Jacek Oko, prezes Urzędu Komunikacji Elektronicznej poinformował, że regulator podpisał z czterema największymi operatorami porozumienie, które za kilka miesięcy pozwoli ograniczyć zjawisko podszywania się pod numery telefoniczne (tzw. CLI spoofing). Przekonuje on, że razem z filtrowaniem SMS-ów umożliwi to skuteczną walkę z nadużyciami w komunikacji elektronicznej, których ofiarami padają użytkownicy telefonów w Polsce.
Szef UKE przypomina, że po koniec 2021 r. regulator podpisał z czterema operatorami mobilnymi dobrowolne porozumienie w sprawie współpracy w zakresie bezpieczeństwa teleinformatycznego. Po kolejnych ustaleniach udało się stworzyć założenia dokumentu, który następnie przerodził się w przyjętą w połowie 2023 r. Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, taki jak np. obowiązek filtrowania SMS-ów przez operatorów komórkowych, na kształt filtrów antyspamowych w poczcie elektronicznej. W rozwiązanie zaangażowani są cyberspecjaliści z CSIRT NASK (zespołu reagowania na incydenty bezpieczeństwa komputerowego), którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y. Obowiązek ten wchodzi w życie już w kwietniu.
Innym istotnym instrumentem jest walka z podszywaniem się pod czyiś numer telefonu. Tu ważnym rozwiązaniem jest tzw. baza DNO (ang. Do-Not-Originate). Właściciele numerów telefonów (przedsiębiorcy), tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do inicjowania. Do tej pory przestępcy często wykorzystywali fakt, że w telefonach mamy zapisany numer infolinii naszego banku, a połączenia przychodzące z danego numeru od razu na wyświetlaczu telefonu było kojarzone z przypisaną mu nazwą w naszej książce telefonicznej, w ten sposób uwiarygadniając się. Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował. Bazę DNO prowadzi UKE, wniosek o wpis numeru do tej bazy będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września.
Odnośnie zaś podpisanego 20 lutego porozumienia między UKE a czterema operatorami, to określa ono techniczne rozwiązanie tzw. „bezpiecznej zatoki”. Jacek Oko twierdzi, że jest ono unikatowe w skali globalnej.
– Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek CLI spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis „Numer nieznany”). Z oczywistych przyczyn nie będziemy publikować szczegółów technicznych tego rozwiązania. Mam nadzieję, że w ten sposób skutecznie ograniczymy możliwość stosowania CLI spoofingu, który w rękach przestępców jest narzędziem uwiarygadniającym w procederze podszywania się i wyłudzania, o czym niejednokrotnie można było przeczytać w mediach. Operatorzy to rozwiązanie wdrożą do września – informuje prezes UKE.
Dodaje, że podpisane porozumienie, wypracowane w trakcie ponad 30 merytorycznych spotkań z przedstawicielami departamentów bezpieczeństwa operatorów komórkowych, jest otwarte dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie zobowiązania wynikające z porozumienia.
Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostaną rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.