Законопроект, в который вошло около 20 инициатив, предполагает, в частности, создание единой базы идентификаторов мобильных устройств (IMEI) россиян, создание на портале «Госуслуги» платформы управления согласиями на обработку персональных данных жителей страны, а также запрет на оформление более десяти банковских карт на одного человека. Опрошенные Forbes представители бизнеса оценивают предложенные меры неоднозначно
Новый список
Правительство разместило на портале проектов нормативных правовых актов второй пакет поправок, призванный создать новые инструменты для борьбы с телефонными и кибермошенниками. Он дополняет и расширяет первый пакет мер, принятый в конце марта этого года. Тогда, в частности, были введены самозапреты на кредиты и запрет на использование иностранных мессенджеров госорганами, возможность отказаться от СМС-рассылок и массовых звонков.
О ходе разработки новых мер ранее писал Forbes. Во втором пакете прописана обязанность операторов маркировать все звонки с иностранных сим-карт. Операторы также будут обязаны маркировать и все звонки от юридических лиц и ИП. Абоненты смогут блокировать входящие звонки с иностранных номеров — для этого потребуется установить самозапрет.
Указано также, что восстановить скомпрометированный мошенниками аккаунт на портале «Госуслуги» можно будет лично в МФЦ, а удаленно — при помощи биометрии, банковского приложения или нацмессенджера Max. Правительство определит случаи, в которых можно будет использовать только один из перечисленных способов.
Мобильные операторы должны создать собственные базы IMEI (International Mobile Equipment Identity — международный идентификатор мобильного устройства) своих абонентов и обмениваться сведениями с центральной базой. Обмен, согласно документу, будет бесплатным для всех сторон. Кроме того, прописан запрет на программное изменение IMEI, например с помощью перепрошивки устройства.
Операторы связи, российские мессенджеры, а также провайдеры хостинга, классифайды и соцсети должны будут принимать меры, направленные на предотвращение и пресечение преступлений с использованием интернета и телефонной связи, а также передавать в ГИС «Антифрод» «сведения о признаках совершения противоправных действий».
Кроме того, поправки предполагают создание на портале «Госуслуги» централизованной платформы управления согласиями на обработку персональных данных.
Среди других инициатив — запрет оформлять более десяти банковских карт на одного человека и разработка механизма компенсации гражданам ущерба от действий мошенников. Так, если последние, в случае бездействия оператора связи, украли средства с мобильного счета, то оператор будет должен их возместить. Если же банк даже после предупреждения оператора о подозрительных действиях не принял мер по предотвращению хищения средств злоумышленниками, то возместить ущерб должна будет сама кредитная организация.
Вводится механизм внесудебной оперативной блокировки фишинговых сайтов (так называемых сайтов-зеркал), направленных на обман пользователей и кражу их данных.
Предполагается, что основная часть поправок вступит в силу в марте 2026 года. Forbes опросил бизнес, как он оценивает новые антимошеннические поправки к законодательству.
Знать все устройства
Основной новеллой пакета в сфере связи является введение регулирования IMEI, уверены в Т2. «Это сложная, многоуровневая задача. Потенциально грамотное решение этого вопроса позволит обеспечить более высокий уровень контроля над используемым на сети оборудованием, что позволит выявлять средства, которые задействуют злоумышленники в мошеннических звонках, такие как сим-боксы, виртуальные АТС», — считают в компании. «Мы полагаем важным, что в законопроекте появляется обмен информацией между банками и операторами связи через ГИС «Антифрод», которая будет транслировать участникам рынка обязательные для принятия мер требования», — заявили в «Вымпелкоме» (бренд «билайн»). В «Мегафоне» и МТС отказались от комментариев.
Создание централизованной базы, которая объединяет IMEI и другие данные мобильных абонентов, — «один из оптимальных способов» контролировать появление мошенников и серых сим-карт, а также оперативно их блокировать на сетях сразу всех операторов, считает гендиректор Института исследований интернета Карен Казарян: «Есть осторожная надежда, что реализация этой инициативы будет больше способствовать борьбе с мошенниками, чем первый пакет антифрод-мер». При хорошей реализации второго пакета жителям страны не потребуется ничего делать, а совокупные расходы операторов на доработку своих IT-систем составят всего около 100-150 млн рублей, оценивает эксперт.
