Abuse (po angielsku znaczy to tyle co "nadużycie") to termin oznaczający wykorzystanie czegoś niezgodnie z prawem lub przeznaczeniem. Sformułowanie to upowszechniło się w dobie Internetu - słowo "abuse" stało się zwyczajową nazwą funkcjonującego w firmach zajmujących się usługami internetowymi lub administrowaniem serwerami działu, odpowiedzialnego za przyjmowanie i rozpatrywanie zgłoszeń dotyczących wszelkich nadużyć, naruszania prawa (np. dystrybuowania spamu lub wirusów) czy też łamania tzw. netykiety. Przyjęło się, że z "abuse'm" danej firmy kontaktujemy się poprzez adres "abuse@domenafirmy.

My postanowiliśmy się bliżej przyjrzeć pracy takiego działu - najlepszym sposobem wydało nam się spotkanie z osobą zajmującą się abuse u dużego dostawcy usług internetowych. Oto zapis naszej rozmowy z Radosławem Zdunkiem, konsultantem ds. Bezpieczeństwa Sieci Transmisji Danych firmy Dialog.

Z ilu osób składa się zespół abuse w Dialogu? Proszę przybliżyć jego historię i strukturę.

Posiadamy 6 osobowy zespół, którego jednym z zadań jest reagowanie na zgłoszenia o nadużyciach sieciowych. Struktura działu jest płaska, jedna osoba odpowiedzialna jest za analizę przychodzących zgłoszeń i rozdział pomiędzy członków zespołu. Komórka funkcjonuje od momentu uruchomienia usług dostępu do Internetu przez Telefonię Dialog.

Jaki jest dokładnie zakres działań zespołu?

W zakres działań zespołu wchodzi identyfikacja i upomnienie sprawców nadużyć sieciowych mających swoje źródło w sieci Dialnet. Zadaniem abuse jest również wnioskowanie o ograniczanie lub wyłączanie usług klientom nie reagującym na upomnienia, lub ewidentnie w sposób świadomy popełniającym nadużycia.

Jaka jest dokładnie procedura postępowania z takim "opornym" klientem?

Z wszystkimi zidentyfikowanymi użytkownikami przeprowadzana jest rozmowa telefoniczna, podczas której informowani są o dokonanym nadużyciu oraz o grożących konsekwencjach.

W przypadku powtórnych skarg na danego abonenta podejmowane są odpowiednie kroki:

ograniczenie usługi (zablokowanie na urządzeniach operatorskich ruchu odpowiedzialnego za nadużycie - np. blokada portu 25 w przypadku maszyny rozsyłającej spam), tymczasowe wyłączenie usługi lub w skrajnych przypadkach rozwiązanie umowy z abonentem.

Techniczny sposób ograniczania usługi zależy od jej typu oraz rodzaju nadużycia.

Czy macie Państwo jakiś standardowy zestaw sankcji stosowanych wobec klientów łamiących zasady netykiety lub umowy?

Wszystko zależy od rodzaju nadużycia, świadomego uczestnictwa użytkownika w zdarzeniu oraz chęci współpracy w celu wyeliminowania problemu.

W większości przypadków użytkownicy są pouczani i proszeni o usunięcie przyczyny zgłoszenia. Jeżeli klient nie wyraża chęci współpracy, lub nie potrafi poradzić sobie z zaistniałym problemem, wnioskujemy o ograniczenie świadczonej mu usługi (np. zablokowanie portów w celu uniemożliwienia rozsyłania spamu). W przypadku potwierdzonego świadomego działania na szkodę innych użytkowników Internetu lub wielokrotnego naruszania obowiązującego regulaminu wystawiany jest wniosek o odłączenie od sieci Dialnet.

Jaka jest procedura postępowania podczas "załatwiania" zgłoszenia?

Nowe zgłoszenia umieszczane są w systemie kolejkującym, gdzie następuje selekcja w zależności od stopnia zagrożenia i kompletności informacji zawartych w zgłoszeniu.

Następnie zgłoszenia są rozdzielane pomiędzy członków zespołu do rozwiązania. Zadania wymagające natychmiastowej reakcji np. związane z domniemanym popełnieniem przestępstwa rozwiązywane są w sposób natychmiastowy.

Ile zgłoszeń trafia do zespołu tygodniowo?

Jest to ok. 1000 zgłoszeń, wliczając zgłoszenia automatyczne (np. z systemu spamcop).

Jakie problemy są zgłaszane najczęściej?

Najczęściej zgłaszanymi problemami jest rozsyłanie spamu, skanowanie portów oraz próby infekcji - powodem zdecydowanej większości zgłaszanych nadużyć są wirusy działające na komputerach naszych użytkowników. Występuje też dużo zgłoszeń od instytucji zajmujących się ochroną praw autorskich w sieci monitorujących ruch p2p.

Jaka jest procedura postępowania ze zgłoszeniami dotyczącymi naruszania praw autorskich w sieciach P2P?

Wszystkie zgłoszenia dotyczące naruszania praw autorskich w sieciach p2p są rejestrowane i archiwizowane. Konkretne kroki podejmowane są na wniosek policji lub innych uprawnionych organów.

Czy dział abuse zajmuje się rozwiązywaniem zgłaszanych problemów samodzielnie, czy współpracuje z innymi instytucjami?

Zadania działu abuse ograniczają się do obsługi nadużyć zainicjowanych z sieci Dialnet. Zgłoszenia przekazywane przez organizacje związane z bezpieczeństwem sieciowym obsługiwane są poza kolejnością.

Współpraca z policją i innymi uprawnionymi organami państwowymi realizowana jest przez dedykowaną do tych celów komórkę.

Czy przypomina sobie Pan jakieś szczególnie nietypowe zgłoszenie? Czego ono dotyczyło?

Wiele zgłoszeń, które można uznać za zabawne są niestety najczęściej przejawem braku wiedzy użytkowników Internetu na temat tego czym jest nadużycie, jak je rozpoznać, oraz jakich danych należy dostarczyć w celu pomyślnego rozwiązania problemu. W takich przypadkach staramy się edukować użytkowników w celu poprawy komunikacji z naszym działem.

Przykładem zabawnego zgłoszenia jest np. zgłoszenie ataku na własny komputer przez samego siebie.

Czy w ostatnich latach obserwują Państwo jakis wyraźny wzrost lub spadek liczby zgłoszeń?

Obserwujemy stały wzrost ilości zgłoszeń, związane jest to ze wzrostem popularności Internetu, przyrostem liczby klientów, jak również rosnącej przepływności łącz dostępnych dla abonentów indywidualnych. Wszystko to powoduje, że coraz więcej osób nie potrafiących w sposób wystarczający zadbać o system na swoim domowym komputerze uzyskuje dostęp do sieci, ich komputery stają się nowym źródłem zgłaszanych nadużyć.

Czy są jakieś szczególne okresy, gdy zgłoszeń jest szczególnie dużo lub szczególnie mało?

Wzrost liczby zgłoszeń przypada na okres wzmożonych infekcji komputerów przez wirusy komputerowe (pojawienie się nowego wirusa/robaka). Najmniej intensywne są okresy świąteczne - ilość zgłoszeń znacząco spada.

Kiedy ostatnio zaobserwowali państwo taki wyraźny wzrost?

Ostatni wyraźny wzrost odnotowaliśmy na przełomie listopada i grudnia, związany był z rozprzestrzenianiem się nowej wersji wirusa. Zgłoszenia dotyczyły dużej ilości zainfekowanych przesyłek pocztowych rozsyłanych przez naszych abonentów.