«Главная сложность – в комплексности проблемы»

«Главная сложность – в комплексности проблемы»

Собственно самой большой проблемой является то, что в одной точке сошлось несколько факторов, которые в сумме создают широкие возможности для совершения таких преступлений, и при этом ни государство, ни граждане оказались к этому не готовы. Что я имею в виду?

 

СКОЛЬКО ФАКТОРОВ?

Во-первых, за 12 лет действия закона о «О персональных данных» наше государство так и не установило ответственность за утечку этих самых персональных данных. И утечки, естественно, стали массовым явлением: раз ответственности нет, а спрос есть, значит, утечки будут активно использоваться. Причем, чтобы ни говорили банки, основным источником утечек является банковский персонал. Скачать несколько миллионов записей через Интернет никакой хакер не может, информацию явно выносят из недр банка. Злоумышленник, который занимается социальной инженерией, знает не только фамилию, имя и телефон, он знает и о наличии счета, порой знает остаток на счете, а иногда и номер карты, что гораздо больше того, что может стать известным при незлонамеренных утечках. Это первый фактор, стимулирующий рост таких кибер-преступлений.

Во-вторых, в нашей стране фактически нет ответственности за кибер-преступления. Наши суды относятся к ним крайне либерально: ограбить банк с автоматом в руках и вынести 5 миллионов в сумках – это до 15 лет лишения свободы, а вывести из банка 5 миллионов через Интернет – это два года условно. Такая ситуация создает очень благоприятные условия даже для тех, кто изначально, может быть, не был настроен на криминальные действия, но возник большой соблазн и новый легкий способ зарабатывать деньги.

Третья проблема заключается в том, что банки всех нас очень активно подталкивают к онлайн-платежам. Банку это выгодно по ряду причин. Во-первых, это дает колоссальную экономию. Во-вторых, способствует увеличению скорости оборота денежных средств. В-третьих, это эффективный способ простимулировать существенные денежные траты граждан: они ведь не видят реальных денег в своем кошельке, контроль за расходом денежных средств оказывается весьма ослабленным. На эту идею работают, в частности, так называемые экосистемы банков, которые объединяют множество банковских продуктов и услуг. Однако граждане к этому оказались совсем не готовы. По одной простой причине: их никто не учил жить в таких условиях.

Самый простой и эффективный способ борьбы с социальными инженерами известен: попросить звонящего назвать свою фамилию, имя, отчество и должность и сообщить, что я перезвоню ему по официальному телефону банка. На этом разговор заканчивается в 99,99% случаев. Однако  даже таких элементарных вещей люди не знают. А банк почему-то не рассказывает. Впрочем, можно догадаться, почему так: потому что статья 9 закона о национальной платежной системе, которая предусматривает возврат денежных средств при неправомерных действиях, на настоящий момент вообще не работает. Деньги не возвращают, а виноват всегда этот несчастный пользователь банковских услуг.

Кроме того, дистанционные преступления очень эффективны с точки зрения ухода злоумышленника от ответственности. Действительно, никто на месте преступления преступника не поймал, видеокамера преступления не зафиксировала. Не удивительно, что в этот бизнес активно включился криминал, находящийся в местах отбывания наказания. Там, можно сказать, настоящие контакт-центры работают. Но государство с этим явлением почему-то тоже не борется. Интересно, что представители ФСИН каждый год предлагают методы борьбы с мобильными телефонами на зоне, но каждый год там изымается порядка 60 тыс. телефонов, хотя они вообще не должны туда попадать. Но раз они там оказываются, значит, как говорил классик, «это кому-нибудь нужно», кто-то этим системно управляет. Это, видимо, тоже часть криминального бизнеса…

 

ПАЗЛ НАЧИНАЕТ СКЛАДЫВАТЬСЯ

И вот эти все аспекты на практике сложились вместе в течение очень короткого промежутка времени, и в результате появился очень легкий, эффективный и, главное, высокодоходный способ незаконных заработков. А вот государство регулировать эту ситуацию не хочет…

Можно ведь усилить ответственность за утечки персональных данных, скажем, по примеру европейского закона GDPR. Там полагается штраф 10 миллионов евро или 2% оборота за попытку скрыть утечку и 20 миллионов евро, если в этом виноват оператор, допустивший утечку. А у нас? Вспомните, сколько утечек произошло за последние месяцы? И как отреагировали соответствующие банки? Например, банк сделал заявление, что утекшие данные не актуальны, и извинился перед всеми пострадавшими. Это все!

