Gotowe propozycje regulacji dotyczących ochrony przed phishingiem, trwają prace nad spoofingiem

Podczas konferencji prasowej przedstawicieli KPRM, Urzędu Komunikacji Elektronicznej oraz operatorów telekomunikacyjnych przekazano, że projekt, który pozwoli na skuteczną walkę z phishingiem (o wszystkich jego odmianach pisaliśmy m.in. w tym tekście ) oraz smishingiem zostanie przedstawiony w I kwartale tego roku. Pisaliśmy o tym jako pierwsi na łamach CyberDefence24.pl już kilka tygodni temu.

Podczas spotkania z dziennikarzami Janusz Cieszyński przypomniał, że powszechnie spotykanym – szczególnie w ostatnim czasie - rodzajem phishingu jest smishing – atak na telefony komórkowe i ich użytkowników poprzez SMS-y.

"Wiemy, że takich sytuacji jest naprawdę bardzo dużo. Chodzi o to, że operatorzy chcieliby włączyć się w walkę z phishingiem, ale nie mają narzędzi, które by im prawnie umożliwiały takie działania. Chcemy takie narzędzia wprowadzić" – powiedział, zapowiadając tym samym projekt ustawy.

Cieszyński dodał, że rozwiązania dotyczące phishingu są gotowe, ale do końca pierwszego kwartału „chcą poszerzyć te rozwiązania o te, które mają chronić przed spoofingiem i z takim pakietem do końca pierwszego kwartału >>wyjść na zewnątrz i wrzucić na szybką ścieżkę legislacyjną<<. Chodzi o to, aby tak szybko jak to będzie możliwe, poziom ochrony użytkowników został istotnie podniesiony" – podkreślił minister.

Porozumienie: operatorzy – UKE

Podczas spotkania przedstawiciele administracji sami przyznali, że „przegapili moment, kiedy trzeba było podnieść standardy bezpieczeństwa w kwestii ochrony przed pshishingiem". "Dzisiaj zbieramy tego owoce; gdyby takie działania podjąć kilka lat wcześnie, to myślę, że dzisiaj tej sytuacji by nie było. Ale to jest tylko dla nas motywacja do ciężkiej, wytężonej pracy" – ocenił Cieszyński.

Przypomnijmy, że w listopadzie 2021 roku podpisano dobrowolne porozumienie pomiędzy regulatorem (UKE) a operatorami, o czym prezes UKE dr inż. Jacek Oko mówił w wywiadzie dla CyberDefence24.pl. Były to podwaliny pod tzw. ISAC (Infromation Sharing and Analysis Center - sektorowe centrum z zakresu bezpieczeństwa i integralności szeroko rozumianych sieci telekomunikacyjnych), w ramach którego najwięksi operatorzy mobilni współpracują z UKE, by wypracowywać pożądane na rynku rozwiązania.

W styczniu br. mieli oni rozpocząć prace nad rozwiązaniem problemu phishingu oraz smishingu. Mówił nam o tym już jakiś czas temu także rzecznik UKE, Witold Tomaszewski.

Proponowany schemat działania zwalczania phishingu prezentuje się następująco:

"Pracujemy nad procedurami, by bezpieczeństwo obywateli było zabezpieczone w przypadku tych elementów (zawierających phishing – red.) wrzucanych do >>kosza<<. Nie ma przechowywanych treści wiadomości, przechowywane są tylko koordynaty połączenia" – zaznaczył dr inż. Jacek Oko.

Trwają również prace nad procedurami dotyczącymi phishingu, a teraz rozpoczęły się też prace nad rozwiązaniem problemu spoofingu. "Mamy w ramach porozumienia dyskusję, szukamy analogicznych rozwiązań, czyli prawnych, proceduralnych i systemowych dla rozwiązania problemy spoofingu, który jest równie kłopotliwy albo niebezpieczny, a zdecydowanie trudniejszy do zwalczenia" – zapowiedział prezes UKE.

Cieszyński zaznaczał, że „zwalczanie tego zjawiska nie jest prostą sprawą, a oczekiwanie, by problem rozwiązać z dnia na dzień, jest nierealne”. Natomiast przedstawiciele operatorów na nasze pytanie, jakie jest największe wyzwanie w tej kwestii przyznali, że „nie ma gotowych rozwiązań, po które można sięgnąć, więc trzeba wykazać się zgodną kreatywnością”.

Obecnie - na podstawie istniejącego już porozumienia pomiędzy NASK, operatorami telekomunikacyjnym a Urzędem Komunikacji Elektronicznej - operatorzy blokują wejścia na stronę, które zostały przez NASK zidentyfikowane jako szkodliwe. Właśnie w oparciu o doświadczenia NASK i operatorów mają być teraz budowane podwaliny projektu ustawy, która zwiększy bezpieczeństwo ludzi w sieci.

Jakie regulacje są planowane?

KPRM podaje listę proponowanych zmian legislacyjnych:

· Doprecyzowanie katalogu nadużyć: „Wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania w szczególności przekazania danych osobowych lub instalacji oprogramowania”;

· Dodanie obowiązku dla przedsiębiorcy telekomunikacyjnego zapobiegania nadużyciom w odniesieniu do SMS phishingowych oraz sposobu współpracy z CSIRT NASK, który odpowiedzialny będzie za przygotowanie odpowiednich wzorców wiadomości;

· Operatorzy będą zobowiązani do niezwłocznego blokowania krótkich wiadomości tekstowych (SMS) zawierających treści zawarte przez CSIRT NASK we wzorcu wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich krótkich wiadomości tekstowych (SMS);

· Uprawnienia dla przedsiębiorcy telekomunikacyjnego w zakresie możliwości przetwarzania wiadomości SMS celem wyszukiwania szkodliwych wzorców wiadomości, oraz blokowania wiadomości które pasują do wzorca.

Jak to będzie działać w praktyce?

Jak czytamy, w praktyce będzie do wyglądało następująco: zespół ekspertów ds. cyberbezpieczeństwa w NASK zbiera z różnych źródeł (zgłoszenia od obywateli i zespołów odpowiedzialnych za cyberbezpieczeństwo u operatorów, informacje od organów ścigania) treści złośliwych SMS-ów.

• Na podstawie przekazywanych treści powstawać będą, w formie specjalnych hashów, klastry treści (np. „paczka wstrzymana” „niedopłaty”, „należność”).
• Budowane będą wzorce regularne pokrywające dane klastry.
• Wzorce przed wdrożeniem będą testowane pod kątem „false-positive”-ów i pokrycia danych klastrów.
• Po przetestowaniu wzorce będą umieszczane na liście, którą pobierają operatorzy, UKE oraz Policja.
• Przedsiębiorcy telekomunikacyjni będą przetwarzać wiadomości pod kątem występowania wzorca i ich blokować je w przypadku odnalezienia pasujących do siebie wzorców.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.