Przedsiębiorcy telekomunikacyjni muszą przeciwdziałać fałszywym połączeniom telefonicznym

Nowe przepisy zwalczające fałszywe połączenia już obowiązują

Od 26 września 2024 r. przedsiębiorcy telekomunikacyjni muszą aktywnie przeciwdziałać oszustwom telefonicznym, określanym jako CLI spoofing. Jest to skutek ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, jaka ma zmniejszyć liczbę fałszywych połączeń, SMS-ów oraz ograniczyć dostęp do oszukańczych stron internetowych, a tym samym poprawić bezpieczeństwo obywateli.

Chodzi o blokowanie cyberoszustów na poziomie całego kraju. Dzięki nowym przepisom, wszyscy – a zwłaszcza dzieci oraz seniorzy – mają być bezpieczniejsi. To ochrona dla każdego.

Nowe obowiązki operatorów

Zgodnie z ustawą z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (zwaną dalej „Ustawą” lub „UZNKE”), przedsiębiorcy telekomunikacyjni mieli czas od 6 do 12 miesięcy na wdrożenie technologii umożliwiających skuteczne monitorowanie i blokowanie fałszywych połączeń. Teraz, od 26 września 2024 r., są już zobowiązani do stałej analizy ruchu w sieciach telekomunikacyjnych, żeby wyłapywać podejrzane połączenia i chronić użytkowników przed oszustami.

Ustawa nakłada obowiązek na przedsiębiorcę telekomunikacyjnego zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia CLI spoofing. Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu, jest bardzo wysokie bądź wysokie. W pozostałych przypadkach przedsiębiorca telekomunikacyjny powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, iż odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów.

CLI spoofing – co to jest?

CLI spoofing to metoda, w której przestępca dzwoni, podszywając się pod znany numer telefonu, np. bliskiej osoby bądź urzędu. Ofiara myśli, że dzwoni ktoś zaufany, i może zostać nakłoniona do przekazania swoich danych osobowych czy finansowych. W ten sposób dochodzi do wyłudzeń i strat finansowych.

CLI spoofing jest stosowany zarówno przez pojedyncze osoby, jak też zorganizowane grupy przestępcze. Celem takiego ataku mogą być osoby prywatne, instytucje, przedsiębiorstwa oraz organizacje. Jest to szczególne zagrożenie dla użytkowników systemów telekomunikacyjnych na całym świecie, zwłaszcza że ataki wykorzystujące CLI spoofing stają się coraz bardziej wyrafinowane oraz obejmują nowe obszary usług oferowanych przez przedsiębiorstwa telekomunikacyjne i dostawców usług. Istnieje także ryzyko związane z połączeniem CLI spoofing z technologią sztucznej inteligencji, w tym z technologią deepfake.

Przykłady fałszywych połączeń to:

• połączenia przychodzące z zagranicy w sytuacji, gdy telefon znajduje się w Polsce;
• numery niezgodne z polskimi standardami (za dużo bądź za mało cyfr);
• numery alarmowe – służby nigdy nie dzwonią z takich numerów do osób prywatnych.

Czy fałszywe połączenia można całkowicie zablokować?

Jeżeli przedsiębiorca telekomunikacyjny uzna połączenie za podejrzane, może sprawić, że nie zostanie ono wywołane. W razie wątpliwości, numer wyświetli się na telefonie jako „zastrzeżony”, co powinno wzbudzić ostrożność.

 Niestety, ze względu na rozwój technologii oraz różne, ewoluujące modele oszustw, całkowita eliminacja fałszywych połączeń jest niemożliwa. Jednakże nowe rozwiązania znacząco zmniejszają ryzyko. Kluczowa jest niezmiennie edukacja i ostrożność użytkowników.

Co należy robić w przypadku podejrzanego połączenia?

Jeżeli użytkownik ma jakiekolwiek wątpliwości, to natychmiast powinien przerwać rozmowę i oddzwonić na znany numer nadawcy.

Gdzie można zgłaszać oszustwa?

Każde podejrzenie CLI spoofingu można zgłaszać natychmiast do policji lub prokuratury, by wspólnie walczyć z cyberoszustami.

Silniejsza współpraca administracji i operatorów

W lutym 2024 r. Prezes Urzędu Komunikacji Elektronicznej podpisał porozumienie z największymi operatorami sieci telefonii komórkowej w Polsce. Współpraca ta przyniesie wymierne efekty – operatorzy muszą monitorować połączenia oraz podejmować działania na rzecz ochrony obywateli przed oszustwami.

Wysokie kary dla przestępców

Środkiem przymuszającym do wykonywania obowiązków wynikających z ustawy będą administracyjne kary pieniężne. Kary te będzie nakładał Prezes UKE.

