Правопорядок

В безопасности ли ваши деньги?

В Астане прошел круглый стол «Кибермошенничество в сфере электронных финансовых услуг: причины и следствие», на котором специалисты обсудили злободневную тему, передает Вечерняя Астана.

КАЖДЫЙ ЧЕТВЕРТЫЙ

С вступительным словом выступила председатель Палаты юридических консультантов ADILZANGER Жибек ХАМИТОВА.

— Хочу отметить, что наша палата с момента ее создания в апреле 2019 года занимается деятельностью по защите прав физических и юридических лиц, также мы принимаем активное участие в законотворческой деятельности, поэтому не могли оставить без внимания положение дел в сфере электронных и финансовых услуг. Эта тема действительно живая, касается практически каждого четвертого казахстанца, и юридическое сообщество, являясь активной частью гражданского общества, тоже не осталось в стороне. Практически ежедневно к юристам поступают многочисленные обращения, связанные с мошенничеством в сфере электронных и цифровых услуг, — говорит руководитель.

— Все мы знаем, что в социальных сетях распространено большое количество новых схем, которые придумывают мошенники, но, к сожалению, должны отметить, что уровень защищенности граждан практически не совершенствуется. Такое положение дел буквально обезоруживает юристов, призванных защищать права граждан и практически исчерпавших все возможности, предоставленные нам законодательством. В этой связи мы считаем, что возникла реальная необходимость объединения усилий в целях совершенствования действующих мер защиты.

СХЕМЫ

Как известно, преступная схема оформления кредитов мошенниками начинается с получения доступа к данным граждан. И при этом в большинстве случаев мошенники уже при первом контакте с жертвами знают их персональные данные: фамилия, имя, отчество, ИИН, адреса прописки. О причинах, по которым данные граждан оказываются в ловушке, рассказал эксперт информационной безопасности Алмаз АМИРЗИНОВ.

— Персональные данные — это основа любого мошенничества, если можно так выразиться, потому что именно когда злоумышленник получает информацию о том, кто мы, номер телефона, где живем, это уже открывает дальнейшие шаги к совершению различных неправомерных действий. И это классическая схема, когда звонят нам и произносят наши фамилию, имя, отчество, спрашивают пароли от СМС и так далее. В принципе, персональные данные и их безопасность — это большая проблема не только в Казахстане, но и в мире. Люди имеют регистрации на сайтах, в социальных сетях, наши данные обрабатываются системой электронного правительства. Все эти данные, особенно у компаний, кто аккумулирует большой объем, являются довольно ценным активом, который мало кто хочет терять, все, наоборот, хотят на этом дальше зарабатывать. Мы не можем отказаться от обмена персональными данными, это невозможно. Главное, теперь правильно обеспечить операции, их защиту, — размышляет спикер.

Эксперт информационной безопасности рассказал, как обрабатываются наши данные, когда мы их предоставляем сайту или мобильному приложению.

— Мы зачастую видим то, что отражено на верхушке айсберга, то есть мы ввели в банковское приложение фамилию, имя, то, что еще у нас запросили. Затем большинство компаний и их информационные системы производят еще несколько операций. Есть такой момент, как резервные копии по различным требованиям, и, в принципе, любая более-менее уважающая организация делает их, то есть на всякий случай: случился сбой, потерялись данные, а у нас есть откуда восстановиться. Резервные копии, как правило, хранят также эти данные, потому что это копия основной системы. Есть еще такое понятие, как «тестовая среда» и «среда разработки». Это, по большому счету, тоже копия нашей основной системы, где разработчики, тестировщики обрабатывают какой-то новый функционал. Например, новая функция вышла в банковском приложении, сначала ее должен кто-то разработать. Плюс есть такие моменты, как интегрированные программы, если в плоскости работает финансовая инфраструктура банков, то есть АБС — авторизированная банковская информационная система. Есть к ней еще много дополнительных систем, мобильные приложения, которые часто могут быть выполнены как отдельные приложения. Но эти данные из одной системы в другую перетекают. Ну и есть такой тренд, который уже давно стал актуальным в Казахстане: при анализе персональных данных, нужно понимать, что они могут появляться в других местах. По-хорошему, например, передавая их в тестовую среду, нужно обеспечивать конфиденциальность, то есть в данных о клиентах убирать фамилию, имя, отчество или заменять на какую-то бессмысленную комбинацию букв и цифр, — продолжил Алмаз Амирзинов.

УГРОЗЫ

Среди угроз по владению нашими данными спикер выделил использование их в своих целях сотрудниками компаний, которые имеют доступ. Другой очень важный фактор — большинство людей не читают соглашения и договоры полностью, когда приобретают ту или иную услугу, скачивают обновления на телефон или мобильные приложения.

