Роскомнадзор удвоил мощности инфраструктуры для борьбы с телефонным мошенничеством «Антифрод». СберТех создал Platform V DataGrid — распределенную базу данных в оперативной памяти для высокопроизводительных вычислений. Одно из ее предназначений — создание высоконагруженного антифрода. ГПБ планирует для борьбы с мошенничеством использовать квантовые технологии.

На каком этапе находится решение проблемы борьбы с банковскими мошенниками и социальными инженерами и не отстает ли от айтишников отрасль ИБ, в частности, в области борьбы с утечками персональных данных?

Хотели, как лучше

9 августа 2022 года произошло знаковое событие. По информации Интерфакса, российский суд оштрафовал на 1 млн рублей телекоммуникационную компанию Orange Business Services за пропуск вызова с подменного номера от иностранного оператора. Роскомнадзор утверждал, что это первое в России решение о привлечении к ответственности за подобное правонарушение.

Как известно, Президент РФ 30 декабря 2021 года подписал Закон о введении штрафов до 1 млн рублей для операторов связи за пропуск подменных номеров. Закон «О связи», согласно ч. 10 ст. 46, на тот момент уже обязывал операторов передавать абоненту звонок под настоящим номером, но эта норма повсеместно игнорировалась, поскольку за ее нарушение не было предусмотрено наказания.

Правительство РФ, в свою очередь, утвердило требования к системе блокировки звонков и СМС с подменных номеров «Антифрод» и правила ее функционирования. Соответствующее Постановление от 03.11.2022 № 1978 опубликовано на официальном портале правовой информации. Документ вступил в силу с 1 января 2023 года и будет действовать в течение шести лет. Он предполагает, что система создается радиочастотной службой (ФГУП «Главный радиочастотный центр», ГРЧЦ) для соблюдения требований Закона «О связи» по блокировке звонков и СМС с подменных номеров. Радиочастотная служба будет оператором системы.

О первых результатах этой работы банкиры как одни из наиболее заинтересованных лиц узнали от связистов в ходе Уральского форума «Кибербезопасность в финансах» в феврале 2023 года. Минцифры и Банк России согласились тогда с тем, что «прошли те времена, когда обеспечение кибербезопасности того или иного банка было его собственной головной болью».

Однако у каждого крупного начинания бывают не только положительные, но и негативные последствия.

В частности, сотовые операторы представили статистику, которая говорила о том, что с уменьшением доли мошенничества с подменных номеров растет новая угроза, которая исходит со стороны мессенджеров, главным образом от WhatsApp.

Все это дало Владимиру Бенгину, директору департамента обеспечения кибербезопасности Минцифры, повод для крайне тревожного для банкиров заявления: «Минцифры выступает против оказания банковских услуг через мессенджеры».

Роскомнадзор во исполнение поправок в Закон «Об информации, информационных технологиях и о защите информации» уже 1 марта 2023 года опубликовал список иностранных мессенджеров, которые запрещено использовать банкам и ряду других российских организаций при предоставлении услуг. Как известно, этот факт поставил крест на множестве проектов в области ДБО в мессенджерах.

Наоборот, положительным моментом ужесточения регулирования стало то, что Вадим Уваров, директор департамента информационной безопасности Банка России, предложил «развивать системы безопасности, основанные на использовании отечественной научной школы на базе межотраслевых платформенных решений, например ЕИС ПСА (Единой информационной системы проверки сведений об абонентах).

Ответить рублем

На 2023 год была запланирована работа и по другим направлениям, связанным с борьбой с мошенничеством, а также с обменом данными, и, очевидно, на «Уральском Форуме — 2024» им будет дана оценка. На сегодняшний момент уже можно с уверенностью говорить о некоторых достижениях. Однако важно и то, какие меры еще предстоит осуществить. В частности, речь идет о законодательстве в сфере борьбе с утечками персональной информации, без которой никакие социальные инженеры, спамеры и обычные мошенники не могут обойтись.

В ходе мероприятия BIS Summit 2023 «Индустрия защиты информации. Версия 6.0», прошедшего 21 сентября 2023 года, на вопрос об оборотных штрафах за утечки персональной информации Александр Хинштейн, депутат Госдумы, ответил: «Проект закона об оборотных штрафах проработан и в ближайшее время должен быть вынесен на рассмотрение. По сути предложений — действующее законодательство устанавливает ответственность за такое деяние на уровне 100 тыс. рублей, это не способствует активизации бизнеса к обеспечению собственной безопасности. Наша позиция — необходимо установить серьезную ответственность, которая будет варьироваться в зависимости от ущерба. Вводим и увеличиваем штрафы за повторность, устанавливаем критерии. Для юридических лиц за утечку более 100 тыс. персональных данных — штраф от 10 до 15 млн рублей. В случае повторных нарушений (оборотные штрафы в зависимости от масштаба от 0,1% совокупной выручки за предыдущий год) — не менее 15 млн и не более 500 млн рублей».

Одну из причин продолжающегося роста количества утечек озвучил Рустэм Хайретдинов, заместитель генерального директора УК «Гарда»: «Мы как отрасль ИБ и страна в целом оказались не готовы с точки зрения ресурсов. Мы пришли на кибервойну с киберармией мирного времени. Никто не думал, что будут атаки такой силы. Мы строили защиту исходя из мирного времени. Но все молодцы, потому что здорово адаптировались к происходящему. Государство быстро отработало, объединились и безопасники».

Однако Александр Егоркин, первый вице-президент Газпромбанка, далек от почивания на лаврах: «Любая система уязвима. Уязвимость — измеряемая величина; имея неограниченный ресурс, взломать можно что угодно. Защититься можно от конечного числа конечных угроз. Поэтому избежать утечек невозможно в принципе, нет такой “серебряной пули”».

Что касается вклада связистов в общую безопасность, то 12 сентября 2023 года Роскомнадзор предупредил операторов связи об административной ответственности за неподключение к системе «Антифрод» в установленные сроки — до конца февраля 2024 года: они получат административные штрафы (КоАП 13.2.1) от 600 тыс. до 1 млн рублей для юридических лиц. К платформе подключены пока четыре основных оператора связи.

Конкретные данные таковы: в августе 2023 года количество непропущенных звонков с подменой номера выросло на 13% по сравнению с предыдущим месяцем и составило 82,2 млн. Всего с декабря 2022 года предотвращено 473,5 млн звонков с подменой номера.

В качестве промежуточного вывода можно привести мнение Екатерины Ефимовой, руководителя направления персональных данных ФГУП ГРЧЦ: «Страшнее хакеров могут быть только необученные и ничего не боящиеся инсайдеры. Здесь я бы поменяла взгляд на вопрос и не фантазировала, а говорила о будущем: надо представить, что я знаю, что у меня через год утечет. И задать себе вопрос: “А что я сейчас могу сделать, чтобы минимизировать то, что случится с компанией через год?”. Необходимо уйти от того, что персональные данные — это разменная монета. Это самое ценное!».

Из положительных новостей необходимо выделить то, что СберБанк с начала 2023 года помог силовикам задержать 19 кибермошеннических ОПГ, об этом на ВЭФ рассказал зампред правления Сбера Станислав Кузнецов. Мошенники из этих ОПГ с помощью методов социальной инженерии и другими способами выманивали деньги у россиян, зачастую делая из своих жертв еще и преступников, заставляя их совершать противоправные действия.