- Do końca pierwszego kwartału chcemy wyjść na zewnątrz z pakietem przepisów chroniących obywateli w sieci i wrzucić go na szybką ścieżkę legislacyjną -  powiedział w środę Janusz Cieszyński, sekretarza stanu w Kancelarii Prezesa Rady Ministrów odpowiedzialny za cyfryzację i jednocześnie pełnomocnik rządu ds. cyberbezpieczeństwa.

Chodzi o projekt ustawy umożliwiający w pierwotnym zamyśle zwalczanie tzw. phishingu i smishingu. Jak powiedział Cieszyński, zostanie on uzupełniona o przepisy umożliwiające walkę z głośnym ostatnio spoofingiem. Wcześniej minister zapowiadał, że projekt ustawy zostanie przedstawiony w styczniu.

Spoofing to w uproszczeniu podszywanie się pod inną osobę, firmę lub instytucję z wykorzystaniem jej numeru telefonicznego.

O tej formie zagrożeń zrobiło się głośno, gdy ofiarami stały się osoby znane, głównie politycy i urzędnicy państwowi. Ale nie tylko. W różnych częściach kraju ofiarami były także osoby prywatne. Niektóre poniosły straty materialne: wykonywały polecenia przestępców przekonane, że rozmawiają z członkiem rodziny lub konsultantem bankowym.

Znawcy tematu uważają, że od strony technicznej spoofing to prosta sprawa, ponieważ w infrastrukturze operatorskiej nie wprowadzono rozwiązań blokujących taką możliwość.

„Aby taką rozmowę zestawić wystarczy skorzystać z jednego z wielu internetowych serwisów. Nie będziemy tu podawać ich nazw, ale każdy z nich za niewielką opłatą pozwala wpisać numer osoby, do której chcemy zadzwonić i numer, jakim chcemy się przedstawić. A potem naciska się przycisk “zadzwoń” i tyle” – pisał w styczniu Niebezpiecznik.pl.

Dodawał, że „operatorzy na to pozwalają” i że „Nie wszyscy sprawdzają czy abonent inicjujący połączenie używa numeru, który został mu przypisany”.

Czytaj więcej

Zmasowane cyberataki na instytucje finansowe w Polsce

Tłumaczył też, że „Protokoły w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców i weryfikacji czy danym numerem posługuje się faktycznie jego właściciel (por. SS7).”

Autopromocja
Wyjątkowa okazja

Roczny dostęp do treści rp.pl za pół ceny

KUP TERAZ

- Operatorzy korzystają z rozwiązań z lat 80. i przyszedł najwyższy czas na to, aby pojawiła się „motywacja” do ich ulepszenia ze strony państwa. Jeśli nie zadziałamy, koszty poniesie też rynek, bo spadnie zaufanie do usług – mówił z kolei Janusz Cieszyński w wywiadzie dla Spidersweb.pl.

Telekomy nie zgadzają się jednak z tezą, że zaniechały zmian. Zarówno przedstawiciele administracji, jak i operatorzy zgadzają się natomiast, że trudno natomiast będzie całkowicie wyeliminować to zjawisko. Wymaga to i  inwestycji po stronie operatorów, i zmian w prawie – wynika z przebiegu dzisiejszej konferencji KPRM, Urzędu Komunikacji Elektronicznej i operatorów telekomunikacyjnych.

Przy czym, nawet jeśli operatorzy w Polsce zainwestują, a legislatorzy prawo zmienią, nie będzie gwarancji, że spoofing zniknie.

Zdaniem Piotra Kuriaty, członka zarządu P4, operatora sieci Play, przyczyna spoofingu leży w standaryzacji i potrzebna jest zmiana standardów, według których działają sieci. Operatorzy w Polsce zamierzają taki standard wypracować. - Pracujemy nad tym, jak zabezpieczyć klientów – powiedział Piotr Kuriata.

- Zgodzę się, że to jest kwestia standardów. Myślę, że widzimy dzisiaj, że jako rynek, regulator, rząd, przegapiliśmy moment, gdy trzeba było standardy podnieść. Zbieramy tego owoce.  Gdybyśmy zrobili to kilka lat wcześniej nie byłoby tej sytuacji – powiedział Janusz Cieszyński.