— Например, при работе с социальными платформами, чтобы получить доступ к приложению, вы должны прочитать очень длинный договор. И, не согласившись со всеми пунктами, система вас дальше просто не пропустит. А психология человека устроена так, что он не будет читать многостраничные бумаги и ему проще нажать кнопку «согласен». А что он подписывает и последствия, куда попадут его данные, даже не будет знать. Точечные, конкретные и короткие уведомления были бы куда эффективнее для людей и понятнее. Это было бы более прозрачно и понятно, — напомнил специалист.

По словам юриста, члена Палаты юридических консультантов ADILZANGER Марины ЛАПТЕВОЙ, причина оформления мошеннических кредитов кроется не только в уязвимости банковских мобильных приложений и недостаточности требований к информационным системам банков, но и в объемах и методах сбора персональных данных самими банками, а также способах подписания согласия на сбор данных, которые существенно отличаются от требований закона о персональных данных и их защите.

— Вступая в отношения с финансовыми институтами, граждане передают, а банки и другие финансовые организации собирают и обрабатывают персональные данные клиентов: наряду с общими персональными данными (Ф.И.О., ИИН, номер телефона, место работы) банки получают от граждан их биометрические данные (в том числе голосовой слепок) и/или иные данные в т. ч. из ГБДФЛ, а также сведения, составляющие налоговую, врачебную (2.16), а также иные виды охраняемой законом тайны. К ней, в соответствии со ст. 144 ГК РК, относятся тайна телефонных разговоров, усыновления, семейная тайна, интимная тайна и т. д. Хочется спросить у банков: как связаны эти данные с получением банковских услуг и почему клиенты должны соглашаться с их трансграничной передачей? При этом у клиента нет никакой информации об уровне защищенности ИС банков, где будут обрабатываться его персональные данные, и тем более нет никакой информации о базах, в том числе других государств, куда они могут быть переданы банком. Такой сбор персональных данных нарушает ст. 14 Закона «О персональных данных и их защите». Сбор банком сведений, составляющих все виды охраняемых законом тайн, является нарушением статьи 18 Конституции РК, гарантирующей каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. Указание в согласиях на право банка распространять персональные данные в общем доступе является своеобразной формой подстраховки на случай утечки их из информационных систем. Очевидно, что ни один пользователь не согласился бы на опубликование персональных данных, включая охраняемые законом тайны, в общедоступных источниках, — разъясняет юрист.

Как отмечает Марина Лаптева, использование банками термина «безотзывное и безусловное» (2.17) также противоречит ст. 8 Закона «О персональных данных и их защите», регламентирующей порядок отзыва согласия на сбор и обработку персональных данных. Если клиент не имеет перед банком неисполненных обязательств, его право на отзыв согласия не может быть ограничено. Отдельное внимание необходимо уделить сбору биометрических данных.

— Огромные риски создают новые технологии идентификации личности в виде голосовой биометрии. Такие новшества уже реализуются АО «Народный банк Казахстана». Так, на его сайте размещена следующая информация: «Голосовая биометрия — технология, используемая для проверки личности человека по его уникальным голосовым характеристикам. Голосовая биометрия использует уникальность вашего голоса, фиксирует множество атрибутов голоса в ходе разговора с оператором, в том числе звук и ритм, обеспечивая надежную безопасность ваших данных по сравнению с другими методами аутентификации», — рассказывает специалист.

— Согласие на сбор голосовой биометрии банк включает в разные формы своих заявлений и договоров вне зависимости от воли клиента, например, в заявление о выпуске и обслуживании банковской карты (2.17). При этом банки умалчивают о рисках голосовой идентификации — возможности создания дипфейков с помощью искусственного интеллекта. Кто и как будет нести ответственность за мошенничество путем голосовой биометрии? Финрегулятор законодательно этот вопрос никак не урегулировал. Более того, имеются примеры, когда при оформлении займа сотрудник банка, предполагая, что звонит клиенту, на самом деле разговаривал с мошенником. Можно только представить, что начнет происходить, когда в полной мере будет включена биометрия. Согласно сведениям Центра судебных экспертиз, фонографической экспертизы для определения дипфейков на сегодняшний день не существует, то есть определить, действительно это ваш голос или сгенерированный искусственным интеллектом, на сегодняшний день невозможно.

ОТВЕТСТВЕННОСТЬ

Свой доклад на тему «Информационная безопасность электронных ресурсов: кто должен нести ответственность?» представила адвокат Елена ИГНАТЕНКО.

