Безопасные связи: как операторы, банки и сервисы защищают данные своих клиентов

О безопасности данных сегодня говорят все, однако, что в реальности сделано для ее обеспечения, понять довольно трудно. В конце ноября, например, был принят закон, вводящий оборотные штрафы за повторные утечки данных. Но бизнес неоднократно предупреждал, что не готов к вступлению этого закона в силу. Все операторы подключились к системе Роскомнадзора «Антифрод» и обязаны блокировать звонки, идущие с подменных номеров. Помимо того, банки с лета обязаны замораживать денежные переводы клиентов, в том случае если получатель денег находится в черном списке ЦБ. Помогут ли эти меры сберечь данные и сбережения пользователей? Какие еще законы необходимо принять, чтобы их защитить? Эти и другие вопросы обсуждали участники совместной конференции «Ведомостей» и «Билайна» «Безопасность клиента на первом месте», прошедшей 19 ноября.

– Александр Дмитриевич, здравствуйте. Вас беспокоит страховой фонд.

– Вы в автосервис звоните.

– Касательно вашего страхового полиса. Вам необходимо забрать ваш новый страховой полис.

– Вы звоните в автосервис. Вам какие услуги требуются?

– Автосервис? Замечательно. Можно машину заказать?

– Можно. Приезжайте.

– Замечательно. Какую? Какая у вас есть?

– У нас «уазик».

– «Уазик – и все? А почему такой маленький выбор?

– Такой у нас сервис.

Было бы здорово, если бы так заканчивались все диалоги с мошенниками. Но, к сожалению, это далеко не так. Статистика плачевна: даже по самой консервативной оценке ЦБ, во II квартале 2024 г. мошенники украли 4,8 млрд руб. – максимальный показатель за всю историю наблюдений, говорится в отчетности регулятора об инцидентах информационной безопасности (ИБ). 97,2% от этой суммы приходится на хищения со счетов граждан, а не бизнеса.

При этом количество мошеннических операций во II квартале стало на 14,9% меньше и составило почти 257 000. По данным ЦБ, банки отразили 16,3 млн попыток злоумышленников похитить деньги клиентов на общую сумму 2,3 трлн руб. Количество предотвращенных попыток хищения было почти в 1,5 раза выше, чем в среднем за квартал в предыдущий год.

По данным МВД, в 2024 г. ущерб от действий кибермошенников в России превысит 135 млрд руб. Разница в статистике объясняется несколькими факторами – и в первую очередь тем, что банки зачастую не определяют транзакцию как мошенническую по формальным признакам. Помимо того, МВД включает в свою статистику более широкий круг преступлений, а не только те, что были совершены телефонными мошенниками.

Банки и операторы пытаются бороться с мошенниками – каждый по-своему и в соответствии с требованиями отраслевых регуляторов. Например, с 25 июля 2024 г. в силу вступили поправки в закон «О национальной платежной системе», в соответствии с которым банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях, иначе банк должен будет вернуть украденные деньги клиенту. По новым нормам операции замораживаются даже в том случае, когда человек настаивает на проведении перевода или пытается совершить его повторно в течение двухдневного периода охлаждения.

Министерство цифрового развития планирует создать базу биометрических данных, включающую образцы голосов телефонных мошенников, сообщил в ходе конференции министр Максут Шадаев. Источник «Ведомостей», близкий к Минцифры, уточнял, что такие биометрические данные будут передаваться в МВД только при соблюдении определенных условий. Для этого абонент должен подать заявление о преступлении, а у оператора должна быть запись разговора с предполагаемым злоумышленником. С согласия абонента эта запись будет передана в рамках оперативно-розыскных мероприятий.

Сейчас записи голосового трафика ведутся в соответствии с требованиями «закона Яровой», принятого в 2016 г. Возможность использовать эти записи для борьбы с телефонным мошенничеством будет закреплена в отдельном законопроекте, объяснял собеседник. Но этого недостаточно. Сейчас по поручению президента цифровая трансформация сосредоточена на двух ключевых задачах, напомнил Шадаев. Первая – снижение уровня кибермошенничества. По его словам, «в явном виде это было поставлено как приоритет очень высокого уровня». Вторая задача – обеспечение стабильности работы цифровой инфраструктуры, напомнил Шадаев. «Эта задача очень амбициозная и сложная», – подчеркнул он, выразив надежду на поддержку профессионалов, которые смогут помочь в достижении поставленных целей в ближайшие 1–2 года.

Все утекло до нас

В свою очередь, президент «Ростелекома» Михаил Осеевский в ходе конференции отметил, что за последние полгода системно ничего не было сделано для безопасности клиента. «Весной на телекомфоруме «Ведомостей» мы говорили о том, что, конечно, необходим некий коллегиальный орган, в который вошли бы представители Центрального банка, банковского сообщества, операторов связи. Я по-прежнему искренне считаю, что нам необходим совещательный орган экспертов, для того чтобы мы могли быстро, организованно и технически работать на эти [мошеннические] вызовы», – заявил он.

