Пустить наутек: ЦБ отрицает риск кражи данных из базы сотовых абонентов

Операторы предупредили о многомиллионных утечках в случае создания единой системы проверки сведений о пользователях.

В Центробанке и Минкомсвязи, которые продвигают идею создания единой системы проверки сведений о мобильных абонентах, не разделяют опасений операторов связи по поводу массовых утечек. Во вторник «большая тройка» — МТС, «Мегафон» и «Вымпелком» («Билайн») — направила письмо главе комитета ГД по финансовому рынку Анатолию Аксакову. В своем обращении ведущие игроки рынка предупредили, что с кражей данных могут столкнуться десятки миллионов владельцев сотовых телефонов. Это произойдет, если депутаты не внесут поправки в законопроект о создании единой системы, второе чтение которого намечено на октябрь. Инициатива призвана пресечь мошенничество с подменой сим-карт, но в его нынешней версии нет требований к безопасности передачи информации, отмечают в компаниях. Однако в ЦБ утверждают, что оператор информсистемы не будет хранить у себя никаких данных. Эксперты подчеркивают, что безопасных систем не существует и дополнительные меры защиты не помешают.

Принципиальное несогласие

Законопроект, который предусматривает создание Единой информационной системы проверки сведений об абоненте (ЕИС), уже принят в первом чтении. Через ЕИС кредитные и иные организации будут получать от операторов связи информацию о статусе сим-карты, абонентского договора, а также персональных данных абонентов-физлиц. Цель инициативы, безусловно, благая — уберечь людей, которые используют упрощенный способ идентификации с использованием мобильного устройства, от действий мошенников, а также недобросовестных взыскателей, терроризирующих новых владельцев номера из-за задолженностей «старых» его владельцев.

Второе чтение планируется, как рассказал «Известиям» Анатолий Аксаков, не раньше второй половины октября этого года после получения и обсуждения правительственных поправок. Не дожидаясь часа икс, сотовые операторы — «Вымпелком» («Билайн»), МТС и «Мегафон» — во вторник направили письмо (есть в распоряжении «Известий») на имя Анатолия Аксакова. В нем они отметили актуальность заявленной проектом цели по противодействию мошенническим действиям на финрынке, но при этом указали, что предполагаемый механизм взаимодействия несет ряд существенных рисков.

В частности, операторы считают, что миллионам абонентов грозит утечка данных. «Проект не предусматривает требований к информационной безопасности передаваемых через ЕИС данных либо отсылку к необходимому подзаконному регулированию, это может повлечь утечку данных о нескольких миллионах абонентов», — подчеркивается в письме.

Сотовые операторы считают, что необходимо такие требования установить, а также провести пилотный проект для проверки их соблюдения.

— Безопасных систем не существует. Поэтому без четкого регулирования и услуг третьих организаций, которые смогут проверять систему на защищенность, действительно не обойтись. Потеря такого рода критичных данных, тем более в таких количествах может представлять серьезные риски, — считает старший аналитик компании «Диджитал Секьюрити» Александр Круглов.

В Центробанке и Минкомсвязи, которые поддерживают проект, отрицают такую опасность. Как пояснили «Известиям» в пресс-службе ЦБ, законопроектом предусмотрено создание единого оператора — в правительстве предложили на эту роль Центральный научно-исследовательский институт связи (ФГУП ЦНИИС), — который будет выступать маршрутизатором запросов.

Этот оператор не будет хранить у себя никаких данных, подчеркнули в Центробанке. Но он будет знать, какой сотовой компании запрос направить и какому банку вернуть ответ.

В Минкомсвязи также обратили внимание, что система проверки выполняет исключительно функцию оказания услуг по направлению запросов в адрес операторов связи и передаче пользователям системы полученной от них информации. Без ознакомления с ее содержанием и без ее сохранения в системе.

— Поскольку предполагается, что система будет негосударственной, требований по информационной безопасности к ней не предъявляется, — уточнили в пресс-службе ведомства.

Игра в догонялки

Представители некоторых сотовых операторов и финансовых институтов в принципе считают законопроект утратившим актуальность.

— Сейчас информация о потенциальных мошеннических действиях, в том числе о смене сим-карт, передается операторами банкам на основании двусторонних соглашений, — сообщили «Известиям» в пресс-службе «Мегафона».

Поэтому, делает вывод представитель компании, дополнительное законодательное регулирование таких отношений нецелесообразно.

— На данный момент инициатива потеряла свою актуальность, — соглашается руководитель центра проектов и инноваций «БКС Премьер» Иван Мазов. — Поскольку риск мошенничества с подменой сим-карт и так сведен к минимуму. При замене карты функция получения всех СМС-сообщений блокируется в среднем на сутки со стороны оператора связи. Таким образом, даже если злоумышленники сделают дубликат «симки», они не смогут получить код подтверждения для списания средств в течение этого времени. В итоге мошенники теряют интерес к данной схеме, поскольку шансы на успех минимальные.

Сотовые операторы были вынуждены пойти на обмен информацией, поскольку наравне с банками могут нести ответственность за потерю средств клиента, который через суд может добиться возмещения ущерба.

Иван Мазов также рассказал, что уже как минимум четыре-пять лет назад сотовые операторы стали предоставлять банкам дополнительные услуги по мониторингу номеров абонентов.

— У каждой сим-карты есть свой идентификационный номер. И у банка, заключившего договор с оператором связи, появляется возможность получать информацию в том числе о смене карт. В результате сейчас речь идет о том, чтобы на законодательном уровне закрепить то, что и так давно работает на рынке, — считает представитель «БКС Премьер».

Такого же мнения придерживаются и сотовые операторы.

— Законопроект необходимо дорабатывать. В частности, при информационном взаимодействии мы предлагали соблюдение принципа добровольности — прибегать как к услугам Единой информационной системы, так и заключать двусторонние соглашения. В текущей версии законопроекта приоритетным и фактически единственным способом взаимодействия является использование ЕИС, — подчеркнули в пресс-службе МТС.

Проект актуален, поскольку действующие соглашения банков с операторами носят разрозненный характер и, по мнению банков, цены в них завышены, считают в Минкомсвязи.

— Законопроект важен, так как он предусматривает введение дополнительного механизма противодействия мошенничеству на фоне того, что для многих банков идентификатор клиентов в виде номера телефона становится более значимым, — пояснили «Известиям» в пресс-службе Центробанка. — Для Банка России важно, чтобы все клиенты финансовых организаций находились в одинаковых условиях с точки зрения обеспечения информационной безопасности вне зависимости от того, какой банк и оператор связи их обслуживает. Законопроект предусматривает, что предоставление данных операторами связи и их использование банками будет обязательным.

Анатолий Аксаков заявил «Известиям», что предложения сотовых компаний будут рассмотрены и внимательно изучены, а после получения правительственных поправок представители мобильных операторов будут приглашены для обсуждения.

Анна Каледина

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование, персональные данные