Wchodzące w życie przepisy już w najbliższym czasie powinny zmniejszyć liczbę oszukańczych telefonów i wiadomości. Na pełny efekt poczekamy kilka miesięcy.
Gdy na wyświetlaczu telefonu jako dzwoniący lub nadawca wiadomości tekstowej widnieje bank – może być to oszust. W poniedziałek, 25 września, wchodzą w życie przepisy, które powinny to zmienić.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r. poz. 1703; dalej: ustawa) ma zapobiegać m.in. zjawiskom spoofingu i smishingu. Chodzi o podszywanie się pod inne osoby i instytucje zaufania publicznego telefonicznie lub w SMS-ach. Takimi metodami cyberprzestępcy wyłudzają dane osobowe, hasła i pieniądze.
Baza się rozkręca
Aby temu przeciwdziałać, nowa ustawa zobowiązuje przedsiębiorców telekomunikacyjnych do blokowania połączeń z numerów służących wyłącznie do odbierania – czyli takich, które do nas nie dzwonią, jak infolinie banków. Wykaz tych numerów będzie prowadzić Urząd Komunikacji Elektronicznej (UKE). Z kolei SMS-y smishingowe będą przez operatorów blokowane w oparciu o wzorce dostarczane przez krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający w ramach Naukowej i Akademickiej Sieci Komputerowej (CSIRT NASK, zwany też CERT Polska).
W obu przypadkach podstawą skutecznego działania jest więc odpowiednia baza danych. Klaudia Kieliszczyk z wydziału komunikacji UKE zapewnia, że prace nad jej utworzeniem przebiegają zgodnie z ustawowym harmonogramem.
– Na start urząd dysponuje już pewnym zestawem numerów. Teraz wprowadzamy dane, których właścicielami są organy administracji rządowej – wyjaśnia Klaudia Kieliszczyk. Potem baza będzie tworzona na podstawie wniosków składanych przez uprawnione podmioty, np. banki i inne instytucje finansowe, zakłady ubezpieczeń, jednostki sektora finansów publicznych, firmy telekomunikacyjne. Minie więc jeszcze trochę czasu, zanim zestawienie osiągnie pełną funkcjonalność.
Również NASK informuje nas, że system antysmishingowy na wstępie zostanie zasilony już posiadanymi przez zespół wzorcami oszukańczych wiadomości. Od poniedziałku każdy będzie mógł zgłosić podejrzany SMS pod bezpłatny numer 8080. Na pełne przygotowanie bazy NASK ma trzy miesiące.
Oprócz tego zespół będzie prowadził wykaz nazw i ich skrótów zastrzeżonych jako nadpisy (czyli wyświetlające się nazwy nadawców) wiadomości od podmiotów publicznych. Z kolei UKE ma stworzyć zestawienie firm, które są integratorami (pośrednikami) w przesyłaniu usług SMS od podmiotów publicznych. Najczęściej są to wysyłki masowe – np. alerty. Operatorzy będą blokować wiadomości z nadpisem podmiotu publicznego, które nie zostały wysłane przez integratora z wykazu UKE.
Trochę to potrwa
Jednak zanim zaczną to robić, mają jeszcze pół roku na przygotowania. Podobnie jak na włączenie się do przeciwdziałania smishingowi. Za rok zaczną im grozić kary za nieblokowanie spoofingu.
– Jesteśmy gotowi do realizowania obowiązków wynikających z ustawy i nie przewidujemy przeszkód w ich wypełnianiu – deklaruje Katarzyna Tajak-Pietrowska z biura prasowego Play. Dodaje, że rozwiązania ustawowe, które powstały przy współpracy ekspertów rynkowych, są w ocenie spółki korzystne.
Polska Izba Informatyki i Telekomunikacji (PIIT), zrzeszająca m.in. czterech największych operatorów telefonicznych, zapewnia, że jej członkowie „pracują wspólnie z administracją rządową” nad wdrożeniem ustawy.
– Obecnie właściwie wszyscy przedsiębiorcy telekomunikacyjni współpracują ze sobą w zakresie zwalczania nadużyć w komunikacji elektronicznej na zasadach komercyjnych – stwierdza Tomasz Bukowski, ekspert ds. telekomunikacji z Kancelarii Prawnej Media. Ustawa tę współpracę uporządkuje i wzmocni o działania instytucji państwowych. Nasz rozmówca przewiduje, że dzięki temu zmniejszy się czas reakcji rynku na oszustwa – choć to nie nastąpi od razu.
Wielką niewiadomą nowego systemu jest uprawnienie prezesa UKE do wydawania decyzji (nawet ustnych) do natychmiastowego blokowania numerów telefonicznych lub usług w celu ochrony użytkowników przed nadużyciami.
– Konieczne będzie wypracowanie w praktyce odpowiedniego modelu współpracy z UKE w celu wykonywania tych decyzji – wskazuje prawnik.
Z czasem nowy system zwalczania nadużyć będzie się, jego zdaniem, samoczynnie uszczelniał i modyfikował.
Tego samego zdania jest Przemysław Frasunek, ekspert BCC ds. cyberbezpieczeństwa.
– To bardzo dobra inicjatywa. Myślę, że wyeliminuje 95 proc. oszukańczych połączeń i wiadomości tekstowych – ocenia. Wyjaśnia, że te pozostałe 5 proc. przypadków spoofingu i smishingu pewnie przeniknie przez sito zabezpieczeń, bo sieci telefoniczne nie zostały zaprojektowane z myślą o bezpieczeństwie i opierają się na pewnym poziomie zaufania między operatorami.
Według NASK ustawa zlikwiduje spoofing i przyczyni się do znaczącego ograniczenia smishingu. Zmiany powinny być odczuwalne w ciągu najbliższych sześciu miesięcy.
Nie traćmy czujności
Udaremnienie większości ataków dokonywanych przez telefon nie oznacza jednak, że możemy stracić czujność.
– Smishing i spoofing to relatywnie nowe metody oszustwa. Szybko się spopularyzowały, bo są skuteczne. Kiedy ta droga zostanie zamknięta, przestępcy wrócą do częstszego podszywania się w internecie – stwierdza Przemysław Frasunek.
Także PIIT zastrzega, że nie ma idealnie skutecznych rozwiązań, które pozwolą przeciwdziałać każdemu nadużyciu i działaniu przestępców w sieci, bo ci zawsze poszukują nowych metod, w tym socjotechnicznych. I na ogół wprowadzają do sieci nadużycia z innych krajów. ©℗