Wojciech Pytel, członek rady nadzorczej Polkomtelu, operatora sieci Plus uważa, że sam standard nie wystarczy: - Potrzebna jest kombinacja standaryzacji i legislacji – zwraca uwagę.

- Wiele lat temu proponowaliśmy przepis, który formalnie zakazywałby podmiany tzw. numeru A – numeru, z którego inicjowane jest połączenie. To wyeliminowałoby spoofing realizowany z kraju. Jako operatorzy mielibyśmy podstawę prawną, by takie połączenia blokować. Nie możemy tego robić ponieważ zgodnie z prawem telekomunikacyjnym, mamy obowiązek realizacji połączenia  – mówi Wojciech Pytel.

Tyle, że – tłumaczy - obecnie 100 procent przypadków podmian numerów następuje poza granicami Polski. Dlatego zablokowanie spoofingu jest obecnie technicznie nieosiągalne.  – Nie możemy mieszać w sieciach innych operatorów – tłumaczy Pytel.

Według niego skuteczna walka ze spoofingiem jest możliwa, jeśli w Unii Europejskiej przyjęty będzie jeden standard obowiązujący wszystkich operatorów. To jednak nie nastąpi szybko.

To nie oznacza, że telekomy w Polsce nie zrobią same nic.  – Pierwsze rozwiązanie pewnie będzie dość szybko, na docelowe trzeba będzie zaczekać  - powiedział Wojciech Pytel.

Janusz Cieszyński wcześniej zapowiadał, że gdy połączenie będzie podejrzane, użytkownik na swoim ekranie zobaczy numer telefonu oznaczony gwiazdką. 

Telekomy nie chcą zdradzić jak duże koszty poniosą w związku z walką ze spoofingiem. - Nie będziemy ujawniać szczegółów ekonomicznych ani technicznych prac, które prowadzimy – powiedział Pytel. Jak tłumaczy, skala inwestycji mogłaby naprowadzić osoby parające się spoofingiem jakie rozwiązanie jest szykowane.

Przedstawiciele telekomów nie kryją, że projekt niesie ze sobą wyzwania. Dla Piotra Kuriaty to skuteczność podejmowanych działań. Witold Drożdż, członek zarządu Orange Polska uważa że wyzwaniem jest też umiejętność wypracowania wspólnego rozwiązania przez operatorów. -  Nie mamy gotowych rozwiązań do których możemy sięgnąć. Wyzwaniem jest więc zgodna kreatywność – mówi.

Administracja i operatorzy są bardziej zaawansowani w pracach nad rozwiązaniem do walki z phishingiem i smishiginem (wiadomościami e-mail i SMS prowokującymi działanie użytkownika umożliwiające przechwycenie newralgicznych danych lub zainfekowanie urządzenia).

Jak poinformował dziś Jacek Oko, prezes UKE, postanowiono, że państwowy NASK włączy się w budowę bazy tzw. wzorców phishingowych, a operatorzy, którzy również budują takie bazy, nie będą dopuszczać do realizacji kampanii z ich wykorzystaniem.

Janusz Cieszyński precyzował, że wysyłka ta będzie blokowana na poziomie infrastruktury, a SMSy nie będą docierały do abonentów. – W przypadku zidentyfikowania takich treści wiadomości wrzucane są do kosza, bez treści, przechowywane są tylko koordynaty połączenia – dopowiadał prezes UKE.

Dodał, że trwają prace nad procedurami potrzebnymi by to rozwiązanie wdrożyć. Zastrzegł, że nie będą one upublicznione, by nie ułatwiać pracy przeciwnikom przy budowie ścieżki omijania tych procedur.

Tu wraca temat „skanowania SMS-ów” przez operatorów telekomunikacyjnych. Wojciech Pytel przypomniał, że aby wyszukać w wiadomości łańcuch wskazany przez NASK, czy zidentyfikowany przez operatora, który trzeba zablokować, operator musi mieć prawo wykonać taką czynność.