Введение
В последние две недели февраля появилось множество обзоров нового законопроекта Федерального Закона (пока без номера), внесенного правительством в Госдуму 15 февраля. Рабочее название закона “О создании государственных информационных систем по противодействию правонарушениям (преступлениям), совершаемым с использованием информационно- телекоммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации.”
Часто бывает, что появление каких-то законодательных инициатив приводит к необходимости реконструировать логику законодателя, не всегда достаточно полно отраженную в пояснительных записках к проектам законов, а для этого, возможно, надо заново осмыслить всю экосистему персональных данных, в которую входит и наша компания IDX, предоставляющая услуги удаленного удостоверения личности и верификации персональных данных.
Существенные положения законопроекта
Переводя на бытовой язык название законопроекта, речь в нем идет в первую очередь о создании платформ по борьбе с кибермошенничеством со статусом ГИС, со всеми вытекающими отсюда последствиями. Чем же будут заниматься эти платформы? Вот сокращенный вариант текста законопроекта: одна из двух ГИС (статья 1 законопроекта) будет заниматься “выявлением (жирный шрифт мой —ВБ) информации, распространяемой в целях злоупотребления доверием путем введения в заблуждение …относительно достоверности информации и (или) принадлежности сайта и (или) страницы сайта …, в том числе в связи с использованием доменного имени, сходного до степени смешения с доменным именем, принадлежащим органам государственной власти либо с товарным знаком, фирменным наименованием, … права на которые принадлежат организации, индивидуальному предпринимателю или физическому лицу, и (или) сетевого адреса, и (или) информационной системы, и используемой в том числе для получения неправомерного доступа к принадлежащей таким пользователям информации”. Уф, обожаю юридический гоблдигук.
Еще раз, но по-русски — речь идет о мониторинге противоправной деятельности, основанной на обмане пользователей, введение их в заблуждение именем ресурса, схожим с настоящим, и выуживания у него любых сведений, в том числе персональных данных.
Чем грозит завладение мошенниками вашими персональными данными, видимо, в наше время объяснять уже не надо. Если коротко — грозит спуфингом. Мошенники будут выдавать себя за владельца ПД и получать доступ к его собственности, как в сети (цифровые активы), так и за ее пределами, включая денежные средства и имущество, в том числе, недвижимость.
Вообще-то, использование “липовых” доменных имен, похожих на настоящие, кажется лишь небольшой частью арсенала мошенников по выуживанию (фишингу) ПД у доверчивых или невнимательных граждан, но если такая ГИС будет создана и ФОИВы действительно начнут с ней взаимодействовать, никто не запрещает развивать и другие методы защиты от необозримого множества угроз. Тут же в проекте закона написано, что в случае обнаружения любой информации, распространяемой с нарушением закона (а не только направленной на введение в заблуждение), новая ГИС будет использоваться для информирования уполномоченных органов.
Другая же ГИС (статья 2) будет заниматься противодействием всему тому, что обнаружила первая, тоже через обмен между уполномоченными госорганами и организациями, за исключением обмена информацией о компьютерных атаках и инцидентах, для чего у нас уже есть ГосСОПКА. Конкретно методы противодействия не раскрываются (ну, понятно, мошенники же тоже читают законопроекты), поэтому в контексте законопроекта разница между этими двумя ГИСами пока не очень понятна. Выглядит это как специализированная СМЭВ для борьбы с киберпреступлениями против людей, а не против компьютеров.
Непонятно также, как связана эта вторая ГИС с уже существующей системой “Антифрод”, которую активно внедрял Роскомнадзор и в конце 2023 года отчитался о подключении к ней 500 операторов (из 1.3 тысяч существующих).
Оператором новых ГИС будет, естественно, Минцифры (а кому ж еще?), которое, вероятно, тут же возьмет на постоянный подряд Ростелеком в качестве единственного исполнителя (а кого ж еще?), как это было и есть в случае платформы госуслуг.
Операторы связи будут обязаны взаимодействовать с этими новыми системами.
Взаимодействие с ФОИВами будет происходить тоже понятным образом — чуть что не так, оператор ГИС сообщает прокуратуре и другим “уполномоченным органам” (раньше говорили компетентным органам), а также Банку России для принятия мер реагирования. Банк России в свою очередь сможет и сам обращаться через эти платформы в Генпрокуратуру в соответствии со ст. 6.2 ФЗ №86 “О ЦБ РФ”, которой дополнили закон в самом конце 2024 года. В ней говорится о праве ЦБ РФ следить за законностью на рынке денежных услуг (в том числе страховых!), выявлять финансовые пирамиды и заявлять об этом в Прокуратуру. Вероятно, вновь создаваемые ГИС как раз и будут, в числе прочего, инструментом для исполнения этих новых обязанностей ЦБ РФ.
