Цифровая безопасность личности: что изменилось за последний год

Число раскрытых дел, по той же статистике МВД России, – 118 920 – на 25,3% больше, чем в 2020 году.

"Расследуемость растет, но все равно сильно отстает от количества преступлений. У полиции нет ни средств, ни ресурсов, ни специалистов в нужном количестве. В том числе из-за ограничений в заработной плате. За последний год зарплаты программистов и специалистов в области IT выросли на 30-40%. У нас программист на Go [один из языков программирования. – ГАРАНТ.РУ] до 500 тыс. руб. в месяц получает. Какова вероятность, что правоохранительные органы могут позволить себе таких специалистов?" – подчеркнула президент группы компаний InfoWatch Наталья Касперская в ходе тематической секции в рамках форума цифровой безопасности Cyber Security Day 2022, информационным партнером которого выступила компания "Гарант".

При этом имущественные риски – только одна из угроз, связанных с использованием информационных и телекоммуникационных технологий. Как отметил первый заместитель председателя Комиссии ОП РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич, комиссия ежегодно формирует доклад о главных цифровых угрозах для гражданского общества, и если в 2019 году таких угроз выделялось 12, то в 2020 – уже 18, а в 2021 – 21. Среди них, помимо кибермошенничества, в частности – распространение фейковых новостей, треш-контента, дипфейки, троллинг, кибербуллинг, излишнее доверие людей к неверифицированным источникам, несоблюдение социальными сетями законодательных требований, недостаточная цифровая грамотность.

Рассмотрим, как трансформируются эти угрозы и как им можно противостоять, каковы первые итоги реализации законодательства о новых требованиях к крупнейшим IT-компаниям и социальным сетям и дальнейшие перспективы правового регулирования цифрового пространства.

Как противодействовать наиболее популярным мошенническим схемам?

Телефонное мошенничество и фишинг (вид интернет-мошенничества, целью которого является получение данных пользователей, в том числе логинов и паролей для доступа к различным сервисам), по словам специалистов в сфере информационной безопасности, остаются самыми распространенными схемами, которыми пользуются злоумышленники.

Так, по данным о динамике киберугроз в кредитно-финансовом секторе, которыми поделился руководитель отдела анализа цифровых угроз компании Infosecurity Александр Вураско, в прошлом году рост фишинга составил 612% по сравнению с 2020 годом. "В прошлом году нашей компанией было выявлено (и благодаря этому впоследствии заблокировано) 7246 фишинговых уникальных доменных имен второго уровня. Не говоря уже о тысячах доменов третьего уровня, которые используются в "фишинг-комбайнах": когда злоумышленники регистрируют домен второго уровня и "цепляют" в него 5-6 доменов третьего уровня, каждый из которых используется для адресации в собственных фишинговых схемах", – рассказал эксперт. При этом фишинговые сайты, по его словам, сейчас маскируются разными способами.

Например, такие ресурсы могут включаться на определенный промежуток времени, демонстрировать фишинговый контент только для определенных диапазонов IP-адресов, отслеживать, на каком устройстве они открываются и по какой ссылке: из рекламного объявления или просто по доменному имени – и в зависимости от этого менять контент. Это существенно затрудняет технические способы выявления фишинговых ссылок, но тем не менее они тоже развиваются и вполне успешно применяются, сообщил Александр Вураско.  

Эффективный механизм противодействия выводу денежных средств мошенниками в условиях активного развития быстрых денежных переводов, по мнению первого заместителя директора Департамента информационной безопасности Банка России Артёма Сычёва, уже есть: надежные антифрод-системы банков (программные комплексы анализа и оценки транзакций для выявления мошеннических действий). Напомним, согласно Федеральному закону от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе" кредитные организации и другие операторы по переводу денежных средств обязаны противодействовать осуществлению переводов без согласия клиента и вправе при выявлении признаков таких операций приостанавливать их на срок до двух дней. "Антифрод-системы, работающие на стороне банка получателя средств и на стороне банка отправителя, должны смотреть друг на друга и принимать адекватные решения.

Для этого финансовым организациям не хватает знаний – у таких организаций как на стороне плательщика, так и на стороне получателя должна быть возможность обогащения своих антифрод-систем знаниями о том, что из себя представляет тот или иной человек. Эта тема пересекается с темой цифрового профиля и согласия человека на обработку персональных данных для разных направлений", – отметил Артём Сычёв. Кроме того, по его мнению, необходимо выстраивать более активное взаимодействие финансовых организаций с телеком-операторами, в том числе в части работы антифрод-систем и процесса аутентификации клиентов. 

