Urząd Komunikacji Elektronicznej opublikował rekomendacje określające szczegółowe środki organizacyjne i techniczne dla mniejszych operatorów w zakresie zwalczania CLI spoofingu (podszywania się pod numery telefonów), a także blokowania połączenia głosowego albo ukrywania identyfikacji numeru wywołującego dla użytkownika końcowego.
– Rekomendacje powstały podczas merytorycznych spotkań (dyskusji i warsztatów) z przedstawicielami izb gospodarczych sektora telekomunikacyjnego. Dokument ten „wykuwał się” w trakcie dyskusji, co z jednej strony dało rozwiązania dające się wdrożyć w praktyce, a z drugiej zagwarantowało wspólne rozumienie zawartych w nich zaleceń. Ich stosowanie może istotnie wpłynąć na wyniki ewentualnej kontroli w przypadkach, kiedy będziemy mieli do czynienia z niewykonaniem albo nienależytym wykonaniem usługi telekomunikacyjnej podczas realizacji przez operatora obowiązków wynikających z art. 16 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej – podkreśla Jacek Oko, prezes UKE.
Zgodnie z rekomendacjami, przedsiębiorcy telekomunikacyjni będą zobowiązani do zapewnienia, że połączenia głosowe inicjowane w ich sieci nie mają znamion CLI spoofingu, a także zapewniają poprawność i wiarygodność numeru inicjującego połączenie głosowe realizowane przez jego użytkownika końcowego. Będą musieli też zagwarantować, że użytkownik końcowy może zainicjować połącznie głosowe wyłącznie z numeru, który został przydzielony abonentowi w umowie o świadczenie usług telekomunikacyjnych zawartej z tym dostawcą, w szczególności numerów krajowych.
Zaleca się też m.in, aby przedsiębiorca telekomunikacyjny ukrywał identyfikację numeru dla połączeń głosowych prezentujących się numerami krajowymi stacjonarnymi, kierowanych do kraju poprzez łącza międzynarodowe.
W związku ze zwalczaniem spoofingu operatorom przybędą kolejne obowiązki związane z raportowaniem. Będą bowiem zobowiązani do udostępnienia UKE:
- zagregowanych dziennych danych o liczbie zrealizowanych połączeń głosowych;
- zagregowanych dziennych danych o liczbie połączeń głosowych, dla których została ukryta identyfikacja numeru wywołującego dla użytkownika końcowego w związku z realizacją obowiązku zwalczania CLI spoofing;
- zagregowanych dziennych danych o liczbie połączeń głosowych, które zostały zablokowane w związku z realizacją obowiązku zwalczania CLI spoofing.
UKE podkreśla, ze rekomendacje wpisują się w szereg działań podjętych w związku przyjętą w lipcu 2023 ustawą o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, z których najistotniejsze to:
- „bezpieczna zatoka”, czyli techniczne rozwiązanie pozwalające największym operatorom na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy mamy do czynienia z próbą podszywania się pod inną osobę lub organizację;
- baza DNO, czyli lista numerów, na które można się dodzwonić, ale z których nie można nawiązywać połączeń;
- filtrowanie treści SMS-ów na wzór filtru antyspamowego w poczcie elektronicznej.
UKE zauważa, że „Bezpieczna zatoka” jest zaawansowanym rozwiązaniem otwartym dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie określone zobowiązania techniczne. Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostały z kolei rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.