Из новых вещей отдельным пунктом постановляется, что в системе противодействия будут храниться векторы (коды) Единой биометрической системы, полученные в результате записи голосов мошенников с помощью звукозаписывающих устройств уполномоченных органов, а также номера мошенников и их жертв в телефонной сети общего пользования. Мой комментарий — уже сейчас известны факты использования мошенниками для звонков мессенджеров, в наше время люди со смартфонами не всегда понимают и контролируют, чем они позвонили и чем им позвонили. Возможна ли запись звонка голосом в WhatsApp и Telegram, я все еще не понимаю. Разработчики твердо утверждают, что нет, что не мешает РКН включить прослушивание разговоров в мессенджерах в программу “Антифрод”. Еще год назад в РКН обещали, что смогут прослушивать разговоры в Telegram к 2029 году. Доживет ли до этого времени сам Telegram — бог весть.
Вся оставшаяся часть текста законопроекта после первых двух статей, это длинный перечень изменений, которые надо будет внести в существующие законы. Выглядит это так — название нормативного акта, перечень его статей, а потом формулировка, которую надо внести. Из текста этих формулировок и можно узнать кое-что интересное.
Например, что ФСБ разрешат использовать СМЭВ для оперативно розыскной деятельности. К СМЭВ также подключат полицию, СК, нацгвардию и МЧС.
Работникам банков, операторов связи и всех госорганов запретят пользоваться мессенджерами, принадлежащим иностранным юрлицам или иностранным гражданам, а российскими мессенджерами — только после прохождения идентификации и/или аутентификации в системе ЕСИА. Доступ клиентов к онлайн-банкингу на сайте и в мобильных приложениях предписывается снабдить возможностью дополнительной аутентификации средствами ЕБС. Это довольно иезуитская формулировка — обязан обеспечить возможностью. Для клиента - возможность, а для банка — обязанность. Для этого банкам и операторам придется подключаться к ЕБС, а это, по нашим данным, очень дорогое удовольствие. Если банк еще может это потянуть, то микрофинансовым организациям, которым велено при дистанционном заключении договоров займа применять дополнительную аутентификация с ЕСИА и ЕБС, это будет не по силам. По словам нашего юриста Михаила Тевса “это приведет к закрытию большой доли малых компаний и централизации микрокредитования у крупных игроков”.
В закон “О связи” (ФЗ №126) вносятся изменения, необходимые для усиления борьбы с телефонными мошенниками.
В пояснительной записке к законопроекту говорится, что необходимо урегулировать деятельность операторов связи с использованием виртуальных АТС, а также абонентских терминалов, способных пропускать трафик (SIM-боксов), которые могут использоваться в сочетании с VoIP шлюзами, иногда даже легально, но чаще служат как специализированное оборудование для нелегальных колл-центров, изрядное количество которых было выявлено и закрыто за последние три года. Впрочем, сколько их еще осталось, никому не ведомо.
Пои использовании виртуальных телефонных станций, которыми пользуются уже много лет для обеспечения доступа к сетям общего пользования локальным абонентам, накладываются ограничения в части строгого учета локальных абонентов, заключения с ними договоров, внесения их в ЕСИА и так далее, а кроме того, накладывается запрет программной модификации идентификатора абонента, который отправляется в сеть общего пользования в качестве Caller ID.
Наконец-то законодательно вводится право абонента на отказ от рассылок оператора на мобильные телефоны.
Вводится обязательное требование информирования абонентов об источнике звонка в случае массовых обзвонов юридическими лицами (маркирование входящих звонков). Это накладывает соответствующие обязательства как на операторов сети, в которой звонки инициируются, так и сети, в которой они терминируются. Таким образом, есть кому предъявить претензии, если входящие звонки массовых обзвонов оказываются не маркированы. Можно теперь также просто отказаться от массовых обзвонов. Жалобу на невыполнение своего требования можно будет подать прямо на портале госуслуг.
Обязательна будет также маркировка звонков из сетей иностранных операторов, и абоненты могу запретить звонки из этих сетей. Имеются данные о том, что многие нелегальные колл-центры располагаются за пределами РФ.
