UKE i najważniejsi operatorzy podpisują porozumienie ws. zwiększenia bezpieczeństwa

Za kilka miesięcy możemy zaobserwować ograniczenie tak zwanego CLI spoofingu. Prezes Urzędu Komunikacji Elektronicznej (UKE) podpisał porozumienie z czterema największymi operatorami.

Spoofing to technika ataku przestępców polegająca na podszywaniu się najczęściej pod banki lub inne instytucje finansowe, instytucje państwowe (np. policję), duże firmy (np. telekomunikacyjne), osoby fizyczne (rodzina, znajomi) w celu wprowadzenia w błąd nieświadomych ofiar i wyłudzenia danych umożliwiających dokonanie kradzieży m.in. pieniędzy z konta bankowego.

Porozumienie jest skutkiem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej przyjętej w połowie 2023 r.

Pierwszym z narzędzi wymienionych w dokumencie, które ma zagwarantować większe bezpieczeństwo Polaków, jest obowiązek filtrowania SMS-ów przez operatorów komórkowych. Ma ono działać jak filtry antyspamowe w poczcie elektronicznej.

W to rozwiązanie zaangażowani są cyberspecjaliści z CSIRT NASK (zespołu reagowania na incydenty bezpieczeństwa komputerowego), którzy będą tworzyli bazę wzorców niebezpiecznych wiadomości. Operator komórkowy będzie ją pobierał i po zaimplementowaniu w swoim systemie odfiltrowywał niebezpieczne SMS-y. Obowiązek ten wchodzi w życie w kwietniu.

Drugim istotnym instrumentem jest walka z podszywaniem się pod czyjś numer telefonu. Tu ważnym rozwiązaniem jest tzw. baza DNO (ang. Do-Not-Originate). Przedsiębiorcy będący właścicielami numerów telefonów, tacy jak m.in. banki, będą mogli zgłosić do UKE swoje numery, które służą tylko do odbierania połączeń, a nie do ich wykonywania. Jeżeli operator zauważy, że do jego sieci przychodzi połączenie prezentujące się numerem z bazy DNO, wtedy będzie je od razu blokował.

Wniosek o wpis numeru do bazy DNO będzie można składać od 25 marca, a operatorzy będą musieli wdrożyć u siebie to rozwiązanie do września, podano w materiale. Bazę prowadzi UKE.

„Porozumienie określa techniczne rozwiązanie tzw. 'bezpiecznej zatoki’, unikatowe w skali globalnej. Pozwoli ono na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy  mamy do czynienia z próbą podszycia się pod inną osobę lub organizację. Jeśli weryfikacja wykaże, że zachodzi przypadek CLI spoofingu, to połączenie zostanie albo odrzucone, albo zestawione, ale bez prezentacji numeru dzwoniącego (czyli na ekranie odbiorcy pokaże się napis 'Numer nieznany’)” – podano w komunikacie.