Rząd chce położyć kres SMS-om wyłudzającym dane. Podano termin

W pierwszym kwartale przedstawiony zostanie projekt, który pozwoli na blokowanie SMS-ów wyłudzających dane np. do logowania do banku; chodzi o tzw. phishing lub smishing - zapowiedział w środę Janusz Cieszyński, sekretarz stanu ds. cyfryzacji w Kancelarii Prezesa Rady Ministrów. Przestępcy przechwytują również dane kart kredytowych do płatności w sieci.

Nasilają się ataki oszustów, którzy chcą wyłudzić dane do logowania do banków lub informacje z kart kredytowychNasilają się ataki oszustów, którzy chcą wyłudzić dane do logowania do banków lub informacje z kart kredytowych
Źródło zdjęć: © Adobe Stock | nonglak
oprac.  MWL

Jak wskazuje KPRM, tzw. phishing to atak, polegający na podszyciu się pod inną osobę, firmę lub instytucję w celu wyłudzenia poufnych informacji, takich jak dane logowania, dane kart kredytowych czy płatniczych, zainfekowania sprzętu informatycznego złośliwym oprogramowaniem albo nakłonienia ofiary do podjęcia konkretnych działań. Powszechnym rodzajem phishingu jest smishing – atak skierowany na telefony komórkowe, poprzez wiadomości tekstowe/SMS.

Według Cieszyńskiego, phishing jest bardzo ważną kwestią społecznie i szczególnie w ostatnich miesiącach bardzo się dał we znaki obywatelom. "Wiemy, że takich sytuacji jest naprawdę bardzo dużo" - podkreślał Cieszyński na konferencji prezentującej założenia planowanych rozwiązań. Chodzi o to - jak opisywał - że operatorzy chcieliby włączyć się w walkę z phishingiem, ale nie mają narzędzi, które by im prawnie umożliwiały takie działania. "Chcemy takie narzędzia wprowadzić" - zapowiedział.

Jak chronić się przed phishingiem? Na co zwrócić uwagę?

Przedstawiciel KPRM zauważył, że obecnie na podstawie istniejącego porozumienia pomiędzy NASK, operatorami telekomunikacyjnym i UKE operatorzy blokują wejścia na stronę, które zostały przez NASK zidentyfikowane jako szkodliwe.

Chcemy pójść krok dalej, żeby nie było możliwości swobodnej dystrybucji tego typu kampanii i dlatego w oparciu o doświadczenia, które zdobył NASK i operatorzy, chcemy wdrożyć w ramach ustawy, która będzie zawierała szereg przepisów związanych z podnoszeniem bezpieczeństwa w sieci - mówił.

Phishing, smishing, spoofing. Tak próbują nas oszukiwać

Wskazał, że jeśli chodzi o termin, to "chcemy do końca pierwszego kwartału poszerzyć jeszcze te rozwiązania, które mają też chronić przed spoofingiem (podszywaniem się pod cudzy numer telefonu - red.) i z takim pakietem do końca pierwszego kwartału wyjść na zewnątrz i wrzucić na szybką ścieżkę legislacyjną, żeby tak szybko jak to będzie możliwe poziom tej ochrony został istotnie podniesiony".

W kontekście zwalczania spoofingu Cieszyński ocenił, że "widzimy dzisiaj, że chyba wszyscy - jako rynek, jako regulator, jako rząd - przegapiliśmy ten moment, kiedy trzeba było te standardy podnieść". "Dzisiaj zbieramy tego owoce; gdyby takie działania podjąć kilka lat wcześnie, to myślę, że dzisiaj tej sytuacji by nie było. Ale to jest tylko dla nas motywacja do ciężkiej, wytężonej pracy" - wskazał.

Dodał, że zwalczanie tego zjawiska nie jest prostą sprawą, a oczekiwanie, by problem rozwiązać z dnia na dzień, jest nierealne. Przedstawiciele operatorów podkreślali, że nie ma gotowych rozwiązań, po które można sięgnąć, więc trzeba "wykazać się zgodną kreatywnością".

W kontekście sytuacji na Ukrainie Cieszyński zaznaczył, że są udokumentowane sytuacje, gdzie akcje phishingowe były realizowane na zlecenie aktora państwowego. "Ten mechanizm ma chronić przed wszystkimi tego rodzaju sytuacjami" - mówił.

Z kolei prezes Urzędu Komunikacji Elektronicznej Jacek Oko tłumaczył, że chodzi o wprowadzenie rozwiązań systemowych, nie tylko doraźnych. "To początek prac, pracujemy też nad innymi elementami" - mówił. Dodał, że wraz z operatorami i innymi instytucjami utworzono centrum analityczne ISAC (Information Sharing and Analysis Center), w ramach którego prowadzone będą przeglądy, monitoring oraz wprowadzanie ulepszeń od strony technologicznej.

