Rekomendacje dotyczące CLI spoofingu dla małych operatorów
25 lipca 2024
Rekomendacje dla mniejszych operatorów w kontekście zwalczania CLI spoofingu, czyli podszywania się pod numery telefonów, są ostatnim elementem domykającym ustawowy „pakiet cyberzabezpieczeń” obywateli. Można je już znaleźć w naszym Biuletynie Informacji Publicznej w zakładce Poradniki/Bezpieczeństwo.
Na początku warto przypomnieć, że 28 lipca 2023 r. przyjęto Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Akt ten zawiera szereg instrumentów mających na celu poprawę cyberbezpieczeństwa Polaków, z których najistotniejsze to:
- „bezpieczna zatoka”, czyli techniczne rozwiązanie pozwalające największym operatorom na weryfikację, czy połączenie przychodzące do danej sieci jest identyfikowane prawdziwym numerem, czy zmodyfikowanym, i czy mamy do czynienia z próbą podszywania się pod inną osobę lub organizację;
- baza DNO, czyli lista numerów, na które można się dodzwonić, ale z których nie można nawiązywać połączeń;
- filtrowanie treści SMS-ów na wzór filtru antyspamowego w poczcie elektronicznej.
Szerzej o tych rozwiązaniach można przeczytać we wpisie pt. „Operatorzy wdrożą skuteczne rozwiązania przeciwdziałające podszywaniu się pod numery telefonów. Podpisaliśmy porozumienie”.
„Bezpieczna zatoka” jest zaawansowanym rozwiązaniem otwartym dla wszystkich podmiotów, które obsługują co najmniej 50 tys. abonentów i są gotowe przyjąć na siebie określone zobowiązania techniczne. Dla mniejszych przedsiębiorców telekomunikacyjnych przygotowane zostały z kolei rekomendacje zbieżne z tymi zawartymi w „bezpiecznej zatoce”, określające środki organizacyjne i techniczne służące do zwalczania CLI spoofingu, dostosowane do ich wielkości i możliwości technicznych.
Opublikowane właśnie rekomendacje powstały podczas merytorycznych spotkań (dyskusji i warsztatów) z przedstawicielami izb gospodarczych sektora telekomunikacyjnego. Dokument ten „wykuwał się” w trakcie dyskusji, co z jednej strony dało rozwiązania dające się wdrożyć w praktyce, a z drugiej zagwarantowało wspólne rozumienie zawartych w nich zaleceń. Ich stosowanie może istotnie wpłynąć na wyniki ewentualnej kontroli w przypadkach, kiedy będziemy mieli do czynienia z niewykonaniem albo nienależytym wykonaniem usługi telekomunikacyjnej podczas realizacji przez operatora obowiązków wynikających z art. 16 przedmiotowej ustawy.
W przyszłym roku planujemy dokonanie przeglądu działania zarówno „bezpiecznej zatoki”, jak i opublikowanych właśnie rekomendacji. Oba rozwiązania będą monitorowane i zapewne ewoluowały w czasie, tak jak ewoluują techniki stosowane przez przestępców.
Jacek Oko, Prezes UKE