Telekomy mają blokować wiadomości, w których hakerzy podszywają się pod instytucje publiczne – dowiedział się DGP. Zdaniem ekspertów nie uchroni to jednak w pełni przed cyberzagrożeniami.

Rząd chce zaproponować stworzenie katalogu zastrzeżonych nadpisów dla instytucji publicznych. Operatorzy telekomunikacyjni mieliby obowiązek blokowania SMS-ów, które korzystałyby z nadpisu znajdującego się we wspomnianym katalogu, a wychodzących z innego systemu (tzw. bramki SMS) niż tego zarządzanego przez państwo.
Czym jest nadpis SMS? W skrócie to nazwa nadawcy wiadomości, ułatwiająca abonentom zidentyfikowanie, od kogo pochodzi wiadomość. Z nadpisów korzystają m.in. poczta, firmy kurierskie, ubezpieczalnie czy Rządowe Centrum Bezpieczeństwa (RCB).
Zastrzeżone nadpisy mają zwiększyć bezpieczeństwo rozwiązania zaproponowanego w projekcie nowelizacji ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2017 r. poz. 570 ze zm.) oraz ustawy - Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648 ze zm.). Regulacja ta ma wprowadzić możliwość nieodpłatnego wysyłania SMS-ów m.in. przez organy administracji rządowej, sądy, prokuraturę, samorządy, NFZ, ZUS czy KRUS.
W zależności od potrzeb SMS-y trafią do wszystkich obywateli albo tylko do znajdujących się na określonym obszarze (czyli jak alerty RCB). W sprawach indywidualnych usługa będzie dostępna dla tych, którzy przekażą dane do Rejestru Danych Kontaktowych. Co ważne, każdy będzie mógł zrezygnować z otrzymywania wiadomości.
Komunikacja SMS faktycznie może być przydatna np. w sytuacji zagrożenia. To łatwy i skuteczny sposób na szybkie informowanie wielu osób o ważnych zdarzeniach. Zdaniem ekspertów diabeł tkwi jednak w szczegółach.

Szeroki katalog

Specjaliści zwracają uwagę, że katalog instytucji publicznych, które mają móc wysyłać SMS-y do obywateli, jest zbyt szeroki.
Doktor Michał Nowakowski, counsel w kancelarii Maruta Wachta oraz prezes Polskiej Organizacji Niebankowych Instytucji Płatności, zwraca uwagę, że już dziś cyberprzestępcy próbują wprowadzać obywateli w błąd, podszywając się pod instytucje publiczne oraz renomowane firmy (tzw. smishing).
- Normalizowanie przez rząd sytuacji, w której obywatel może spodziewać się SMS-ów z ważnymi informacjami od szerokiego katalogu instytucji publicznych, może znacząco wzmocnić to zjawisko - uważa Nowakowski.
Tłumaczy, że pomiędzy faktycznymi komunikatami mogą pojawiać się fałszywe wiadomości mające na celu wyłudzanie danych osobowych oraz pieniędzy.
- Nawet świadomy użytkownik może nieopatrznie kliknąć w zawirusowany link z wiadomości, która przyjdzie tuż po komunikacie od instytucji publicznej - wskazuje Nowakowski.
Zbyt szeroki jest też katalog spraw, których mają dotyczyć same SMS-y. Obejmuje on m.in. kwestie dotyczące obronności i bezpieczeństwa państwa, ochrony zdrowia i życia, zabezpieczenia społecznego, organizacji ruchu drogowego, transportu zbiorowego czy spraw związanych z edukacją publiczną (w tym szkolnictwem wyższym).
- Przy prawie 350 podmiotach prowadzących szkolnictwo wyższe łatwo zauważyć, jak pojemna jest choćby tylko ta ostatnia z wymienionych przez projektodawcę kategorii tematycznych - zauważa Piotr Liwszic, prawnik i autor serwisu Judykatura.pl.
- Im szerszy katalog instytucji i tematów do kontaktu, tym bardziej ułatwiamy zadanie cyberprzestępcom - dopowiada dr Michał Nowakowski. Według niego, jeżeli rząd faktycznie chce komunikować się z obywatelami w ważnych celach, to powinien jasno wskazać te cele.

Minimalizowanie ryzyka

Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa, mówi, że rząd dostrzega ryzyko podszywania się pod komunikaty SMS. Jego zdaniem stworzenie listy nadpisów zarezerwowanych dla instytucji publicznych ograniczy jednak ryzyko nadużyć.
Cieszyński podkreśla, że komunikowanie się z obywatelami poprzez SMS-y to rozwiązanie bardzo wygodne.
- Nie bez powodu jest ono powszechnie wykorzystywane przez firmy - przekonuje.
Doktor Michał Nowakowski przyznaje, że zabezpieczenie nadpisów to rozwiązanie godne pochwały, ale problemu nie rozwiąże. Tłumaczy, że cyberprzestępcy zamiast zastosować nadpis np. „Ministerstwo Finansów”, wykorzystają niepoprawne, choć bardzo podobne: „Misterstwo Finansów” albo „Ministerstwo Finansow”.
Janusz Cieszyński podkreśla, że uzupełnieniem tej regulacji jest inny procedowany projekt - o zwalczaniu nadużyć w komunikacji elektronicznej - który opisywaliśmy już na łamach DGP. Przypomnijmy: Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową (CSIRT NASK) ma monitorować występowanie smishingu i tworzyć wzorce wiadomości, które operatorzy telekomunikacyjni będą musieli blokować.
Doktor Michał Nowakowski popiera to rozwiązanie jako minimalizujące zagrożenia ze strony cyberprzestępców. Zastrzega jednak, że jego szczelność raczej nie będzie tak duża, jak byśmy sobie tego życzyli.
- W dobie narzędzi wykorzystujących sztuczną inteligencję cyberprzestępcy będą mogli jednym kliknięciem opracowywać wiele wersji tej samej wiadomości i umykać tym samym blokowanym szablonom SMS - mówi.

A może aplikacja?

Według ekspertów alternatywnym rozwiązaniem do komunikacji z posiadaczami telefonów komórkowych jest wysyłanie powiadomień użytkownikom poprzez aplikację mObywatel.
- Weryfikuje ona tożsamość użytkowników, więc nadawca ma pewność, do kogo śle swoje komunikaty - wskazuje Piotr Liwszic. Dodaje, że nic nie stoi też na przeszkodzie, aby użytkownik mógł wyrazić zgodę na włączenie usługi geolokalizacyjnej, umożliwiającej adresowanie do niego komunikatów istotnych dla danego regionu.
Janusz Cieszyński odpowiada, że rozwój możliwości aplikacji mObywatel jest przesądzony.
- Nie wszyscy z niej jednak korzystają i nie każdy posiada smartfon, który jest niezbędny do jej uruchomienia. Żeby być skutecznym, trzeba więc wykorzystywać różne kanały komunikacji - konkluduje przedstawiciel KPRM.
Do zamknięcia wydania operatorzy sieci Plus oraz T-mobile nie odpowiedzieli na nasze pytania. Orange zasugerowało nam kontakt z Polską Izbą Informatyki i Telekomunikacji. Play deklaruje zaś współpracę z sektorem publicznym w celu zwiększenia bezpieczeństwa usług. ©℗