Однако если новые правила для идентификаторов мобильных телефонов будут приняты, то сотовые операторы не смогут оказывать услуги связи по телефонам, ввезенным из-за границы (включая поставки по параллельному импорту), рассуждает источник на рынке интернет-торговли. «Это значит, что люди, которые купили такие аппараты, не смогут пользоваться связью. Кроме того, эта мера может создать серьезные проблемы для всего рынка электроники», — считает он.
Центральный реестр идентификации оборудования (Central Equipment Identity Register, CEIR), в котором содержатся идентификаторы мобильных телефонов (IMEI), включает в себя аппаратную часть, обрабатывающую запросы, устройства хранения данных, рабочие места пользователей, а также программное обеспечение, описывает схему одного из решений по созданию единой базы IMEI генеральный директор «Неос» Руфат Велиев. В базе данных реестра, по его словам, может применяться система Tantor, сертифицированная Федеральной службой по техническому и экспортному контролю России (ФСТЭК) на базе PostgrеSQL и другие подобные программы. По словам Велиева, в перечень функционала реестра может войти работа с дополнительными требованиями ФСТЭК по обработке персональных данных согласно закону — например, с обращениями граждан и организаций для приема данных через ЕСИА («Госуслуги»), для регистрации гражданами абонентских устройств, ввезенных в Россию в обход таможенных процедур, и т.п. Для этого предусматривается возможность интеграции реестра с порталом «Госуслуги», информационными системами ФТС и других органов власти. «Запуск решения должен быть поэтапным, с постепенным внедрением интеграции с необходимыми информационными системами и сервисами операторов связи», — полагает Руфат Велиев.
Стоимость создания базы данных IMEI может обойтись бюджету от 50 млн до 250 млн рублей в зависимости от типа используемых серверов, обычных или защищенных, применения облачных решений, наличия сертификатов ФСТЭК, оценивает собеседник Forbes на IT-рынке. Смысл создания базы данных IMEI в том, чтобы каждый смартфон, незаконно ввезенный в Россию, можно было бы превратить в «кирпич», поясняет он. «От серых смартфонов исходит угроза, их могут применять террористы и другие преступники, а отследить такие устройства сложно, об этой проблеме говорят в Минцифры и ФСБ», — говорит он.
«Будет дорабатываться»
Из текста законопроекта непонятно, какие именно меры операторы связи, соцсети, хостинг-провайдеры и классифайды должны принимать для борьбы с мошенниками, какие данные передавать и чем это требование дополняет существующие механизмы СОРМ (системы оперативно-разыскных мероприятий), — сетует Карен Казарян. Правоприменение всего второго пакета антифрод-мер будет в значительной мере зависеть от подзаконных актов, замечает он, добавляя, что в осеннюю сессию Госдума, скорее всего, примет документ, который «будет еще дорабатываться».
В Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter, Центр стратегических разработок, Аналитический центр при правительстве) считают, что в текущей редакции законопроекта платформа управления согласиями через портал «Госуслуги» создает значительные административные и финансовые нагрузки для операторов и государства. Реальная защита граждан от мошенничества «почти не усиливается», добавили в АБД. Для решения этих проблем там предлагают предусмотреть возможность предоставления согласий в различных формах, а также рассмотреть другие основания обработки данных, включая законный интерес. «Сейчас этот институт не подкреплен в достаточной мере нормативно. Что касается платформы согласий, ее следует ограничить конечным перечнем случаев и конкретным набором информации, передаваемой организациями, а внедрение начинать с эксперимента в госструктурах, постепенно расширяя на бизнес», — заключили в АБД.
По мнению источника на рынке интернет-торговли, учитывая огромное количество компаний и процессов, которые они используют, организация такого учета [для управления согласиями на обработку персональных данных] потребует от бизнеса «колоссальных финансовых и трудовых затрат»: «Государству же придется нести огромные расходы на создание, поддержку и администрирование этой мощной IT-инфраструктуры».
Вопрос ответственности
«Полномасштабная защита от мошенников возможна только в случае объединения усилий мобильных операторов и банков — это уже аксиома. Но вопрос соразмерной ответственности пока остается дискуссионным», — отметил представитель Т-Банка. Он добавил, что нести ответственность за непредотвращенное мошенничество должны обе стороны. «Если мобильный оператор сделал на своей стороне все для предотвращения мошенничества, то дальше ответственность за остановку мошенников на основании данных от мобильных операторов и своей антифрод-системы переходит к банку», — подчеркнул он.
