających podróbki, również istnieją prawne możliwości zablokowania takiej strony.
To jednak zajmuje czas, w którym niepożądana treść może dotrzeć do tysięcy użytkowników i spowodować trudne do odwrócenia szkody, nie tylko finansowe, ale równie dotkliwe wizerunkowe. Dlatego zapobieganie, a w razie identyfikacji ryzyka – niezwłoczna reakcja – są tak ważne.
Co ciekawe sam NASK korzysta z domeny .pl. Robią tak też inne instytucje, jak na przykład Narodowy Bank Polski. Może opiszmy po krótce, jak wygląda sytuacja w kwestii domen instytucji publicznych?
Poszczególne podmioty przyjęły różne strategie domenowe, dlatego warto przyjrzeć się konkretnym przykładom. NBP jako głównej domeny używa .pl, ale posiada również domeny gov.pl i com.pl, z których następuje przekierowanie na .pl. Być może bank centralny chciał w ten sposób podkreślić swoją niezależność i konstytucyjną pozycję. Sejm i Senat jako główną domenę wybrały natomiast gov.pl i zabezpieczyły także domenę .pl.
W wymiarze sprawiedliwości: NSA, sądy administracyjne, sądy powszechne czy Trybunał Konstytucyjny używają domeny gov.pl, ale Sąd Najwyższy – .pl. W przypadku administracji rządowej ze stron ministerstw następuje przekierowanie do ujednoliconych adresów gov.pl/web/(...). Różnice widać również na poziomie samorządowym – Warszawa używa .pl, a Lublin .eu.
Odrębność niektórych instytucji może uzasadniać chęć podkreślenia swojej autonomii. Problem w tym, że przeciętny użytkownik nie zastanawia się nad niuansami dotyczącymi struktury organizacyjnej państwa – czy dana instytucja to władza wykonawcza, sądownicza, czy samorząd.
Z punktu widzenia bezpieczeństwa informacyjnego państwa, to co stwarza realne ryzyko, to pozostawienie kluczowych domen bez zabezpieczenia. To może być zagrożenie dla bezpieczeństwa informacyjnego państwa.
W takim razie co można zrobić? Czy konieczne są zmiany w prawie, czy wystarczą podjęte działania na bazie już istniejących regulacji?
Istniejące instrumenty prawne dają solidne fundamenty, ale cyfrowa rzeczywistość wymaga nowych rozwiązań i przede wszystkim zmian w myśleniu o bezpieczeństwie. Fundamentalna zmiana myślenia polega na tym, że bezpieczeństwo cyfrowe nie jest stanem, ale procesem. Nie można zabezpieczyć się raz na zawsze. Technologie się zmieniają, metody ataków ewoluują, nowe zagrożenia pojawiają się każdego dnia.
Dlatego potrzebujemy kompleksowego podejścia. Po pierwsze, działania prewencyjne. Podmioty publiczne i firmy powinny domyślnie rejestrować kluczowe warianty domen. To koszt kilkuset złotych rocznie, ale może zaoszczędzić miliony w przyszłości.
Po drugie, systematyczny monitoring. Dzisiaj kluczowe jest między innymi regularne sprawdzanie podobnych domen, śledzenie wzmianek o marce, regularne audyty bezpieczeństwa. Technologia do tego istnieje, pytanie dotyczy systematycznego wdrażania.
Po trzecie, edukacja użytkowników. Pomimo licznych kampanii społecznych, użytkownicy nadal padają ofiarą oszustów, bo metody socjotechniki rozwijają się szybciej niż świadomość. Nawet dobrze poinformowane osoby w chwili zmęczenia, nieuwagi lub pod wpływem emocji dają się oszukać wyrafinowanym atakom. Nie powinniśmy się wstydzić i ukrywać, gdy padliśmy ofiarą ataku, ale szybko reagować i mieć gotowy plan działania w sytuacji kryzysowej. Bardzo ważne jest wprowadzenie w firmach i instytucjach „kultury nieobwiniania” (ang. „no blame culture”), które motywuje, a nie wprowadza strach do zgłaszania podejrzeń naruszeń bezpieczeństwa
Jeśli chodzi o nowe przepisy, na poziomie unijnym mamy Akt o usługach cyfrowych, który wzmacnia obowiązki platform w zakresie usuwania nielegalnych i szkodliwych treści. Niestety, Polska spóźnia się z przyjęciem przepisów implementujących, które pozwoliłyby użytkownikom skuteczniej chronić swoje prawa. Ostatecznie bezpieczeństwo to nie tylko kwestia jednej domeny .pl, ale cały ekosystem działań.
Dziękuję za rozmowę.
Źródło:
English (US) · 
Polish (PL) ·