Rząd chce położyć kres SMS-om wyłudzającym dane. Podano termin

Jak wskazuje KPRM, tzw. phishing to atak, polegający na podszyciu się pod inną osobę, firmę lub instytucję w celu wyłudzenia poufnych informacji, takich jak dane logowania, dane kart kredytowych czy płatniczych, zainfekowania sprzętu informatycznego złośliwym oprogramowaniem albo nakłonienia ofiary do podjęcia konkretnych działań. Powszechnym rodzajem phishingu jest smishing – atak skierowany na telefony komórkowe, poprzez wiadomości tekstowe/SMS.

Według Cieszyńskiego, phishing jest bardzo ważną kwestią społecznie i szczególnie w ostatnich miesiącach bardzo się dał we znaki obywatelom. "Wiemy, że takich sytuacji jest naprawdę bardzo dużo" - podkreślał Cieszyński na konferencji prezentującej założenia planowanych rozwiązań. Chodzi o to - jak opisywał - że operatorzy chcieliby włączyć się w walkę z phishingiem, ale nie mają narzędzi, które by im prawnie umożliwiały takie działania. "Chcemy takie narzędzia wprowadzić" - zapowiedział.

Przedstawiciel KPRM zauważył, że obecnie na podstawie istniejącego porozumienia pomiędzy NASK, operatorami telekomunikacyjnym i UKE operatorzy blokują wejścia na stronę, które zostały przez NASK zidentyfikowane jako szkodliwe.

Chcemy pójść krok dalej, żeby nie było możliwości swobodnej dystrybucji tego typu kampanii i dlatego w oparciu o doświadczenia, które zdobył NASK i operatorzy, chcemy wdrożyć w ramach ustawy, która będzie zawierała szereg przepisów związanych z podnoszeniem bezpieczeństwa w sieci - mówił.

Wskazał, że jeśli chodzi o termin, to "chcemy do końca pierwszego kwartału poszerzyć jeszcze te rozwiązania, które mają też chronić przed spoofingiem (podszywaniem się pod cudzy numer telefonu - red.) i z takim pakietem do końca pierwszego kwartału wyjść na zewnątrz i wrzucić na szybką ścieżkę legislacyjną, żeby tak szybko jak to będzie możliwe poziom tej ochrony został istotnie podniesiony".

W kontekście zwalczania spoofingu Cieszyński ocenił, że "widzimy dzisiaj, że chyba wszyscy - jako rynek, jako regulator, jako rząd - przegapiliśmy ten moment, kiedy trzeba było te standardy podnieść". "Dzisiaj zbieramy tego owoce; gdyby takie działania podjąć kilka lat wcześnie, to myślę, że dzisiaj tej sytuacji by nie było. Ale to jest tylko dla nas motywacja do ciężkiej, wytężonej pracy" - wskazał.

Dodał, że zwalczanie tego zjawiska nie jest prostą sprawą, a oczekiwanie, by problem rozwiązać z dnia na dzień, jest nierealne. Przedstawiciele operatorów podkreślali, że nie ma gotowych rozwiązań, po które można sięgnąć, więc trzeba "wykazać się zgodną kreatywnością".

W kontekście sytuacji na Ukrainie Cieszyński zaznaczył, że są udokumentowane sytuacje, gdzie akcje phishingowe były realizowane na zlecenie aktora państwowego. "Ten mechanizm ma chronić przed wszystkimi tego rodzaju sytuacjami" - mówił.

Z kolei prezes Urzędu Komunikacji Elektronicznej Jacek Oko tłumaczył, że chodzi o wprowadzenie rozwiązań systemowych, nie tylko doraźnych. "To początek prac, pracujemy też nad innymi elementami" - mówił. Dodał, że wraz z operatorami i innymi instytucjami utworzono centrum analityczne ISAC (Information Sharing and Analysis Center), w ramach którego prowadzone będą przeglądy, monitoring oraz wprowadzanie ulepszeń od strony technologicznej.

"Mamy w ramach porozumienia dyskusję, szukamy analogicznych rozwiązań, czyli prawnych, proceduralnych i systemowych dla rozwiązania problemy spoofingu, który jest równie kłopotliwy albo niebezpieczny, a zdecydowanie trudniejszy do zwalczenia" - zapowiedział.

Według Jacka Oko, proponowane rozwiązania będą działały analogiczne do filtrowania wiadomości mailowych w celu wykrycia spamu. "Pracujemy nad procedurami, by bezpieczeństwo obywateli było zabezpieczone w przypadku tych elementów wrzucanych do +kosza+. Nie ma przechowywanych treści wiadomości, przechowywane są tylko koordynaty połączenia" - zaznaczył.

Jak wskazał Wojciech Pytel z Polkomtela, operatora sieci Plus, ten mechanizm wymaga, by operatorzy mieli prawo automatycznego analizowania treści SMS, bo w tej chwili są one prawnie chronione.

Odpowiadając na pytanie o zwalczanie robocalls (automatycznych połączeń telefonicznych od robotów marketingowych), Cieszyński powiedział, iż jego zdaniem robocalle powinny być dostępne wyłącznie w formule opt-in (tj. po wyrażeniu zgody przez użytkownika - red.). "I takie też rozwiązania chcemy zaproponować" - wskazał.

Według KPRM, proponowane zmiany legislacyjne będą uwzględniać doprecyzowanie katalogu nadużyć: "Wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania w szczególności przekazania danych osobowych lub instalacji oprogramowania", dodanie obowiązku dla przedsiębiorcy telekomunikacyjnego zapobiegania nadużyciom w odniesieniu do SMS phishingowych oraz sposobu współpracy z CSIRT NASK, który odpowiedzialny będzie za przygotowanie odpowiednich wzorców wiadomości.

Kolejną zmianą będzie zobowiązanie operatorów do niezwłocznego blokowania krótkich wiadomości tekstowych (SMS), zawierających treści zawarte przez CSIRT NASK we wzorcu wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich krótkich wiadomości tekstowych (SMS), a także danie przedsiębiorcom telekomunikacyjnym uprawnień w zakresie możliwości przetwarzania wiadomości SMS celem wyszukiwania szkodliwych wzorców wiadomości, oraz blokowania wiadomości, które pasują do wzorca.