Przestępca, który był w stanie pozyskać o kimś informacje i dostać się do jego konta bankowego, z dużą dozą prawdopodobieństwa zdobędzie też dane z dowodu osobistego - mówi Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji.
Niedawno na łamach DGP pisaliśmy o tym, że rząd chce wzmocnić ochronę abonentów przed zjawiskiem wyłudzania duplikatów kart do telefonów komórkowych (tzw. SIM-swappingiem). Organy ścigania na całym świecie alarmują, że ten przestępczy proceder przybiera na sile. Czy faktycznie potrzebna jest interwencja ustawodawcy w tym zakresie?
Proces wymiany karty SIM jest jednym z najczęstszych powodów kontaktu klienta z operatorem telekomunikacyjnym. Średnio w ciągu roku telekomy wymieniają około 4 mln kart SIM. Zazwyczaj wynika to z zaistnienia sytuacji nadzwyczajnej, np. zgubienia, uszkodzenia czy kradzieży telefonu. Każde z tych zdarzeń samo w sobie jest poważną komplikacją w życiu, a odzyskanie kontaktu z bliskimi czy możliwość realizacji zadań zawodowych jest często dla klientów priorytetem. Komplikowanie tego procesu może w znaczący sposób wydłużać lub nawet czasowo uniemożliwiać uzyskanie duplikatu karty SIM setkom tysięcy klientów, podczas gdy skala nadużyć związanych ze SIM-swappingiem to kilkanaście lub kilkadziesiąt przypadków w ciągu roku.
Eksperci przestrzegają, że choć przypadków może być niewiele, to jednak straty finansowe dotkniętych tym procederem abonentów bywają bardzo dotkliwe. Niektórym wyprowadzono z kont setki tysięcy złotych oszczędności.
Pomimo że to nie usługi operatorów, lecz banki i ich usługi są faktycznym celem ataków, to oczywiste jest, że operatorzy stoją po stronie klientów i chronią ich dane. Obecnie telekomy stosują znacznie bardziej restrykcyjne procedury ochrony przed wyłudzeniami wymian kart SIM, niż to było jeszcze 10 lat temu. Wówczas uwierzytelnienie dwuskładnikowe było wyjątkiem od metody używania zwykłego hasła. Jednorazowe hasła wysyłane SMS-em wprowadzone - bez konsultacji z operatorami - przez banki, jako dodatkowe rozwiązania uwierzytelnienia lub autoryzacji, wydawały się świetnym rozwiązaniem. Ale nie dlatego, że takie były, lecz dlatego, że osoby, które na taki pomysł wpadły, nie były najprawdopodobniej w pełni świadome ryzyka wynikającego z takiego procesu albo przeprowadziły analizę ryzyka i doszły do wniosku, że wygoda oraz koszt wykorzystania SMS-ów w porównaniu z poprzednimi rozwiązaniami (np. kart zdrapek, kodów jednorazowych czy tokenów) może być ważniejsze niż ograniczanie ryzyka dla klientów.
Biorąc pod uwagę powyższe, powinniśmy się skupić na tym, jak podnieść poziom bezpieczeństwa autoryzacji transakcji bankowych, a nie jak zabezpieczyć wymianę karty SIM, która jest tylko częścią całego procesu.
Firmy telekomunikacyjne twierdzą, że mają już wdrożone procedury przeciwdziałające wyłudzaniu kart SIM. W praktyce jednak niektórzy pracownicy przymykają oko na te procedury. Czy wprowadzenie ustawowo reguł weryfikacji tożsamości abonentów chcących wymienić kartę SIM poprawiłoby sytuację?
/>
Błąd ludzki nie zostanie wyeliminowany przez wprowadzenie dodatkowych regulacji. Tym bardziej że każda regulacja będzie stanowiła inspirację do poszukiwania rozwiązań, które pozwolą przestępcom ominąć stawiane przed nimi utrudnienia, i spowoduje wytworzenie kolejnych scenariuszy ich działania. Już dzisiaj pracownik, który popełni błąd, jest narażony na kary, łącznie ze zwolnieniem z pracy. A jeśli udowodni mu się współpracę z przestępcą, to w grę wchodzi również odpowiedzialność karna.
Operatorzy stale utrzymują systemy jakości i nadzoru w celu zapewnienia przestrzegania właściwego realizowania procesów wymiany kart SIM. Warto jednak spojrzeć na problem szerzej i zamiast skupiać się jedynie na realizacji wymiany kart przez operatorów - zapytać banki, na wdrożenie jakich dodatkowych zabezpieczeń dla swoich klientów i swoich środków są gotowe. Po stronie operatorów jest gotowość do podjęcia rozmowy o zbudowaniu spójnego systemu podwójnej weryfikacji z wykorzystaniem np. dodatkowego narzędzia, ale odbywać się to może jedynie w formule dialogu, a nie jednostronnego działania banków, jak to było do tej pory.
Przedstawiciele rządu wstępnie zaproponowali, że telekomy mogłyby uzyskać dostęp do Rejestru Dowodów Osobistych w celu skuteczniejszej weryfikacji tożsamości abonentów. Czy to dobre rozwiązanie? A może korzystniejsze byłoby np. zablokowanie możliwości wypłacania środków finansowych przez określony czas po dokonaniu zmiany kart SIM - jak w Mozambiku?
Przestępca, który był w stanie pozyskać dane klienta oraz dostać się do konta bankowego i do jego danych potrzebnych do wymiany karty SIM, z dużą dozą prawdopodobieństwa będzie także w stanie wejść w posiadanie danych z dowodu osobistego, a zakup sfałszowanego, kolekcjonerskiego, dowodu osobistego niestety wciąż nie stanowi problemu.
Odnośnie do czasu realizacji transakcji, jest to pytanie do banków, które są odpowiedzialne za realizacje transakcji, bo konstrukcja umowy rachunku bankowego jasno określa odpowiedzialność banku wobec klienta.
Czy jest możliwe podniesienie bezpieczeństwa funduszy zgromadzonych w bankach? Na pewno. Operatorzy chętnie uczestniczą w pracach prowadzących do wypracowania optymalnych rozwiązań. Być może rozwiązanie podobne do zastosowanego w Mozambiku jest dobre. A może lepszym byłoby zastosowanie dokumentu z warstwą elektroniczną? Bez przeprowadzenia analizy całego procesu od początku do końca nie można tego stwierdzić. Operatorzy zrzeszeni w izbie deklarują gotowość do wzięcia udziału w takiej analizie - jednak jako wsparcie, a nie podmiot współodpowiedzialny.
Rozmawiał Jakub Styczyński
