Пустить наутек: ЦБ отрицает риск кражи данных из базы сотовых абонентов
В Центробанке и Минкомсвязи, которые продвигают идею создания единой системы проверки сведений о мобильных абонентах, не разделяют опасений операторов связи по поводу массовых утечек. Во вторник «большая тройка» — МТС, «Мегафон» и «Вымпелком» («Билайн») — направила письмо главе комитета ГД по финансовому рынку Анатолию Аксакову. В своем обращении ведущие игроки рынка предупредили, что с кражей данных могут столкнуться десятки миллионов владельцев сотовых телефонов. Это произойдет, если депутаты не внесут поправки в законопроект о создании единой системы, второе чтение которого намечено на октябрь. Инициатива призвана пресечь мошенничество с подменой сим-карт, но в его нынешней версии нет требований к безопасности передачи информации, отмечают в компаниях. Однако в ЦБ утверждают, что оператор информсистемы не будет хранить у себя никаких данных. Эксперты подчеркивают, что безопасных систем не существует и дополнительные меры защиты не помешают.
Принципиальное несогласие
Законопроект, который предусматривает создание Единой информационной системы проверки сведений об абоненте (ЕИС), уже принят в первом чтении. Через ЕИС кредитные и иные организации будут получать от операторов связи информацию о статусе сим-карты, абонентского договора, а также персональных данных абонентов-физлиц. Цель инициативы, безусловно, благая — уберечь людей, которые используют упрощенный способ идентификации с использованием мобильного устройства, от действий мошенников, а также недобросовестных взыскателей, терроризирующих новых владельцев номера из-за задолженностей «старых» его владельцев.
Второе чтение планируется, как рассказал «Известиям» Анатолий Аксаков, не раньше второй половины октября этого года после получения и обсуждения правительственных поправок. Не дожидаясь часа икс, сотовые операторы — «Вымпелком» («Билайн»), МТС и «Мегафон» — во вторник направили письмо (есть у «Известий», первым на него обратил внимание РБК) на имя Анатолия Аксакова. В нем они отметили актуальность заявленной проектом цели по противодействию мошенническим действиям на финрынке, но при этом указали, что предполагаемый механизм взаимодействия несет ряд существенных рисков.
В частности, операторы считают, что миллионам абонентов грозит утечка данных. «Проект не предусматривает требований к информационной безопасности передаваемых через ЕИС данных либо отсылку к необходимому подзаконному регулированию, это может повлечь утечку данных о нескольких миллионах абонентов», — подчеркивается в письме.
Сотовые операторы считают, что необходимо такие требования установить, а также провести пилотный проект для проверки их соблюдения.
— Безопасных систем не существует. Поэтому без четкого регулирования и услуг третьих организаций, которые смогут проверять систему на защищенность, действительно не обойтись. Потеря такого рода критичных данных, тем более в таких количествах может представлять серьезные риски, — считает старший аналитик компании «Диджитал Секьюрити» Александр Круглов.
В Центробанке и Минкомсвязи, которые поддерживают проект, отрицают такую опасность. Как пояснили «Известиям» в пресс-службе ЦБ, законопроектом предусмотрено создание единого оператора — в правительстве предложили на эту роль Центральный научно-исследовательский институт связи (ФГУП ЦНИИС), — который будет выступать маршрутизатором запросов.
Этот оператор не будет хранить у себя никаких данных, подчеркнули в Центробанке. Но он будет знать, какой сотовой компании запрос направить и какому банку вернуть ответ.
В Минкомсвязи также обратили внимание, что система проверки выполняет исключительно функцию оказания услуг по направлению запросов в адрес операторов связи и передаче пользователям системы полученной от них информации. Без ознакомления с ее содержанием и без ее сохранения в системе.
— Поскольку предполагается, что система будет негосударственной, требований по информационной безопасности к ней не предъявляется, — уточнили в пресс-службе ведомства.
Игра в догонялки
Представители некоторых сотовых операторов и финансовых институтов в принципе считают законопроект утратившим актуальность.
— Сейчас информация о потенциальных мошеннических действиях, в том числе о смене сим-карт, передается операторами банкам на основании двусторонних соглашений, — сообщили «Известиям» в пресс-службе «Мегафона».
Поэтому, делает вывод представитель компании, дополнительное законодательное регулирование таких отношений нецелесообразно.
— На данный момент инициатива потеряла свою актуальность, — соглашается руководитель центра проектов и инноваций «БКС Премьер» Иван Мазов. — Поскольку риск мошенничества с подменой сим-карт и так сведен к минимуму. При замене карты функция получения всех СМС-сообщений блокируется в среднем на сутки со стороны оператора связи. Таким образом, даже если злоумышленники сделают дубликат «симки», они не смогут получить код подтверждения для списания средств в течение этого времени. В итоге мошенники теряют интерес к данной схеме, поскольку шансы на успех минимальные.
Сотовые операторы были вынуждены пойти на обмен информацией, поскольку наравне с банками могут нести ответственность за потерю средств клиента, который через суд может добиться возмещения ущерба.
Иван Мазов также рассказал, что уже как минимум четыре-пять лет назад сотовые операторы стали предоставлять банкам дополнительные услуги по мониторингу номеров абонентов.
— У каждой сим-карты есть свой идентификационный номер. И у банка, заключившего договор с оператором связи, появляется возможность получать информацию в том числе о смене карт. В результате сейчас речь идет о том, чтобы на законодательном уровне закрепить то, что и так давно работает на рынке, — считает представитель «БКС Премьер».
Такого же мнения придерживаются и сотовые операторы.
— Законопроект необходимо дорабатывать. В частности, при информационном взаимодействии мы предлагали соблюдение принципа добровольности — прибегать как к услугам Единой информационной системы, так и заключать двусторонние соглашения. В текущей версии законопроекта приоритетным и фактически единственным способом взаимодействия является использование ЕИС, — подчеркнули в пресс-службе МТС.
Проект актуален, поскольку действующие соглашения банков с операторами носят разрозненный характер и, по мнению банков, цены в них завышены, считают в Минкомсвязи.
— Законопроект важен, так как он предусматривает введение дополнительного механизма противодействия мошенничеству на фоне того, что для многих банков идентификатор клиентов в виде номера телефона становится более значимым, — пояснили «Известиям» в пресс-службе Центробанка. — Для Банка России важно, чтобы все клиенты финансовых организаций находились в одинаковых условиях с точки зрения обеспечения информационной безопасности вне зависимости от того, какой банк и оператор связи их обслуживает. Законопроект предусматривает, что предоставление данных операторами связи и их использование банками будет обязательным.
Анатолий Аксаков заявил «Известиям», что предложения сотовых компаний будут рассмотрены и внимательно изучены, а после получения правительственных поправок представители мобильных операторов будут приглашены для обсуждения.