Oszuści prowadzący działalność w zakresie telekomunikacji, którzy dopuszczają się CLI spoofingu, mogą zostać ukarani karą pieniężną do 3% swoich rocznych przychodów. Dla pozostałych osób dopuszczających się tego nadużycia przewidziano kary pozbawienia wolności od 3 miesięcy do 5 lat.

Rekomendacje dot. zwalczania CLI spoofing

Rekomendacje dla kogo?

Dla mniejszych przedsiębiorców telekomunikacyjnych zostały opublikowane rekomendacje Prezesa Urzędu Komunikacji Elektronicznej (UKE) dotyczące środków organizacyjnych i technicznych służących monitorowaniu, wykrywaniu oraz wymianie informacji o CLI spoofinga także blokowaniu połączenia głosowego albo ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego.

Rekomendacje UKE określają szczegółowe środki organizacyjne i techniczne służące monitorowaniu, wykrywaniu oraz wymianie informacji na temat CLI spoofing, a także blokowaniu połączeń głosowych lub ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego.

Rekomendacje te skierowane są do przedsiębiorców telekomunikacyjnych, którzy nie zawarli porozumienia określającego szczegółowe środki służące monitorowaniu, wykrywaniu oraz wymianie informacji na temat CLI spoofing oraz blokowaniu połączeń głosowych lub ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego, o których mowa w art. 19 ust. 2 ustawy. Dalej przedstawiono, co z nich wynika.

Przeciwdziałanie CLI spoofing

Możliwość zaistnienia CLI spoofing wynika ze złożoności światowego systemu telekomunikacyjnego, gdzie operatorzy budują i eksploatują swoje sieci zgodnie ze standardami oraz normami zarządzanymi na poziomie organizacji globalnych, takich jak International Telecommunication Union (ITU), 3rd Generation Partnership Project (3GPP), European Telecommunications Standards Institute (ETSI).

Standardy te nie obejmują jednakże rozwiązań bezpieczeństwa, które skutecznie chroniłyby system telekomunikacyjny przed CLI spoofing. Główną przyczyną tego typu oszustw jest niedoskonałość protokołów transmisyjnych, w szczególności możliwość swobodnej zamiany standardów Signaling System 7 (SS7) i Session Initiation Protocol (SIP) oraz niezależność podmiotów odpowiedzialnych za transfer tych połączeń oraz ich wprowadzanie do międzynarodowego systemu telekomunikacyjnego.

Dlatego też istotne jest, żeby przedsiębiorcy telekomunikacyjni współpracowali ze sobą w celu zwalczania CLI spoofing. By to osiągnąć, konieczne jest wprowadzenie jednolitych rozwiązań organizacyjnych i technicznych na poziomie krajowym.

Zdaniem UKE, przeciwdziałanie CLI spoofing powinno obejmować:

• zapewnienie spójności danych dotyczących wykorzystywanej numeracji;
• identyfikację możliwych wektorów ataku;
• monitorowanie zdarzeń wpływających na poziom odporności systemu telekomunikacyjnego;
• eliminację połączeń zidentyfikowanych jako CLI spoofing.

Powyższe działania mają na celu zwiększenie odporności systemu telekomunikacyjnego w Polsce oraz jak największe ograniczenie negatywnego wpływu na międzynarodowy system telekomunikacyjny.

Definicje

Abonent – abonent w rozumieniu art. 2 pkt 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, zwanej dalej „PT”.

CLI spoofing – definicja w rozumieniu art. 3 ust. 1 pkt 3 UZNKE.

Łącze międzynarodowe – infrastruktura techniczna wykorzystywana do zestawienia punktu styku sieci (Punkt Styku Sieci - PSS ‐ to miejsce połączenia sieci operatora do sieci innego operatora, w którym następuje wymiana ruchu telekomunikacyjnego i sygnalizacji międzysieciowej pomiędzy stronami) na potrzeby realizacji połączeń głosowych:

1. w postaci łącza telekomunikacyjnego, którego chociażby jedno z zakończeń zlokalizowane jest poza granicami Rzeczypospolitej Polskiej lub
2. łącząca bezpośrednio (czyli bez udziału operatora realizującego tranzyt połączeń) sieć z siecią operatora, który nie jest wpisany do Rejestru Przedsiębiorców Telekomunikacyjnych (RPT) albo którego główna część telekomunikacyjnej infrastruktury dostępowej lub rdzeniowej znajduje się poza granicami Rzeczypospolitej Polskiej i który zgodnie z umową z przedsiębiorcą telekomunikacyjnym wykorzystuje ten punkt styku do przesyłania połączeń międzynarodowych (tj. zainicjowanych poza granicami Rzeczpospolitej Polskiej nie wykorzystujących numeracji z Planu Numeracji Krajowej i zakańczanych na numerze z Planu Numeracji Krajowej).

