Nowy obowiązek przedsiębiorców telekomunikacyjnych – wymiana informacji o smishingu w ramach nowego systemu

W ramach kolejnego już etapu wdrażania rozwiązań związanych z Ustawą z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703) dnia 16 stycznia 2024 r. uruchomiono system wymiany informacji o smishingu, który może stanowić istotną pomoc w zwalczaniu incydentów „oszukańczych wiadomości”. Przedsiębiorcy telekomunikacyjni powinni zatem niezwłocznie zawnioskować o dostęp do systemu – tylko w ten sposób możliwe będzie wykonywanie przez nich ustawowych obowiązków.

 

Smishing jest nadużyciem w komunikacji elektronicznej polegającym na wysyłaniu wiadomości SMS, w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy do określonego zachowania, w szczególności do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, zainicjowania połączenia głosowego lub instalacji oprogramowania. Incydenty smishingu stanowią w ostatnich latach prawdziwą plagę zwłaszcza w kontekście wyłudzania danych osobowych.

 

Nowe obowiązki nałożone na przedsiębiorców telekomunikacyjnych w związku z działaniem systemu wymiany informacji mają ograniczyć zarówno liczbę, jak i skuteczność takich działań. Podmioty zaangażowane w system za pomocą udostępnionej platformy będą na bieżąco informowane o wzorcach wiadomości, które noszą znamiona smishingu, jak i same będą mogły zgłaszać podejrzane treści wiadomości SMS. Operatorzy będą w obowiązku niezwłocznie blokować wiadomości zgodne z wzorcem za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację.

 

Funkcjonowanie systemu i tworzenie wzorców wiadomości smishingowych zapewnia CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową (NASK) – Państwowy Instytut Badawczy. W 2018 r. obowiązki CSIRT NASK wynikające z ustawy o krajowym systemie cyberbezpieczeństwa zostały powierzone zespołowi CERT Polska działającemu w strukturach NASK. Wzorce wiadomości będą tworzone także w oparciu o zgłoszenia abonentów dokonywane na numer 8080, obsługiwane przez CERT Polska.

 

Dostęp do systemu zapewniony będzie Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym. Już od 25 marca 2024 r. przedsiębiorcy podłączeni do systemu będą mieli obowiązek blokować fałszywe SMS zgodnie ze wzorcem fałszywej wiadomości przekazanej przez CSIRT NASK.

 

Więcej informacji o systemie wymiany informacji można znaleźć na stronie służącej do logowania do systemu: https://telegraf.cert.pl/, jak i pod adresem mailowym telegraf@cert.pl. Na wskazany adres należy również kierować prośby o udzielenie dostępu do systemu przedsiębiorcom telekomunikacyjnym. Jak już wspominano, korzystanie z systemu jest obowiązkiem przedsiębiorców telekomunikacyjnych, dlatego zaleca się, by zawnioskowali oni o dostęp niezwłocznie i uzyskali go najpóźniej do 25 marca, kiedy to nowe obowiązki wchodzą w życie.

 

autor: Kinga Michałek, aplikantka radcowska