Чтобы предотвратить заключение мошенниками фиктивных договоров на оказание услуг связи от имени ничего не подозревающего абонента, теперь можно наложить запрет на заключение таких договоров, либо на портале госуслуг, либо при личной явке в МФЦ.
Органам, осуществляющим оперативно-розыскную деятельность дается право требования отключать абонентов, если установлено несоответствие персональных данных фактических пользователей с указанными в договорах на оказание услуг связи, и в случае других нарушений тоже, например, поступления вызовов с российскими идентификаторами вызывающих абонентов из присоединенной сети иностранного оператора.
Чтобы затруднить мошенникам обычный сценарий разговора с жертвой обмана по телефону с одновременным приходом текстовых сообщений для выуживания кодов доступа, теперь предлагается это запретить. Смски будут доставлены только после завершения голосового соединения. Это даст жертве обмана больше времени для осознания своих действий.
Так же, как и в случае “Закона о связи”, все владельцы социальных сетей, мессенджеров, маркетплейсов, сайтов частных объявлений, одним словом все владельцы информационных ресурсов будут обязаны взаимодействовать с новыми платформами противодействия киберпреступлениям.
Влияние на сложившуюся практику работы с ПД
Теперь посмотрим, как все эти новации меняют ландшафт кибербезопасности вообще и практики работы с персональными данными в частности.
ID-сервисы
Первое, что бросается в глаза — продвижение платформы госуслуг в качестве ID-сервиса (SSO) и ЕСИА в качестве сервиса аутентификации. Да, легко обязать силовиков, сотрудников госорганов, банков и других государевых людей пользоваться этими государственными сервисами идентификации и аутентификации. Неясно, как можно принудить пока еще независимых владельцев информационных ресурсов и их клиентов к такой обязаловке.
Если кто не заметил, в последнее время значительно обострилась конкуренция среди провайдеров ID-сервисов, отличных от платформы госуслуг. Да, использовать самые распространенные в мире Apple ID и Google эккаунты в наше время не самая удачная идея. Но есть же Yandex ID, Сбер ID, ВТБ ID, MTS ID, Mobile ID Билайна и другие, и все они активно продвигают услуги SSO не только внутри своих экосистем, предлагая регистрацию со своим ID на всех партнерских ресурсах, но и за их пределами. Сбер в своих презентациях сетует, что граждане думают, будто Сбер ID можно получить только если у тебя есть счет в Сбере, хотя это не так. Греф намекает на то, что охват населения у Сбера может быть и пошире, чем у Госуслуг. По данным на конец 2024 года обе эти цифры находятся в районе 110 миллионов (обе оценки со слов руководителей Минцифры и Сбера). У МТС и Билайна потенциальный охват поменьше — 81 и 44 миллиона соответственно.
При таком разнообразии выбора провайдеров ID-сервиса у пользователей, которые сознательно выстраивают свою личную стратегию безопасности возникает много вопросов, на которые сегодня пока нет простых ответов. Разумно ли класть все яйца в одну корзину и заменять свои логины и пароли для множества ресурсов одним SSO? В случае утечки данных у провайдера ID-сервиса под угрозой оказываются весь объем персональных данных пользователей. Можно ли считать, что платформа госуслуг лучше защищена от взлома, чем платформы независимых ID провайдеров?
Можно ли считать, что распространение требования обязательного использования ЕСИА для пользователей, предлагающих товары и услуги на крупных маркетплейсах (больше двухсот тысяч обращений в сутки) — это шаг в направлении “коммерческой ЕСИА”, открытой для использования всеми бизнесами, включая ИП и самозанятых?
Можно ли ожидать, что услуги SSO станут платными и будут сопровождаться подписанием с пользователем SLA (о которых в последнее время что-то мало слышно), или пуще того, провайдер ID-сервиса будет в обмен брать на себя обязательства по защите персональных данных напрямую перед пользователем, а не по закону и через судебные процедуры, через которые пройти не проще, чем верблюду в игольное ушко?
Маркировка номеров
Многое в этом законопроекте оформляет уже сложившуюся практику. Как операторы будут выполнять обязательную маркировку звонков и как их будут наказывать за неисполнение этого требования еще только предстоит узнать. Но уже сейчас и iOS и андроидные OS смартфонов позволяют приложениям через программный интерфейс выполнять функцию Caller ID, используя собственные базы подозрительных или скомпрометированных номеров. Кроме приложений сотовых операторов сервис CallerID предлагают и Яндекс и банки (Сбер, Райф) и независимые приложения, например, TrueCaller.