За "трендами" мошенников внимательно следит регулятор. Так, в Методических рекомендациях Банка России от 6 сентября 2021 г. № 16-МР указано, на какие операции клиентов – физических лиц кредитным организациям стоит обращать повышенное внимание с целью выявления и пресечения такой практики, как использование в противоправных целях:

• платежных карт или иных электронных средств платежа, оформленных на подставных физических лиц (так называемых дропов или дропперов);
• не принадлежащего кредитной организации специального программного обеспечения, которое в автоматическом режиме заполняет данные, необходимые для осуществления перевода денежных средств с помощью онлайн-сервисов.

Повышение цифровой грамотности широких масс, а не только кадров для цифровой экономики

Конечно, критически важным для противодействия мошенничеству фактором остается повышение осведомленности граждан о финансовых продуктах, с одной стороны, – чтобы предложения, например, перевести деньги на якобы более защищенный счет в принципе ушли в прошлое, и о том, что делать, сталкиваясь с мошенниками, – с другой. О необходимости повышения цифровой и финансовой грамотности сейчас говорится так же часто, как о непосредственно цифровизации. В связи с этим нельзя не упомянуть о предполагаемом запуске программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности – Постановлением Правительства РФ от 3 февраля 2022 г. № 94 утверждены критерии отбора организации, которая будет реализовывать эту программу, и правила предоставления ей субсидий из федерального бюджета на эти цели. При отборе обязательно будут оцениваться не только подготовленные план и смета программы, но и инфраструктура и кадровые ресурсы организации, а также опыт в реализации проектов просвещения в области кибергигиены широких слоев населения, в том числе детей, студентов и пенсионеров, за последние три года. На субсидирование программы в 2022-2024 годах планируется направить из бюджета 600 млн руб.

Так, на постоянной основе, как предполагается, информация о мошеннических рисках должна размещаться в приложениях дистанционного банковского обслуживания, на экранах банкоматов (с приоритетом соответствующей заставки при ротации), на официальном сайте банка – например, в специальном разделе о противодействии несанкционированным операциям с постоянным анонсированием данного раздела на главной странице сайта (в пределах первого экрана). Соответствующие материалы, в том числе в печатном в виде, рекомендуется размещать в помещениях офисов кредитной организации и во всех местах обслуживания клиентов.

Кроме того, тему защиты от мошенничества согласно рекомендациям следует включать и в рекламные материалы кредитной организации. Информирование также рекомендуется осуществлять при звонках клиентов в колл-центр банка, а СМС-рассылки, охватывающие не менее 80% клиентов, делать не реже раза в квартал. Эффективность реализуемых мероприятий должна оцениваться регулярно – не реже чем раз в полгода.В прошлом году Банк России призвал кредитные организации усилить информационную работу с клиентами в целях противодействия несанкционированным банковским операциям – в том числе посредством их прямого предупреждения о недопустимости сообщения посторонним лицам сведений, которые могут быть использованы для перевода денежных средств без согласия их владельца: персональных данных, информации о банковской карте, паролей из СМС, секретных слов и т. д. (Методические рекомендации Банка России от 19 февраля 2021 г. № 3-МР). В частности, банкам рекомендовано использовать способы информирования, позволяющие обеспечить максимальный охват: не менее 80% клиентов – физических лиц, доступное восприятие доводимой информации (особое внимание предлагается уделять доступности информационных материалов для лиц с ограниченными возможностями здоровья) и контроль эффективности ее использования клиентами.

Предложения по борьбе с утечками данных

Основным каналом получения мошенниками данных пользователей, в том числе телефонов и адресов электронной почты, необходимых для реализации схем телефонного мошенничества (к слову, по данным Роскомнадзора, количество мошеннических звонков гражданам России превысило в прошлом году 3,7 млн) и "доставки" ссылок на фишинговые сайты, остаются утечки/продажа баз данных пользователей. И в России, и в мире утекают в основном персональные данные граждан: в 2021 году их доля в общем объеме утечек составила, по данным экспертно-аналитического центра InfoWatch, 88,7% и 82,3% соответственно. Мировой антирекорд был зафиксирован в 2019 году: количество утекших записей персональных данных составило 14,86 млрд (и это только по сведениям о выявленных утечках). Утекают данные, как подчеркнула Наталья Касперская, в основном через сотрудников операторов персональных данных: банков, телеком-операторов, государственных структур. Решить эту проблему, по мнению эксперта, невозможно без изменения подхода к ответственности за незаконное использование персональных данных.

Источник: garant.ru