Operatorzy komórkowi dopiero we wrześniu zablokują oszukańcze połączenia

UKE podpisało porozumienie z czterema największymi operatorami, które za kilka miesięcy pozwoli ograniczyć zjawisko podszywania się pod numery telefoniczne (tzw. CLI spoofing).

Razem z filtrowaniem SMS-ów ma to umożliwić walkę z nadużyciami w komunikacji elektronicznej, których ofiarami padają użytkownicy telefonów w Polsce.

Pod koniec 2021 r. UKE podpisało z czterema operatorami mobilnymi dobrowolne porozumienie w sprawie współpracy w zakresie bezpieczeństwa teleinformatycznego. W ramach wspólnych prac powstał dokument, który następnie przerodził się w przyjętą w połowie 2023 r. Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, z których najistotniejsze są dwa poniższe.

Pierwszym z nich jest obowiązek filtrowania SMS-ów przez operatorów komórkowych, na kształt filtrów antyspamowych w poczcie elektronicznej. W rozwiązanie zaangażowani są cyberspecjaliści z CSIRT NASK (zespołu reagowania na incydenty bezpieczeństwa komputerowego), którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y. Obowiązek ten wchodzi w życie już w kwietniu i mam nadzieję, że znacząco ograniczy próby wyłudzeń tą drogą.

Drugim istotnym instrumentem jest walka z podszywaniem się pod czyjś numer telefonu. Tu ważnym rozwiązaniem jest tzw. baza DNO (ang. Do-Not-Originate). Właściciele numerów telefonów (przedsiębiorcy), tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do inicjowania. Do tej pory przestępcy często wykorzystywali fakt, że w telefonach mamy zapisany numer infolinii naszego banku, a połączenia przychodzące z danego numeru od razu na wyświetlaczu telefonu było kojarzone z przypisaną mu nazwą w naszej książce telefonicznej, w ten sposób uwiarygadniając się. Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował. Bazę DNO prowadzi UKE, wniosek o wpis numeru do tej bazy będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września.

Najnowsze porozumienie określa techniczne rozwiązanie tzw. „bezpiecznej zatoki”, unikatowe w skali globalnej. Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy  mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek CLI spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis „Numer nieznany”). Operatorzy to rozwiązanie wdrożą do września.

Podpisane właśnie porozumienie jest otwarte dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie zobowiązania wynikające z porozumienia. Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostaną rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.