Polityka i prawo
Operatorzy o blokowaniu smishingu. „Ocena systemu za jakiś czas”
Od poniedziałku 25 marca operatorzy telekomunikacyjni mają obowiązek blokować tzw. smishing, czyli fałszywe wiadomości SMS, których celem jest oszukanie odbiorców. Większa ochrona, to dla nich także nowe obowiązki. Czy są na nie gotowi?
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej jest bardzo istotna z punktu widzenia nas wszystkich: użytkowników internetu oraz klientów usług telekomunikacyjnych. Regulacje mają bowiem sprawić, że przestępstwa spoofingu, czyli podszywania się pod inną osobę przy połączeniach telefonicznych lub m.in. w wiadomościach mailowych; czy smishingu, polegającym na wysyłaniu wiadomości SMS-owych w celu oszukania ofiary np. z myślą o osiągnięciu korzyści finansowych, zostaną przynajmniej ograniczone.
Jednym z elementów ustawy jest system przeznaczony do wymiany informacji o fałszywych wiadomościach między telekomami a Policją, CSIRT NASK i Prezesem Urzędu Komunikacji Elektronicznej (UKE).
Do 25 marca br. operatorzy telekomunikacyjni mieli czas, aby podłączyć się do wskazanego systemu. Oznacza to automatycznie obowiązek blokowania fałszywych SMS-ów zgodnie z wzorcem fałszywej wiadomości, jakie wcześniej przekazuje NASK.
Czytaj też
Ocena systemu za jakiś czas
Postanowiliśmy zapytać operatorów telekomunikacyjnych, jak z ich punktu widzenia wyglądała dotychczasowa, testowa współpraca w ramach systemu i czy są w pełni gotowi na nowe wyzwania.
Ewa Sankowska-Sieniek z biura prasowego Play (P4) w komentarzu dla CyberDefence24 zaznacza, że mają obowiązek spełniać wymagania ustawowe. „Zakończyliśmy proces wdrażania odpowiednich rozwiązań po naszej stronie i jesteśmy gotowi do realizowania nowych obowiązków we współpracy z NASK” - stwierdza.
Operator nie chce na razie oceniać, czy system w praktyce przełoży się na skuteczną ochronę użytkowników przed smishingiem.
„Skuteczność systemu będziemy w stanie ocenić po pewnym czasie jego funkcjonowania. Wówczas nastąpi realna weryfikacja wdrożonych procesów i rozwiązań, jak również współpracy z NASK i UKE” - przekazała nam Ewa Sankowska-Sieniek.
Czytaj też
Szansa na istotne zwalczanie nadużyć
Podobnie Polkomtel zapewnia, że wypełnia wymagania i obowiązki wynikające z ustawy, ale podkreśla, że trzeba pamiętać, iż jako operator telekomunikacyjny blokuje to, co jest wskazane przez CSIRT NASK.
„Zastosowane rozwiązanie techniczne pozwala na dość skuteczne zwalczanie niechcianych, bądź fałszywych wiadomości SMS, jednak trzeba pamiętać, że kluczem do sukcesu jest działanie CSIRT NASK, bowiem to na tej instytucji spoczywa obowiązek stworzenia listy wzorców blokowanych wiadomości czy też wykazu instytucji o nazwie zastrzeżonej” - przekazał nam Arkadiusz Majewski, starszy specjalista ds. promocji i public relations z firmy Polkomtel.
Na nasze pytanie, czy zdaniem spółki stworzony system teleinformatyczny, służący do przekazywania informacji pomiędzy poszczególnymi podmiotami, może być skuteczny, usłyszeliśmy, że narzędzia, których używają (operatorzy) dają szansę na istotne zwalczanie tego rodzaju nadużyć (smishingu).
„Natomiast ocena ich skuteczności będzie możliwa dopiero po zebraniu pierwszych doświadczeń z praktycznego funkcjonowania mechanizmu i analizie danych. Zapewne będzie to możliwe za jakiś czas i dopiero wówczas będziemy mogli powiedzieć więcej na ten temat” - wypowiedział się Arkadiusz Majewski.