Numer krajowy – zgodnie z §2 ust. 1 pkt 7 Planu numeracji krajowej dla publicznych sieci telefonicznych, w których świadczone są publicznie dostępne usługi telefoniczne jest to kombinacja cyfr identyfikująca zakończenie sieci, zawierająca WSN (wskaźnik strefy numeracyjnej) lub WST (wyróżnik sieci) oraz pozostałe cyfry numeru zakończenia sieci. „Plan numeracji krajowej dla publicznych sieci telekomunikacyjnych, w których świadczone są publicznie dostępne usługi telefoniczne” stanowi załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 30 października 2013 r. w sprawie planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, w których świadczone są publicznie dostępne usługi telefoniczne.

Przedsiębiorca telekomunikacyjny – przedsiębiorca telekomunikacyjny w rozumieniu art. 2 pkt 27 PT.

Rozwiązanie organizacyjne i techniczne – spełnienie wszystkich wymagań w zakresie realizacji działań związanych ze stosowaniem środków organizacyjnych i technicznych.

Użytkownik – użytkownik w rozumieniu art. 2 pkt 49 PT.

Użytkownik końcowy – użytkownik końcowy w rozumieniu art. 2 pkt 50 PT.

Inicjowanie połączenia głosowego

W ocenie Urzędu Komunikacji Elektronicznej, przedsiębiorca telekomunikacyjny:

1. jest obowiązany do zapewnienia, że połączenia głosowe inicjowane w jego sieci nie mają znamion CLI spoofing;
2. zapewnia poprawność i wiarygodność numeru inicjującego połączenie głosowe realizowane przez jego użytkownika końcowego;
3. zapewnia, że użytkownik końcowy może zainicjować połącznie głosowe wyłącznie z numeru, który został przydzielony abonentowi w umowie o świadczenie usług telekomunikacyjnych zawartej z tym dostawcą, w szczególności numerów krajowych:

a) przydzielonych w drodze decyzji Prezesa Urzędu Komunikacji Elektronicznej (zgodnie z „Tablicami Zagospodarowania Numeracją” prowadzonymi przez Urząd Komunikacji Elektronicznej: https://numeracja.uke.gov.pl/) przedsiębiorcy telekomunikacyjnemu,

b) udostępnionych lub przeniesionych od innego przedsiębiorcy telekomunikacyjnego (zgodnie z danymi dostępnymi poprzez Platformę Lokalizacyjno-Informacyjną z Centralną Bazą Danych (PLI CBD) prowadzoną przez Urząd Komunikacji Elektronicznej).

Połączenia inicjowane pomiędzy użytkownikami tego samego przedsiębiorcy telekomunikacyjnego wewnątrz sieci przedsiębiorcy telekomunikacyjnego traktuje się jako zaufane.

Odnośnie inicjowania połączenia głosowego wykorzystującego numerację krajową przez użytkownika końcowego przebywającego za granicą, Urząd Komunikacji Elektronicznej wskazał, że połączenie głosowe na numer krajowy nie może być inicjowane poza granicami Polski, z wyjątkiem poniższych sytuacji:

1. jeżeli abonent znajduje się poza terytorium RP i korzysta z abonamentu na usługi telefonii komórkowej przy wykorzystaniu numeru krajowego i łączy się z siecią innego operatora (tzw. roaming) lub
2. w przypadku, gdy ruch może zostać przeniesiony do Polski w sposób, który oznacza, że połączenie głosowe nie przychodzi do Polski za pośrednictwem łączy międzynarodowych.

Ukrywanie identyfikacji numeru połączeń głosowych dla numeracji krajowej w ruchu krajowym

Urząd Komunikacji Elektronicznej zaleca, żeby przedsiębiorca telekomunikacyjny ukrywał identyfikację numeru (w przypadku protokołu: SIP – modyfikacja nagłówka pole priv-value lub Privacy ustawiamy - Privacy: id, user, ISUP – Address Presentation Restricted Indicator - APRI - ustawiamy „presentation restricted”) połączeń głosowych w ruchu krajowym, gdy zachodzi podejrzenie CLI spoofing, w przypadku braku zgodności z bazą numerów przeniesionych, bazą numerów udostępnionych (zgodnie z danymi dostępnymi poprzez Platformę Lokalizacyjno-Informacyjną z Centralną Bazą Danych - PLI CBD- prowadzoną przez Urząd Komunikacji Elektronicznej) i Tablicami Zagospodarowania Numeracji (zgodnie z „Tablicami Zagospodarowania Numeracją” prowadzonymi przez Urząd Komunikacji Elektronicznej: https://numeracja.uke.gov.pl/).