Мера по ограничению числа карт может затронуть не только дропперов, но и законопослушных клиентов, считают в Т-Банке. «Учитывая, что инструменты контроля количества карт пока не разработаны, вероятность того, что под ограничение попадут не дропперы, достаточно высокая», — добавили в компании. В Т-Банке считают, что в этой ситуации возможно предпринимать более гибкие меры. Например, разделить карты по категориям (дебетовые, кредитные и др.), а также отдельно учитывать детские карты, которые выпускаются как дополнительные к счету родителя, чтобы ограничения не задели многодетные семьи.
«Не серебряная пуля»
Наиболее действенными мерами из второго антифрод-пакета проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин считает механизмы быстрого взаимодействия операторов и банков через ГИС «Антифрод» и законодательное закрепление способов восстановления доступа на «Госуслугах». «Они решают самые чувствительные для граждан проблемы — потерю денег и блокировку жизненно важного аккаунта», — пояснил эксперт. Также серьезный эффект, по его мнению, даст внесудебная блокировка фишинговых сайтов, которая позволит устранять угрозы без бюрократических задержек.
Менее значимой эксперт считает маркировку иностранных звонков, поскольку злоумышленники давно умеют использовать подмену номеров и IP-телефонию. «Ни одна законодательная мера не будет эффективной без повышения цифровой грамотности населения, — обращает внимание Левкин. — Чем выше уровень осведомленности о приемах социальной инженерии, тем сложнее злоумышленникам добиться результата».
Обязанность владельцев мессенджеров принимать меры к пресечению правонарушений «требует уточнения»: непонятно, какие именно это будут меры, размышляет руководитель аналитического центра Zecurion Владимир Ульянов. Также непонятно, какие сведения о признаках совершения противоправных действий нужно будет передавать в ГИС «Антифрод», добавил он. По мнению Ульянова, это вносит неопределенность, а итоговый перечень мер и передаваемых сведений может существенно повлиять на восприятие всего законопроекта.
Эксперт считает, что требования использовать электронную почту российских сервисов для авторизации в интернете приведет к тому, что части интернет-пользователей придется заводить отдельные почтовые ящики для конкретных ресурсов. «Это усложнит жизнь обычных пользователей, особенно тех, кто на протяжении долгого времени пользовался иностранными сервисами. Также повышается вероятность пересылки сообщений между ящиками, что увеличивает и риски компрометации информации», — добавил он.
Влияние законопроекта будет ограничено отдельными областями, считает Ульянов, призывая не рассматривать инициативы как «серебряную пулю», которая решит все вопросы в плане киберпреступлений. «Злоумышленники продолжат оптимизировать свои схемы, в том числе под влиянием изменений законодательства. Возможно, больше внимания уделят методам социальной инженерии, ведь психология людей не так быстро меняется и остается уязвима перед уловками мошенников», — заключает он.
Кибербездна
Управляющий директор Positive Technologies по работе с госорганами Игорь Алексеев указывает на еще одну меру во втором пакете мер по борьбе с кибермошенниками: предлагается ограничивать доступ к «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для ЭВМ либо позволяющей получить доступ к программам для ЭВМ, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для ЭВМ». Возможность подобного ограничения, по его словам, вызывает «серьезную озабоченность у ИБ-специалистов».
«Основой работы специалистов по любым видам безопасности являются как раз знания об опасностях, с которыми они должны бороться. Чтобы защитить информационный ресурс от действий хакера, специалист должен очень хорошо представлять, в чем именно заключаются эти действия, по каким признакам их можно обнаружить и как им можно помешать, — рассуждает Алексеев. — Именно поэтому организации в области ИБ отслеживают публикации, описывающие техники и тактики нарушителей, сами исследуют их методы и обмениваются полученными знаниями через публикации в научных и специальных изданиях, выступают на профильных конференциях, открытых мастер-классах и т.п.». Публикации, детально описывающие возможные действия нарушителей по взлому информационных систем, можно найти на сайтах профильных коммерческих компаний, образовательных учреждений, научно-исследовательских организаций, научных библиотек, перечисляет топ-менеджер.
«Запретить специалистам доступ к такой информации — это все равно, что запретить токсикологам доступ к описанию поражающих факторов отравляющих веществ. От отравления хлором или синильной кислотой такой «специалист» защитит, но современному противнику ему противопоставить нечего», — резюмирует Алексеев.
В «Яндексе», VK, ГК «Солар», Альфа-банке отказались от комментариев. В Avito не ответили на запрос Forbes.
