В 2022 году в Украине вступил закон о привязке сим-карт граждан к паспортным данным. В законе «Об электронных коммуникациях» прописан трехлетний переходной период, заканчивающийся 1 января 2025 года. За это время все абоненты сотовой связи должны идентифицировать себя. В случае, если такая идентификация сделана не будет, операторы мобильной связи за два месяца должны отключить от связи всех анонимных абонентов.
Данная мера может быть оправдана интересами национальной безопасности и вполне обретает смысл, когда речь идет о защите персональных данных украинцев, которые не так уж и хорошо защищены от преступных посягательств. Об этом в интервью ГолосUA рассказал председатель ОО «Палата Апелляционных Уполномоченных» Михаил Казаров.
— Что вы думаете об идее привязки сим-карт телефонов к паспортным данным украинцев?
— Это давняя инициатива, над этим работали еще в 2012 году. Я тогда входил в одну из рабочих групп, которая занималась разработкой ряда законодательных инициатив силовиков в этом направлении. Вопреки расхожему мнению, что идею «привязывать» сим-карты к паспортным данным их владельцев подсмотрели в Москве, эта инициатива пришла в Украину из Евросоюза. Насколько я помню, в подавляющем большинстве стран ЕС любая покупка сим-карт оказывается привязана к личности покупателя, независимо о того, является ли этот покупатель гражданином страны-члена ЕС, или это турист. Это позволяет отслеживать кого бы то ни было в ЕС.
В 2013 году в Украине участились случаи анонимных сообщений о минированиях, об анонимных угрозах. Массово начали появляться различные «ботофермы», которые были задействованы в различных эпизодах так называемого «телефонного терроризма», и государству нужно было реагировать на данные угрозы. Силовики должны были найти законный способ отслеживать массовую продажу сим-карт, и выяснять, где и как заинтересованные лица могли без указания персональных данных купить 2-3 десятка сим-карт. В то время иностранные правоохранители в работе с украинскими коллегами неоднократно указывали на опасность использования таких анонимно приобретенных сим-карт для изготовления схем дистанционного управления самодельными взрывными устройствами. В руках организованного преступного элемента такие «игрушки» могли стать грозным оружием, направленным, в первую очередь, против рядовых и добропорядочных граждан.
Поэтому я убежден, что нет ничего плохого в инициативах о «привязке» сим-карт к персональным данным пользователей сотовой связи, ведь операторы на этом рынке так или иначе, даже на уровне лицензионных условий обязаны иметь исчерпывающий организационно-технический инструментарий для охраны персональных данных своих клиентов.
— Это новшество может содержать риски для владельцев сим-карт к телефонам?
— Это усложнит жизнь злоумышленникам-«ботоводам», что нередко промышляют различными информационными атаками и кибертерроризмом. Однако в значительной мере возрастут коррупционные риски у работников операторов связи, ответственных за выпуск и введение в эксплуатацию сим-карт, ведь количество сим-карт на одного человека никто пока ограничивать не собирался. А это значит, что для многих пользователей может оказаться сюрпризом, что сотрудники оператора связи или диллеры «активируют» новые сим-карты с использованием их персональных данных без их спроса.
Как я уже говорил ранее, законный порядок и безопасность граждан Украины могут быть обеспечены лишь абсолютным неприятием воровства и коррупции во всех возможных проявлениях. Коррупция должна стать не способом существования чиновников и возможностью значительно улучшить свое материальное положение ответственным работникам предприятий, а омерзительной разновидностью обворовывания своих сограждан, своей страны в целом.
— Сейчас чиновники анонсируют привязку сим-карт к паспортным данным украинцев как попытку защитить персональные данные граждан от взлома и хищения. В СМИ есть примеры получения сим-карт на существующий телефонный номер, через который злоумышленники получали доступ, допустим, к приложению «Приват24», повышали кредитный лимит, снимали деньги с карточки и пропадали…
— Эта схема стара, как и «ПриватБанк», как и многие другие авторитетные финансовые учреждения. Поверьте, нельзя провести никакую операцию с вашими деньгами без вашего ведома, даже после замены сим-карты и «сброса» настроек в «Приват24». Все попытки «увести» ваши деньги предпринимают злоумышленники, часто из числа бывших сотрудников того же «ПриватБанка», опираясь на ваше сотрудничество с ними. Выдавая себя за сотрудников банка или его службы безопасности, называя имеющиеся у них ваши персональные данные, для убедительности, у вас буквально выманивают необходимые сведения для подтверждения списания средств с вашего счёта. Нередко для получения доступа к вашим персональным данным злоумышленники выпускают так называемые «дубликаты» сим-карт, «сбрасывают» пароли доступа к банковским приложениям и практически получают почти неограниченный доступ к вашим сбережениям. Когда ваш сотовый телефон и, соответственно, сим-карта, в силу объективных причин, окажется вне зоны обслуживания, злоумышленник, часто даже из другого города, посредством телефона с «дубликатом» вашей сим-карты сможет осуществлять любые манипуляции с вашими аккаунтом в информационной системе банка, в т.ч. инициировать транзакции.