Персональные данные всех россиян уже утекли, напомнил Осеевский. «Если мы зайдем в даркнет, то там есть консолидированная украинскими спецслужбами или хакерами информация по каждому из нас. Я просил моих коллег, которые занимаются кибербезопасностью, проверить информацию о себе. Там есть все: СНИЛС, телефон, адрес – в общем, весь набор. И это, конечно, создает возможность для различных способов проникновения в нашу жизнь», – рассуждал Осеевский в своем выступлении.

По его мнению, в России чрезмерно большое количество компаний являются операторами персональных данных. «Мне кажется, что назрел вопрос, когда эта информация [на сайте «Госуслуг»] должна быть централизована, хотя бы в ограниченном количестве мест, которые можно нормально защитить, и юридические лица или государственные органы смогут и хранить эту информацию, и нести за нее ответственность», – резюмировал президент «Ростелекома».

Сейчас во всех поручениях президента рядом со словами «обеспечить оборот данных», «максимально использовать искусственный интеллект» (ИИ) всегда находится фраза «при обеспечении адекватных мер защиты данных», подчеркнул заместитель министра цифрового развития, связи и массовых коммуникаций Александр Шойтов. «Это, очевидно, будет приоритетом государства. Новые технологии, новые сервисы цифровизации мы не остановим ни здесь, ни в мире, никто этого делать не планирует. Поэтому необходимо делать универсальные, простые и недорогие меры для защиты данных. В новом нацпроекте «Экономика данных» противодействию мошенничеству будет уделено большое внимание», – добавил он.

Есть еще одна мера, в которой государство, крупные компании в области ИБ, банки и другие участники отрасли продолжают работать – речь идет про кибергигиену и повышение собственной грамотности, отметил Шойтов. «С одной стороны, каждый гражданин сам должен подробно разобраться в тех рисках, которые эти сервисы потенциально могут нести. С другой – такие сервисы должны создаваться так, чтобы максимально исключить потенциальные риски», – пояснил он.

В конечном счете вопрос возможности развития бизнеса сводится к тому, насколько качественно он сможет защитить данные своих пользователей, отметил директор по ИБ Wildberries Андрей Иванов. «Чтобы люди пользовались маркетплейсом, они должны ему доверять. Если человек приходит и понимает, что его могут обмануть или что-то пойдет не так, он скорее уйдет», – сказал он.

Новая угроза

Участники конференции много говорили и о том, с какими новыми угрозами предстоит столкнуться рынку. Директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов отметил, что 62% компаний, которые используют ИИ и разрабатывают его, используют уязвимые библиотеки. «Более 100 моделей генеративного ИИ, которые сейчас располагаются в открытых репозиториях, содержат закладки. В открытых источниках содержится информация более чем о 500 библиотеках, которые использовались в разработке ИИ. Каждая из них содержит уязвимости», – добавил Иванов.

«Мы уже наблюдаем активное использование ИИ для создания поддельной биометрической информации, и в 2025 г. массовое применение голосовых дипфейков станет реальной угрозой», – отметил директор департамента расследований T.Hunter Игорь Бедеров. По его словам, также продолжится увеличение числа фальшивых запросов, отправляемых с поддельных адресов, имитирующих электронные ящики госорганов. Еще одной тенденцией станет мошенничество через фальшивые подписки на приложения и сервисы, а введение штрафов и уголовной ответственности за незаконную обработку данных только усилит интерес злоумышленников к новым схемам.

Бедеров подчеркнул, что ужесточение санкций за утечки данных, а также растущая волна хакерских атак, вызванных текущей геополитической обстановкой, могут привести к попыткам скрыть инциденты. «Это чревато не только потерей доверия клиентов, но и увеличением давления со стороны регуляторов», – добавил он.

Использование ChatGPT также несет большие риски, продолжил Антон Иванов. «В даркнете за $10 можно приобрести порядка 15–20 украденных в ChatGPT аккаунтов, в которых сохранена вся история общения, включая загруженные данные. Сотрудники компании загружают туда в том числе конфиденциальную информацию и информацию, которая содержит персональные данные клиентов», – рассказал он.

«Заокеанские» компании в сфере ИБ уже два года занимаются изучением безопасности ИИ, и у них уже есть готовые метрики для разработчиков и компаний, которые его внедряют, добавил Иванов. «Все это позволяет оценить степень безопасности внедрения ИИ. В России пока, к сожалению, таких экспертиз нет», – резюмировал он.

В России тоже осознают важность вопросов безопасности в сфере ИИ. В мае 2024 г. был создан Консорциум исследований информационной безопасности ИИ, напомнил Шойтов. Сейчас в нем 11 участников – разработчики ИИ, ИБ-компании, научные организации, которые рассматривают риски и угрозы, создаются технологические решения для противодействия, и разрабатываются нормативные документы, которые мы будем предлагать регуляторам, под которые уже есть соответствующие технологические решения. Сейчас сформированы пока две рабочие группы и еще две будут до конца года, когда число участников вырастет до 20, отметил замминистра.