Идентификация vs. Аутентификация
В любом случае, роль сервисов аутентификации пока остается, по нашему мнению, выделенной по отношению к ID-сервисам. Это наблюдение я проиллюстрирую простыми картинками, упрощенно изображающими операционные модели трех ключевых процессов работы с персональными данными: идентификации, аутентификации и авторизации. Несмотря на многочисленные определения в нормативных документах, они все еще могут сбивать с толку. Не случайно, специалисты по кибербезу до сих пор продолжают публиковать сводки определений этих понятий, вот самая последняя, от 17 февраля в тг-канале Privacy Advocates. При всей важности понимания определений в НПА, мы в компании IDX считаем, что большую практическую пользу приносят операционные модели, отражающие субъектно-объектную схему. Вот, например, на наших иллюстрациях видно (я надеюсь), что процессы авторизации, идентификации и аутентификации не равноположены относительно друг друга. Уровень прикладности процесса авторизации выше, чем у двух других, выполняющих служебную вспомогательную функцию.
Иллюстрация процесса идентификации (в обоих сценариях) учитывает наличие более, чем одного провайдера ID-сервиса. После предъявления и проверки ID, возможно выданного в SSO, провайдер основного сервиса может переходить к процессу авторизации доступа к сервису непосредственно, либо с предварительной аутентификацией.
В нашей практике удостоверения персональных данных встречаются сценарии, когда процесс аутентификации является запускающим, например, при использовании транспортными компаниями фрилансеров с собственным грузовым транспортом. Распространенной стала схема краж, когда груз забирают по поддельным документам, после чего он растворяется в воздухе. При предъявлении документов на транспортное средство и его владельца (лично или в онлайне) необходимо в первую очередь провести удостоверение предъявленных документов на автомобиль и водителя, как в эталонных источниках, так и в базе инцидентов, связанных с кражей грузов (IMPACT). После прохождения проверки аутентичности предъявленных документов можно переходить к поиску учетной записи исполнителя заказа в системе управления грузоперевозками и авторизовать его доступ к ресурсам в соответствии с полномочиями, отраженными в учетной записи.
Процесс авторизации в общем виде понимается как авторизация доступа к ресурсам любого вида и включает в себя как получение учетной записи предъявленного ID, так и его аутентификацию. Функционально это разные вещи, так же как разделены функциональность системы управления доступом и системы управления ресурсами, что часто смешивают.
Два других часто используемых термина — верификация и валидация — в контексте удостоверения персональных данных специального значения не имеют и используются как синонимы частных случаев аутентификации. Напомним, что верификация и валидация данных в статистике обозначают соответствие данных запросу (верификация) и ожиданиям пользователя (валидация). В информационном поиске это соответствует оценке релевантности и пертинентности информации.
Что дальше?
Многие комментаторы законопроекта отмечают значительную нагрузку, которую требования законопроекта накладывают на участников рынка, например в части интеграции с ЕБС и новыми платформами противодействия киберпреступлениям, заявленных в этом законопроекте. О неизбежности ЕБС предупреждали и высокопоставленные чиновники, выступавшие на недавно прошедшем в Екатеринбурге Уральском форуме “Кибербезопасность в финансах”. Мы в компании IDX внимательно следим за всеми событиями, касающимися нашего профессионального сервиса удостоверения персональных данных, и прикладываем все усилия, чтобы обеспечить его соответствие всем требованиям нового законопроекта, который должен стать законом к первому сентября этого года.
На днях вице-премьер Григоренко объявил о завершении программы “Цифровая экономика” и объявил новую программу “Экономика данных”. Была ли успешной предыдущая программа судить трудно. Григоренко привел только относительные цифры роста ИТ-отрасли — рост вклада в ВВП в два раза и увеличение количества специалистов — в полтора. С учетом того, что в абсолютном выражении это все еще меньше 2% ВВП, и меньше миллиона человек из 81 миллиона трудоспособного населения РФ, пока еще рано говорить о наступлении эры цифровой экономики и есть чем заняться в новой программе, тем более что на нее обещают выделить более триллиона рублей. В законопроекте об усилении борьбы с киберпреступлениями указано, что дополнительного федерального финансирования эта программа не потребует, поэтому на этот триллион пока рассчитывать не приходится, хотя при перечислении проектов новой программы “Экономика данных” Григоренко выделил обсуждаемый нами законопроект вместе с другими, которым в среднесрочной перспективе будет уделено пристальное внимание.
