#ПриветШахрай
В начале июля Національний банк України дал старт самой масштабной кампании противодействия онлайн-мошенничествам в истории Украины, #ШахрайГудбай. Инициатива выглядит и назревшей, и перезревшей. Мошенничества разного рода давно уже приняли характер эпидемии, только по официальным данным в 2019 году произошло почти 72 тыс. незаконных действий с одними только платежными картами. Потери граждан, о которых было заявлено в полицию, составили 362 млн. грн., что в полтора раза больше, нежели в 2018 году.
Эпидемия COVID-19 и беспрецедентные карантинные ограничения привели к по-настоящему массовой и быстрой миграции украинцев в Сеть. Миллионы людей, которые до этого использовали финансовые, торговые и прочие он-лайн сервисы изредка либо вовсе обходились без них, вынуждены осваивать новые возможности. Вместе с возможностями их ждут не менее выдающиеся риски. Не стоит ожидать, что множество людей самого разного возраста и уровня подготовки смогут самостоятельно освоить противодействие он-лайн угрозам.
Чтобы помочь украинцам овладеть довольно сложными и не всегда очевидными моделями безопасного поведения в Сети, НБУ собрал представительную коалицию из более чем 50 партнёров. Среди них — крупнейшие банки, платежные системы, мобильные операторы, интернет-магазины и даже инфраструктурные предприятия вроде метрополитена и электросетей. Полный список участников можно посмотреть здесь.
На этом фоне довольно неожиданно, если не сказать вызывающе смотрится другая инициатива. Её участниками являются два с половиной старых знакомых — НКРЗІ, lifecell и солидарный с ними Інтертелеком.
Снова MNP и (де)персонификация
Вчера, 23 июля, в НКРСИ прошёл первый этап общественного обсуждения проекта изменений в процедурах MNP. Затянувшиеся на три часа прения оказались сосредоточены вокруг вопроса о персонификации абонентов, желающих перенести свой номер. Действующий порядок предполагает, что услуга предоставляется только для тех номеров, пользователи которых раскрыли свою личность то ли посредством заключения контракта, то ли путём регистрации предоплаченного номера. Однозначная и категоричная позиция lifecell сводится к тому, что требование персонификации излишне и противоречит интересам пользователей.
Вопрос о (де)персонификации абонентов, желающих перенести свой номер, вызывает трения не первый год. Можно глянуть мои публикации 2018 года — с тех пор аргументы сторон не претерпели изменений. Почему вроде бы частный вопрос вызывает такое напряжение? Дело в том, что номера мобильной связи превратились в универсальный ключ (или отмычку) к действительно важным, воистину критически активам физических лиц. Давайте перечислим наиболее распространённые:
- Электронная почта и всевозможные мессенджеры (Viber, Telegram, WhatsApp, Skype и т.п.);
- Личные кабинеты Интернет- и мобильного банкинга;
- Финансовые сервисы и услуги, от оформления «микрокредитов» с безумными процентами, до снятия денег в банкоматах;
- Социальные сети — Facebook, Twitter, Instagram, ВКонтакте, Одноклассники и т.п.
Обладание SIM-картой с номером физического лица открывает возможность так называемой кражи идентичности (англ. Identity theft). О краже денег с карточных и основных счетов, о злонамеренном оформлении кредитов на чужое имя не стоит и говорить. Увы, подобные преступления давно стали распространённым видом мошенничества. Завладение чужим номером является первым и самым сложным этапом для злоумышленников.
Традиционно в Украине для этого используется процедура восстановления утерянной либо неисправной SIM-карты. Отсутствие нормативной обязанности регистрировать пользователей предоплаченных (англ. prepaid) услуг привело к тому, что примерно 90% всех номеров мобильной связи принадлежат непонятно кому. Операторы вынуждены использовать нехитрые и крайне уязвимые процедуры, чтобы удостовериться, что заявитель действительно является пользователем номера, SIM-карту с которым просит восстановить. «Когда и сколько денег положили на этот номер в последний раз? На какие номера звонили недавно?» — правильные ответы на подобные вопросы мошенники получают без особого труда. Для этого им достаточно самим положить на номер жертвы пару гривен и спровоцировать её звонки себе.
В случае неперсонифицированного номера в принципе невозможно обеспечить надёжную идентификацию его пользователя
Ещё на этапе обсуждения действующего порядка предоставления услуги в 2014-18 годах участники рынка и экспертное сообщество выделили риск кражи номера как один из значимых аспектов. Стоит заметить, что регистрация номера сама по себе не является панацеей и не гарантирует, что злоумышленники не смогут украсть интересующий их номер. Для этого, в конце-концов, нужно предложить достаточно много денег сотруднику салона связи. Однако кража персонифицированного номера, во-первых, не оставляет шансов возложить ответственность на жертву. Нет оригинала её заявления — нет оснований говорить об ответственности абонента. Ввиду невозможности возложить вину на жертву, во-вторых, резко вырастает «цена вопроса» для злоумышленников.
Руководствуясь этими нехитрыми соображениями я выступал не только против переноса номеров без персонификации, но и, например, против действующего порядка самой добровольной персонификации. К сожалению, он игнорирует целый ряд распространённых рисков, в том числе риски целенаправленных посягательств. Как бы то ни было, отказ от персонификации пользователей переноса номера радикально облегчает жизнь мошенникам.
Вопросы, вопросы
У меня, в первую очередь, вопросы к Национальной комиссии по регулированию связи и информатизации.
Во-первых, чем вызвано такая благосклонность к столь спорным пожеланиям одного из участников рынка? Почему в ситуации, когда все против и только lifecell за, Комиссия приняла сторону меньшинства? Если можно, я не буду поминать Интертелеком, Утел, ММДС-Украина и кто там ещё вроде бы живой. Опять просят из Офиса Президента? Позвонили прямо из Turkcell?
Во-вторых, почему вопросы безопасности в цифровой среде по-прежнему трактуются как нечто то ли незначительное, то ли не относящее к ответственности Комиссии? Участники обсуждения были немного шокированы идеей сначала изменить процедуры MNP, а затем просить НБУ изучить вопрос о связанных с этим рисках.
В-третьих, что мешает организовать трансляцию или запись общественных обсуждений и вообще любой публичной, нережимной деятельности Комиссии? Слава богу, теперь есть и соответствующий опыт, и все необходимые технические возможности. Заседания НКРСИ давно проводятся и онлайн, и публично. Это прекрасная практика, которую, кажется, ничто не мешает распространить дальше.
Наконец, в-четвёртых, что помешало прислать соответствующее приглашение мне как едва ли не единственному публичному эксперту по вопросам безопасности и доверия в сетях мобильной связи?
НБУ и тем его структурным подразделениям, которые занимаются #ГудбайШахрай я адресую вопрос о том, предполагается ли, помимо ликбеза, формирование адекватной политики в части защиты украинцев от мошеннических действий? Если предполагается, то каким образом НБУ предполагает влиять на нормативную базу сетей телекоммуникаций, которые превратились в один из основных источников криминальных угроз? В частности, предполагается ли экспертиза решений отраслевого регулятора? На всякий случай, чем чёрт не шутит, спрошу об этом и Міністерство цифрової трансформації України Вдруг там завёлся человек, отвечающий за безопасность цифровой среды, которую ударными темпами строит ведомство г-на Фёдорова.