Как операторы, банки и сервисы защищают данные своих клиентов
О безопасности данных сегодня говорят все, однако, что в реальности сделано для ее обеспечения, понять довольно трудно. В конце ноября, например, был принят закон, вводящий оборотные штрафы за повторные утечки данных. Но бизнес неоднократно предупреждал, что не готов к вступлению этого закона в силу. Все операторы подключились к системе Роскомнадзора «Антифрод» и обязаны блокировать звонки, идущие с подменных номеров. Помимо того, банки с лета обязаны замораживать денежные переводы клиентов, в том случае если получатель денег находится в черном списке ЦБ. Помогут ли эти меры сберечь данные и сбережения пользователей? Какие еще законы необходимо принять, чтобы их защитить? Эти и другие вопросы обсуждали участники совместной конференции «Ведомостей» и «Билайна» «Безопасность клиента на первом месте», прошедшей 19 ноября.
Статистика плачевна: даже по самой консервативной оценке ЦБ, во II квартале 2024 г. мошенники украли 4,8 млрд руб. – максимальный показатель за всю историю наблюдений, говорится в отчетности регулятора об инцидентах информационной безопасности (ИБ). 97,2% от этой суммы приходится на хищения со счетов граждан, а не бизнеса.
При этом количество мошеннических операций во II квартале стало на 14,9% меньше и составило почти 257 000. По данным ЦБ, банки отразили 16,3 млн попыток злоумышленников похитить деньги клиентов на общую сумму 2,3 трлн руб. Количество предотвращенных попыток хищения было почти в 1,5 раза выше, чем в среднем за квартал в предыдущий год.
По данным МВД, в 2024 г. ущерб от действий кибермошенников в России превысит 135 млрд руб. Разница в статистике объясняется несколькими факторами – и в первую очередь тем, что банки зачастую не определяют транзакцию как мошенническую по формальным признакам. Помимо того, МВД включает в свою статистику более широкий круг преступлений, а не только те, что были совершены телефонными мошенниками.
Банки и операторы пытаются бороться с мошенниками – каждый по-своему и в соответствии с требованиями отраслевых регуляторов. Например, с 25 июля 2024 г. в силу вступили поправки в закон «О национальной платежной системе», в соответствии с которым банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях, иначе банк должен будет вернуть украденные деньги клиенту. По новым нормам операции замораживаются даже в том случае, когда человек настаивает на проведении перевода или пытается совершить его повторно в течение двухдневного периода охлаждения.
Министерство цифрового развития планирует создать базу биометрических данных, включающую образцы голосов телефонных мошенников, сообщил в ходе конференции министр Максут Шадаев. Источник «Ведомостей», близкий к Минцифры, уточнял, что такие биометрические данные будут передаваться в МВД только при соблюдении определенных условий. Для этого абонент должен подать заявление о преступлении, а у оператора должна быть запись разговора с предполагаемым злоумышленником. С согласия абонента эта запись будет передана в рамках оперативно-розыскных мероприятий.
Сейчас записи голосового трафика ведутся в соответствии с требованиями «закона Яровой», принятого в 2016 г. Возможность использовать эти записи для борьбы с телефонным мошенничеством будет закреплена в отдельном законопроекте, объяснял собеседник. Но этого недостаточно. Сейчас по поручению президента цифровая трансформация сосредоточена на двух ключевых задачах, напомнил Шадаев. Первая – снижение уровня кибермошенничества. По его словам, «в явном виде это было поставлено как приоритет очень высокого уровня». Вторая задача – обеспечение стабильности работы цифровой инфраструктуры, напомнил Шадаев. «Эта задача очень амбициозная и сложная», – подчеркнул он, выразив надежду на поддержку профессионалов, которые смогут помочь в достижении поставленных целей в ближайшие 1–2 года.
Участники конференции много говорили и о том, с какими новыми угрозами предстоит столкнуться рынку. Более 100 моделей генеративного ИИ, которые сейчас располагаются в открытых репозиториях, содержат закладки. В открытых источниках содержится информация более чем о 500 библиотеках, которые использовались в разработке ИИ. Каждая из них содержит уязвимости.
«Мы уже наблюдаем активное использование ИИ для создания поддельной биометрической информации, и в 2025 г. массовое применение голосовых дипфейков станет реальной угрозой», – отметил директор департамента расследований T.Hunter Игорь Бедеров. По его словам, также продолжится увеличение числа фальшивых запросов, отправляемых с поддельных адресов, имитирующих электронные ящики госорганов. Еще одной тенденцией станет мошенничество через фальшивые подписки на приложения и сервисы, а введение штрафов и уголовной ответственности за незаконную обработку данных только усилит интерес злоумышленников к новым схемам.
Бедеров подчеркнул, что ужесточение санкций за утечки данных, а также растущая волна хакерских атак, вызванных текущей геополитической обстановкой, могут привести к попыткам скрыть инциденты. «Это чревато не только потерей доверия клиентов, но и увеличением давления со стороны регуляторов», – добавил он.
Ранее эксперт рассказал о том, почему следует отказаться от сервисов Google.
Читать статью в полной версии «Ведомости»