Odnośnie ukrywania identyfikacji numeru dla połączeń głosowych prezentujących się numerami krajowymi kierowanych do kraju przez łącza międzynarodowe Urząd Komunikacji Elektronicznej zaleca, żeby przedsiębiorca telekomunikacyjny ukrywał identyfikację numeru dla połączeń głosowych prezentujących się numerami krajowymi stacjonarnymi, kierowanych do kraju poprzez łącza międzynarodowe.

Blokowanie połączeń głosowych przychodzących z numerów krajowych

W przypadku blokady połączenia należy w komunikacji zwrotnej przesłać następujące kody:

• dla SIP – 403 Forbidden,
• dla ISUP – 21 call rejected.

Urząd Komunikacji Elektronicznej zaleca, żeby przedsiębiorca telekomunikacyjny blokował przychodzące połączenia głosowe w przypadku, gdy numerem wywołującym połączenie jest:

• numer zaczynający się od cyfr AB = 70, 80, 19, 20;
• numer alarmowy 99X i 98X;
• numer HESC (HESC to zharmonizowany europejski numer skrócony o formacie 11x, gdzie x – jedna, dwie, trzy lub cztery cyfry (w tym m.in. 112, oraz inne: 118 xxx, 116 xxx));
• numer dostępu do radiowych sieci przywoławczych (AB=64);
• numer przychodzący nie jest zgodny z obowiązującym rozporządzeniem w sprawie planu numeracji krajowej dla publicznych sieci telekomunikacyjnych.

Przedsiębiorca telekomunikacyjny blokuje numery znajdujące się na wykazie numerów służących wyłącznie do odbierania połączeń głosowych (prowadzonego przez Prezesa UKE, zgodnie z art. 17 ust. 1 UZNKE; wykaz prowadzony jest pod adresem:https://numeracja.uke.gov.pl/pl/orvc_tables).

Zgłaszanie nadużyć

Przedsiębiorca telekomunikacyjny wykrywając zdarzenie mające znamiona CLI spoofing może zgłosić informację o tym zdarzeniu do Urzędu Komunikacji Elektronicznej na adres skrzynki kontaktowej: cli.uke@uke.gov.pl.

Tytuł przekazanej informacji ma następujący format: „CLI spoofing - ”.

Raportowanie

Na potrzeby rozliczalności i sprawozdawczości UKE zaleca, żeby przedsiębiorca telekomunikacyjny był przygotowany do udostępnienia (wzór raportu znajduje się w Biuletynie Informacji Publicznej Prezesa Urzędu Komunikacji Elektronicznej: plik Raport_CLI.xlsx w zakładce: Bezpieczeństwo) następujących informacji:

• zagregowanych dziennych danych o liczbie zrealizowanych połączeń głosowych;
• zagregowanych dziennych danych o liczbie połączeń głosowych, dla których została ukryta identyfikacja numeru wywołującego dla użytkownika końcowego w związku z realizacją obowiązku zwalczania CLI spoofing;
• zagregowanych dziennych danych o liczbie połączeń głosowych, które zostały zablokowane w związku z realizacją obowiązku zwalczania CLI spoofing.

Na potrzeby rozliczalności i sprawozdawczości UKE zaleca, aby przedsiębiorca telekomunikacyjny realizujący tranzyt połączeń głosowych na łączach międzynarodowych był przygotowany do udostępnienia zagregowanych dziennych danych o liczbie połączeń głosowych prezentujących się numerami krajowymi, kierowanych do kraju poprzez łącza międzynarodowe na numery krajowe stacjonarne, jeżeli przedsiębiorca posiada łącza międzynarodowe (dotyczy zarówno połączeń głosowych przychodzących z numerów krajowych stacjonarnych, jak i mobilnych).

Do zapewnienia zdolności do oceny skuteczności rozwiązań stosowanych w walce z CLI spoofing niezbędne jest bowiem zdefiniowanie wskaźników podlegających statystyce. Dane statystyczne agregowane są w związku z realizacją postanowień art. 25 UZNKE oraz na podstawie art. 106 i art. 168 PT, zgodnie z którymi przedsiębiorca telekomunikacyjny jest obowiązany do rejestracji informacji o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku z realizacją walki z CLI spoofing.

Pamiętaj, że:

• CLI spoofing jest to nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu lub poczucia zagrożenia, lub nakłonienia odbiorcy tego połączenia do określonego działania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.

• ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r., poz. 1703, ze zm.);
• ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2024 r. poz. 34, 731 i 834, ze zm.);
• rozporządzenie Ministra Administracji i Cyfryzacji z dnia 30 października 2013 r. w sprawie planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, w których świadczone są publicznie dostępne usługi telefoniczne (Dz.U. z 2023 r., poz. 145, ze zm.).

A.J.
Zespół e-prawnik.pl