UKE i czterej operatorzy infrastrukturalni podjęli kolejne działania w celu ograniczenia prawdziwej plagi ostatnich lat, czyli podszywania się pod numery telefoniczne. Na realne efekty jeszcze trochę poczekamy.
Jacek Oko, prezes UKE, poinformował o podpisaniu z czterema największymi operatorami komórkowymi porozumienia w sprawie nadużyć w komunikacji elektronicznej. Zdaniem prezesa UKE, pozwoli to za kilka miesięcy ograniczyć zjawisko podszywania się pod numery telefoniczne (tzw. CLI spoofing). Razem z filtrowaniem SMS-ów umożliwi to skuteczną walkę z nadużyciami w komunikacji elektronicznej, których ofiarami padają użytkownicy telefonów w Polsce.
Jacek Oko we wpisie na blogu UKE przypomina, że pod koniec 2021 r. zostało podpisane podobne porozumienie w sprawie współpracy w zakresie bezpieczeństwa teleinformatycznego. W efekcie wspólnych działań z operatorami udało się stworzyć założenia dokumentu, który następnie przerodził się w przyjętą w połowie 2023 r. Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera instrumenty mające na celu poprawę cyberbezpieczeństwa Polaków.
Pierwszym z instrumentów jest obowiązek filtrowania SMS-ów przez operatorów komórkowych, na kształt filtrów antyspamowych w poczcie elektronicznej. W rozwiązanie zaangażowani są specjaliści z CSIRT NASK, czyli zespołu reagowania na incydenty bezpieczeństwa komputerowego, którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y.
Obowiązek ten wchodzi w życie już w kwietniu i mam nadzieję, że znacząco ograniczy próby wyłudzeń tą drogą
– przekonuje Jacek Oko, prezes UKE.
Drugim istotnym instrumentem, o którym wspomina prezes UKE, jest walka z podszywaniem się pod czyjś numer telefonu. Tu ważnym rozwiązaniem jest baza DNO (ang. Do-Not-Originate). Właściciele numerów telefonów (przedsiębiorcy), tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do inicjowania.
Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował. Bazę DNO prowadzi UKE, wniosek o wpis numeru do tej bazy będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września.
Nowe porozumienie UKE z operatorami zostało podpisane 20 lutego. Określa ono techniczne rozwiązanie tzw. bezpiecznej zatoki. Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek CLI spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis „Numer nieznany”).
Z oczywistych przyczyn nie będziemy publikować szczegółów technicznych tego rozwiązania. Mam nadzieję, że w ten sposób skutecznie ograniczymy możliwość stosowania CLI spoofingu, który w rękach przestępców jest narzędziem uwiarygadniającym w procederze podszywania się i wyłudzania, o czym niejednokrotnie można było przeczytać w mediach
– tłumaczy Jacek Oko.
Operatorzy to rozwiązanie wdrożą do września.
Podpisane właśnie porozumienie zostało wypracowane w trakcie ponad 30 spotkań z przedstawicielami departamentów bezpieczeństwa operatorów komórkowych. UKE zachęca, że porozumienie jest też otwarte dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie zobowiązania wynikające z porozumienia.
Z kolei dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostaną rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.
Zobacz: Od dziś działa nowy numer 8080. Zgłosisz tam podejrzane wiadomości SMS
Zobacz: Android przypilnuje twoich SMS-ów. Przede wszystkim chodzi o kody
Źródło zdjęć: Shutterstock, PAP
Źródło tekstu: Blog UKE, oprac. własne