"Mamy w ramach porozumienia dyskusję, szukamy analogicznych rozwiązań, czyli prawnych, proceduralnych i systemowych dla rozwiązania problemy spoofingu, który jest równie kłopotliwy albo niebezpieczny, a zdecydowanie trudniejszy do zwalczenia" - zapowiedział.

Według Jacka Oko, proponowane rozwiązania będą działały analogiczne do filtrowania wiadomości mailowych w celu wykrycia spamu. "Pracujemy nad procedurami, by bezpieczeństwo obywateli było zabezpieczone w przypadku tych elementów wrzucanych do +kosza+. Nie ma przechowywanych treści wiadomości, przechowywane są tylko koordynaty połączenia" - zaznaczył.

Jak wskazał Wojciech Pytel z Polkomtela, operatora sieci Plus, ten mechanizm wymaga, by operatorzy mieli prawo automatycznego analizowania treści SMS, bo w tej chwili są one prawnie chronione.

Robocalls. Telefony od botów na celowniku

Odpowiadając na pytanie o zwalczanie robocalls (automatycznych połączeń telefonicznych od robotów marketingowych), Cieszyński powiedział, iż jego zdaniem robocalle powinny być dostępne wyłącznie w formule opt-in (tj. po wyrażeniu zgody przez użytkownika - red.). "I takie też rozwiązania chcemy zaproponować" - wskazał.

Według KPRM, proponowane zmiany legislacyjne będą uwzględniać doprecyzowanie katalogu nadużyć: "Wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania w szczególności przekazania danych osobowych lub instalacji oprogramowania", dodanie obowiązku dla przedsiębiorcy telekomunikacyjnego zapobiegania nadużyciom w odniesieniu do SMS phishingowych oraz sposobu współpracy z CSIRT NASK, który odpowiedzialny będzie za przygotowanie odpowiednich wzorców wiadomości.

Kolejną zmianą będzie zobowiązanie operatorów do niezwłocznego blokowania krótkich wiadomości tekstowych (SMS), zawierających treści zawarte przez CSIRT NASK we wzorcu wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich krótkich wiadomości tekstowych (SMS), a także danie przedsiębiorcom telekomunikacyjnym uprawnień w zakresie możliwości przetwarzania wiadomości SMS celem wyszukiwania szkodliwych wzorców wiadomości, oraz blokowania wiadomości, które pasują do wzorca.

Wybrane dla Ciebie

Nie tylko bursztyn. Polska skrywa bogactwo: złoto, szafiry i minerały promieniotwórcze
Nie tylko bursztyn. Polska skrywa bogactwo: złoto, szafiry i minerały promieniotwórcze
Tak Rosja i Korea Północna zacieśniają więzi. To już nie tylko wojskowa współpraca
Tak Rosja i Korea Północna zacieśniają więzi. To już nie tylko wojskowa współpraca
W Polsce pojawiają się choroby, których nie było. "Społeczeństwo musi być poinformowane"
W Polsce pojawiają się choroby, których nie było. "Społeczeństwo musi być poinformowane"
Rząd się rozpadnie? Zapytali Polaków. Jest świeży sondaż
Rząd się rozpadnie? Zapytali Polaków. Jest świeży sondaż
Tego nie było od ponad 50 lat. Wielki sukces Polaków na prestiżowej olimpiadzie matematycznej
Tego nie było od ponad 50 lat. Wielki sukces Polaków na prestiżowej olimpiadzie matematycznej
Obowiązkowa fotowoltaika na dachach budynków? Mamy wyjaśnienia resortu
Obowiązkowa fotowoltaika na dachach budynków? Mamy wyjaśnienia resortu
Dwa silne trzęsienia ziemi u wybrzeży Rosji. Amerykanie ostrzegli Hawaje
Dwa silne trzęsienia ziemi u wybrzeży Rosji. Amerykanie ostrzegli Hawaje
Zatwierdzanie taryf za wodę wróci do gmin? Wody Polskie: nie mamy nic przeciwko
Zatwierdzanie taryf za wodę wróci do gmin? Wody Polskie: nie mamy nic przeciwko
Szał na Labubu trwa. Zyski producenta wystrzeliły
Szał na Labubu trwa. Zyski producenta wystrzeliły
Emerytura nawet pięć lat wcześniej. Dwa projekty czekają na decyzję
Emerytura nawet pięć lat wcześniej. Dwa projekty czekają na decyzję
CEO Astronomera zrezygnował po głośnym skandalu na koncercie
CEO Astronomera zrezygnował po głośnym skandalu na koncercie
Zełenski: Ukraina wysłała do Moskwy propozycję rozmów. Podano termin
Zełenski: Ukraina wysłała do Moskwy propozycję rozmów. Podano termin