Regulacja przeciwko spoofingowi ma trafić do Sejmu po letniej przerwie w obradach. Rząd szykuje też przepisy dotyczące Ubera i podobnych aplikacji.
– Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej skierujemy na posiedzenie rządu albo jeszcze podczas wakacji, albo zaraz po ich zakończeniu – zapowiada Janusz Cieszyński, sekretarz stanu w kancelarii premiera (w jej skład wchodzi resort cyfryzacji) i pełnomocnik rządu ds. cyberbezpieczeństwa. – Chcielibyśmy, aby we wrześniu trafił do Sejmu i jak najszybciej wszedł w życie. Może nawet skrócimy w tym celu vacatio legis – dodaje.
Na celowniku regulacji jest przede wszystkim spoofing i smishing. Pierwszy polega na podszywaniu się pod numery należące do policji, urzędów, banków i podobnych podmiotów lub figurujące na liście kontaktów ofiary. Osoba odbierająca taki telefon sądzi, że rozmawia z kimś, komu może zaufać. W efekcie zostaje naciągnięta lub poinformowana np. o rzekomej chorobie lub śmierci bliskiej osoby. Na podobnej zasadzie działa smishing, z tym że w tym przypadku oszuści podszywają się pod kogoś innego w wiadomości tekstowej. Takie SMS-y przekierowują na oszukujące strony internetowe, zachęcają do przekazania danych osobowych, zrobienia przelewu lub instalacji oprogramowania.
Przedstawiciele kancelarii premiera zaprezentowali wczoraj dziennikarzom podstawowe rozwiązania mające ukrócić takie praktyki.
– Wypracowaliśmy te metody wspólnie z przedstawicielami rynku telekomunikacyjnego i ekspertami z Instytutu Łączności oraz Urzędu Komunikacji Elektronicznej – podkreśla Janusz Cieszyński.
Po uwagach rynku KPRM zmodyfikowała m.in. sposób walki ze spoofingiem. Teraz nazywa się on „bezpieczną zatoką”. – Operatorzy będą się wymieniać informacjami, aby ustalić, że połączenie, które przyszło do jednej sieci, naprawdę wyszło z drugiej. Bez takiego potwierdzenia numer dzwoniącego nie wyświetli się na ekranie telefonu – wyjaśnia minister.
W pierwotnej wersji taki numer – podejrzany o spoofing – miał się wyświetlać z ostrzegawczym znaczkiem. – Dla skuteczności tej metody kluczowa jest współpraca wszystkich operatorów, jeden nie ma ze spoofingiem szans – podkreśla Cieszyński.
W razie braku potwierdzenia, że dane połączenie rzeczywiście wyszło z sieci, z której udaje, że wyszło, operator będzie miał dwie możliwości działania. – W razie pewności lub niemal pewności, że ma do czynienia ze spoofingiem, zablokuje takie połączenie. Natomiast w przypadku wątpliwości zrealizuje je bez identyfikacji numeru dzwoniącego – mówi Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa w KPRM. Odbiorca będzie wtedy mniej podatny na manipulację. – W stu procentach spoofingu nie wyeliminujemy, ale wdrożenie tych zasad powinno go znacznie ograniczyć – uważa Marcin Wysocki.
Z technicznego punktu widzenia łatwiej będzie wprowadzić w życie metodę do walki ze smishingiem, czyli publiczną listę ostrzeżeń zawierającą wzory oszukańczych SMS-ów.
– Filtrowanie wiadomości, jak postulowali operatorzy, będzie się odbywało automatycznie – informuje minister Cieszyński. Te zidentyfikowane jako próba oszustwa zostaną zablokowane i trafią do publicznego wykazu prowadzonego przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający w ramach Naukowej i Akademickiej Sieci Komputerowej (CSIRT NASK).
CSIRT NASK prowadzi już podobny wykaz – dla szkodliwych domen. W pierwszym półroczu br. trafiło na nią ponad 19 tys. nazw, a w całym ubiegłym roku 33,8 tys. Z kolei podejrzanych SMS-ów zgłoszono w pierwszym półroczu prawie 66,4 tys., a w ub.r. – 16,7 tys. (od kwietnia). Z tego SMS-ów zawierających niebezpieczny link było odpowiednio 7,3 tys. i 27,2 tys.
Lista ze wzorami złośliwych SMS-ów nie będzie jednak aktualizowana od razu – jak dzieje się to z wykazem domen. Szablony wiadomości trafią na nią po 14–21 dniach od wykrycia (blokowane będą od razu). Jak wyjaśniają przedstawiciele KPRM, jest to kompromis między sugestiami ekspertów, którzy nie chcieli SMS-ów ujawniać, by nie ułatwiać życia przestępcom, a potrzebą zachowania transparentności systemu i uniknięcia obaw o nadużywanie mechanizmu filtrowania. – Podobną drogą planujemy iść w sprawie aplikacji do zamawiania taksówek – zapowiada minister Cieszyński. Chodzi o zwiększenie bezpieczeństwa osób korzystających z przewozów zamawianych na takich platformach jak Uber czy Bolt – szczególnie kobiet. Wiosną tego roku, powołując się na dane policji, media informowały, że do co piątego dokonanego w Warszawie przestępstwa na tle seksualnym dochodzi w taksówkach zamawianych przez aplikację.
KPRM chce zachęcić właścicieli aplikacji do opracowania i wdrożenia metod zwiększających bezpieczeństwo. „Zachętą” będą ustawowe wymagania wobec aplikacji taksówkowych.
– Nie mamy jeszcze projektu regulacji w tej dziedzinie. Przedstawimy go jesienią – mówi Janusz Cieszyński. – Aplikacje tego typu są zaawansowane technologicznie i na pewno znajdzie się sposób wykrywania za ich pomocą podejrzanych zachowań kierowców. Obecnie firmy świadczące takie usługi nie w pełni korzystają ze swoich możliwości – uważa. Jak informuje, odbyły się już pierwsze spotkania z przedstawicielami firm oferujących aplikacje do zamawiania taksówek. Inicjatywę KPRM ma też popierać resort infrastruktury. ©℗