ФАС в декабре опубликовала разъяснения, как надо жаловаться на спам: надо предоставить детализацию переговоров, запись аудио-разговора. Но я же не включаю диктофон каждый раз, когда отвечаю на телефонный звонок. В соответствии с такими правилами, никто не сможет обратиться с официальной жалобой! Значит, государство с этим явлением не борется. Попробуйте подать в полицию заявление о мошенничестве по телефону, над вами просто посмеются.

Вместо этого до конца года в Государственную Думу должен быть внесен законопроект о свободном обороте так называемых обезличенных данных. Изменит ли это ситуацию с социальной инженерией в лучшую сторону? Конечно, нет. От того, что мошенник будет по-прежнему многое знать о человеке, но не сможет его сразу назвать по имени, гражданам сильно легче не станет. А от того, что персональные данные станут рыночным товаром, которым можно будет легально торговать на рынке без согласия субъекта в «фантике» обезличенных данных, ситуация только усугубится.

 

ПАЗЛ СЛОЖИЛСЯ

В результате сложился «пазл»: государство эту сферу не регулирует и не создает условий, ограничивающих возможности преступников, банкам такое состояние очень выгодно и удобно, а граждане недостаточно грамотны.

Главная сложность проблемы в том, что к ней нужно подходить исключительно комплексно, рассматривая одновременно весь набор причин, которые в совокупности привели к нынешнему плачевному состоянию: от отсутствия регулирования в разных сферах до отсутствия усилий по борьбе с этим злом. Частичные меры мало эффективны. Показательный пример. На конференции по персональным данным, где я вел секцию в качестве модератора, представитель Банка России высказал такое мнение: наша главная задача – создать условия, чтобы утекающие данные были не востребованы на рынке. Представляете, сколько нам придется ждать, пока эти данные станут невостребованными, как предлагает наш финансовый регулятор?

Нужно действовать решительно и сразу по всем ключевым направлениям. Во-первых, сильно ужесточить ответственность за утечки, чтобы банкам самим стало невыгодно допускать утечки клиентских баз. Перспектива миллионных штрафов заставит банки поменять отношение к защите этих баз и к действиям сотрудников, которые стоят за этими утечками. Во-вторых, нужно  ужесточить ответственность за онлайн-преступления. Причем, имеет смысл сделать ее гораздо более жесткой, чем за попытку физической кражи, потому что у кибер-преступников – гораздо больше возможностей для совершения преступлений, гораздо больше масштаб преступной деятельности.

И, наконец, государство должно отрегулировать оборот данных, не пускать их в свободное плавание до тех пор, пока не будут продуманы все необходимые механизмы. Яркий пример: заявляется о разработке законопроекта и свободном обращении обезличенных и больших данных, но у нас до сих пор ни в одном законе не дано определения, что такое большие данные. Если же мы не знаем, что именно собираемся регулировать, то как вообще можно говорить о грамотном регулировании?

Только если действовать в этих направлениях одновременно и согласованно, можно рассчитывать на заметные подвижки в части киберпреступности с использованием социальной инженерии. И на этом фоне запустить социальную рекламу для граждан с правилами реакции на «звонок из банка». Скажем, не только таблетки от головной боли рекламировать по телевизору, но и «гигиену» телефонного общения. Правда, Центробанк в лице своего представителя сообщил, что это слишком дорогая затея. И это еще одна задача для государства: продумать, что значит «дорого», когда речь идет о массовых преступлениях против налогоплательщиков в финансовой сфере?

Михаил Емельянников -- Управляющий партнёр (Емельянников, Попова и партнёры)

BIS Journal №1(36)/2020

24 марта, 2020

Смотрите также