Czytaj też
System już pozwoli na zmniejszenie liczby oszustw
T-Mobile Polska podkreśla z kolei, że aktywnie walczy z takimi zjawiskami jak smishing, a obecnie będzie to realizować we współpracy z innymi operatorami, NASK-iem oraz UKE, „by stworzyć skuteczny mechanizm przeciwdziałania zagrożeniu”.
Jak przypomina Katarzyna Sosnowska z Departamentu Komunikacji Korporacyjnej firmy, oficjalnie System NASK przeznaczony do wymiany informacji został uruchomiony w styczniu 2024 roku, ale już wcześniej mieli prowadzić intensywne prace nad jego wdrożeniem.
„Od początku tego roku testujemy i doskonalimy to rozwiązanie, tak, by było ono jak najbardziej efektywne i skutecznie zapobiegało tego rodzaju zagrożeniom. Nowym obowiązkiem, jaki wynika z wdrożenia systemu, jest konieczność posiadania wysokowydajnego narzędzia do automatycznej analizy, mającego na celu ochronę klientów przed tego rodzaju wyłudzeniami” - zaznaczyła.
Zdaniem spółki, wdrażany system już teraz pozwoli zmniejszyć zagrożenie związane z wysyłką szkodliwych SMS. „Z czasem, w miarę dodawania kolejnych wzorów wiadomości, jego skuteczność będzie jeszcze rosnąć. Jesteśmy przekonani, że taka inicjatywa – angażująca wszystkich operatorów, ale też instytucje administracji państwowej – jest najlepszym sposobem na przeciwdziałanie wyłudzeniom. To przełoży się na zwiększenie bezpieczeństwa wszystkich klientów, w tym także klientów T-Mobile” - usłyszeliśmy.
O opinię zapytaliśmy także Orange Polska. Do czasu publikacji artykułu nie otrzymaliśmy jednak żadnej odpowiedzi.
8080. Zapamiętaj ten numer
Użytkownicy sami mogą przyczynić się do „oczyszczania” cyberprzestrzeni poprzez samodzielne zgłaszanie fałszywych wiadomości. CSIRT NASK przyjmuje zgłoszenia pod numerem 8080. Ich wysyłka jest bezpłatna. Dodatkowo oszustwa nadal można zgłaszać także przez formularz internetowy, klikając „przekaż wiadomość”. Eksperci prześlą informację zwrotną dotyczącą namierzonego oszustwa.
CSIRT NASK nadal będzie także prowadził tzw. listę ostrzeżeń przed niebezpiecznymi stronami, których celem było oszukanie użytkownika.
Nowe obowiązki UKE
Z kolei - zgodnie z art. 17 ustawy - od 26 marca Prezes Urzędu Komunikacji Elektronicznej prowadzi jawny wykaz numerów służących wyłącznie do odbierania połączeń głosowych (z jęz. angielskiego Do Not Originate – DNO).
Wnioski o wpis numeru do wykazu DNO mogą składać wyłącznie uprawnione podmioty, takie jak np. banki, oddziały banku zagranicznego, oddziały instytucji kredytowej czy Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa (pełna lista znajduje się tutaj).
Oznaczać to będzie, że podmioty wpisane do DNO będą mogły wyłącznie przyjmować połączenia przychodzące, a nie wykonywać wychodzących. Chodzi o to, by uniknąć podszywania się (spofingu) pod wskazane w wykazie UKE instytucje. W ramach oszustw przestępcy często dzwonili do ofiar, odgrywając rolę np. pracownika banku i próbując skłonić je do podania danych wrażliwych.
Trzeba jednak pamiętać, że podstawą działania oszustów jest socjotechnika, dlatego regulacje mogą tylko ograniczyć skalę przestępstw. Przede wszystkim pomoże jednak wiedza i świadomość, które uchronią użytkowników przed niemiłymi „niespodziankami”.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].