— Прежде всего, хочу расставить законодательные акценты на распределении прав и обязанностей банка/МФО и его клиентов с позиции общих норм гражданского законодательства. БАНК: 1) Банковская деятельность является предпринимательской, и поэтому, согласно ст. 10 ГК РК, она должна осуществляться под его имущественную ответственность. 2) Банк, являясь собственником объектов информатизации, обязан, согласно ст. 189 ГК, нести бремя содержания своих ИС путем их поддержания в надлежащем состоянии по тем параметрам, которые требуются законодательством. 3) Об этом же говорится и в пп. 1 п. 2 ст. 17 Закона «Об информатизации»: «Собственник объектов информатизации обязан принимать меры по защите объектов информатизации». ВАЖНО: что к таким объектам наряду с электронными информационнымия, интернет-ресурсами и информационно-коммуникационной инфраструктурой относится и программное обеспечение (п. 4 ст. 1). Согласно постановлению информационной безопасности №48 «Требования к ИБ банкам», приложение — это прикладное программное обеспечение пользователя ИС. Следовательно, и за безопасность мобильных приложений должны отвечать банки и МФО, так как оно входит в общее понятие объектов информатизации, находящихся в их собственности. Тем не менее суды по делам, рассмотренным с моим участием, пришли, как я считаю, к ошибочному выводу о том, что банки не должны обеспечивать информационную безопасность своих мобильных приложений, так как они не входят в банковскую информационную систему, — начала свое выступление адвокат.

Как отмечает специалист, попытка банков в своих внутренних документах переложить ответственность на клиента противоречит законодательству.

— Несоблюдение банками требований по информационной безопасности (далее — ИБ), на мой взгляд, является главной причиной роста мошенничества в сфере электронных финансовых услуг. Этому способствует отсутствие четкого правового регулирования вопросов ИБ банков и жесткого контроля за их соблюдением. Уровень защиты клиентов в системах разных банков на практике является тайной за семью печатями, хотя мы периодически то там, то тут слышим о курьезах ИБ. Так, например, 26 апреля 2023 года АО «Государственная техническая служба» на своем сайте опубликовало информацию о том, что в ходе мониторинга казахстанского сегмента Интернета была обнаружена уязвимость на интернет-ресурсе одного из казахстанских банков второго уровня. В результате неавторизированные пользователи получили доступ к исходному коду веб-приложения, персональной информации о клиентах и сотрудниках банка с паролями от доступа к VPN. Используя эти данные, можно было удаленно присоединиться к внутренней системе банка и самостоятельно провести платеж, получить доступ к финансовым системам либо подменить платежные реквизиты клиентов. Но в предоставлении информации о банке, где была обнаружена данная уязвимость, мне было отказано под предлогом защиты интересов банка, — рассказывает специалист.

Поскольку наиболее распространенной схемой мошенничества является использование программ удаленного доступа, то нам нужно определить, какие требования по ИБ обязывают банк выявлять и блокировать их использование.

— Скажу, что банки-ответчики по моим делам признали, что их антифрод-системы имели соответствующие функции для обнаружения программ удаленного доступа. Такой ответ был дан в отношении мошеннического кредита, оформленного в августе 2023 года. По мнению банков, обнаружение подключения удаленного доступа является лишь основанием для направления кредитной заявки на верификацию, то есть звонок клиенту. После такой верификации, даже если банк видит удаленный доступ, но клиент, обработанный методами социальной инженерии, желая помочь поймать мошенника, подтверждает заявку, банк одобряет ее. Такие действия банки оправдывают тем, что программы удаленного доступа вполне легальные. Но ведь речь идет об установлении договорных отношений между банком и клиентом, поэтому присутствие здесь виртуального третьего, подключенного через удаленный доступ, недопустимо. В противном случае банк не может однозначно установить, кто намерен оформить кредит — клиент или виртуальный помощник. В моем производстве находится дело, когда клиент, поверив мошеннику, что поможет ему отменить кредитную заявку, направил банку в ответ на полученный смс-код с текстом «закрытие кредита». И в выгрузке смс, предоставленной банком, она была отражена как доставленная. Но банк, сведя всю процедуру до машинных алгоритмов, оформил ему кредит, проигнорировав его волю, — делится практикой адвокат.

В рамках круглого стола также обсудили такие темы, как «Использование облачных ЭЦП удостоверяющих центров в контексте свободы договора и равенства его субъектов», «Пути решения проблем интернет-мошенничества через совершенствование законодательства в сфере электронного кредитования», «Защита казахстанского сегмента Интернета как условие для безопасного получения электронных финансовых услуг» и другие.

Статьи по Теме

Back to top button