И последним «оплотом» сохранения ваших сбережений является офицер банка, который отвечает за валидацию подобных операций клиента и выявление подобного рода мошенничества. Если же злоумышленникам удалось «купить» этого офицера — то «дело — табак»…
— А как же контрольный вопрос, который вносится клиентом банка в анкету банка? Тот самый вопрос, который помогает потом банкам идентифицировать клиента? Разве это не остановит злоумышленников?
— Многие данные украинцев не так сильно засекречены, как, наверное, надо было бы. Вы же знаете, например, о том, что в разных торговых сетях заводят анкеты на своих клиентов – покупателей: прямо на кассе предлагают заполнить анкету, а потом зарегистрироваться на сайте торговой сети или магазина… и в эту анкету вносят дату рождения, номер телефона, адрес проживания. Покупателям обычно говорят, что это, якобы, для того, чтобы предоставить скидку на покупки в дальнейшем.
Мое мнение таково: эти анкеты торговые сети и магазины собирают, чтобы потом можно было оперировать персональными данными своих клиентов. Заработок с этих анкет получают в основном тогда, когда их продают. А эти данные, помноженные на возможность доступа к банковской тайне, скажем так, для некоторых не совсем добросовестных субъектов предпринимательской деятельности, организованных бывшими сотрудниками финансовых учреждений и некоторых банков, которые обанкротились и были выведены с рынка, — превращаются в настоящий Клондайк. Ведь ценность даже устаревшей информации о клиентах банка выражается не столько в том, каковы их сбережения в данном банке или размеры займов, сколько в том, что эти персональные данные, видимо, можно весьма выгодно продать, ими можно манипулировать, а на основании этих манипуляций — как шантажировать клиентов банка, так и осуществлять на них выгодное злоумышленникам влияние. Таков он наш цифровой век со своими преимуществами и со своими угрозами.
— Что еще в таком случае может представлять интерес для мошенников и организованных преступных групп?
— Информация об аспектах взаимодействия клиента и банка. Например, в банке может быть информация об имуществе клиентов. И таким образом, когда мошенники получают незаконный доступ к банковским базам данных, они сравнивают эти данные с потребительскими базами данных торговых сетей, продающих продукты, одежду, бытовую технику. Если преступники замечают активных покупателей торговых сетей и видят, какие суммы тратятся покупателями, то на основе этих данных планируют атаки как на банковские карты отдельных частных лиц, так и на целые группы людей. Как говорится, был бы информационный повод.
После этого преступники «прощупывают» своих будущих жертв: звонят якобы из службы безопасности банка, где те обслуживаются, делают уточнения, предлагают провести «тестовые» переводы и т.п. Задавать конкретные вопросы клиенту банка, побуждать его к каким-то выгодным для злоумышленникам действиям, располагая его персональной информацией, оказывается, не трудно.
— Как вы считаете, насколько защищены персональные данные клиентов банков, которые пользуются персональными кабинетами на сайтах банков?
— Я лично стараюсь не пользоваться данными кабинетами, потому что считаю, что все, что связано с Интернетом, с веб-сайтом и доступом к ним — это сравнительно ненадежный способ управления своими сбережениями в наш век технологий, всяческих возможностей фишинга, подмены паролей и других идентификационных данных. Другое дело, если сим-карта, банковский счет, банковская карта подвязаны под конкретное имя конкретного клиента, — не зря же производители сим-карт и банковских карт на уровне технологии производства пытаются защищать данные информационные носители от клонирования.
— А если сим-карта просто куплена и человек просто ею пользуется, без привязки к паспортным данным?
— Украинцы, я считаю, должны знать, что их персональные данные «гуляют» по Сети. Я встречал с десяток телеграм-каналов, где анонимные пользователи совершенно на голубом глазу предлагают к продаже базу данных жителей Украины с указанием персональных данных, банковских счетов, места жительства, места регистрации и контактных номеров телефонов. Продажа информации такого рода производится, в том числе, в интересах частных коммерческих структур, контролируемых олигархами и, не исключено, различными иностранными агентами. В некоторых случаях не исключается и такая практика, как воровство данных с коммерческих справочных веб-сайтов наподобие «You Control». Я не думаю, что это — промышленные объемы утечки персональной информации, но именно эти ресурсы могут позволить злоумышленникам «легализовывать» настоящую утечку информации из государственных и частных баз данных. То есть в Украине эти охраняемые законом данные, как мы видим, нередко являются предметом, которым стремятся завладеть как для влияния на фигурантов этой информации, так и для не совсем законной торговли.
Однако, «просто» купленная сим-карта, которая «просто» вставлена в сотовый телефон так абсолютно не выглядит в глазах оператора, ведь, в Конституции ничего не сказано о защите государством права на частную жизнь, тайну переговоров и прочие свободы для анонимного лица, т.е. лица неустановленного. Государством Украина и Конституцией, как это я понимаю, гарантируются права конкретных граждан Украины либо лиц без гражданства. Значит, для того, чтобы обеспечить вам базовые конституционные свободы, вас для начало было бы неплохо идентифицировать. Ведь, скажем так, для ограничения этих свобод со стороны органов правопорядка, как принято в развитых странах, нужно не просто предъявить суду обезличенные и, соответственно, мало информативные основания, а конкретные и достаточные данные касательно признаков преступной деятельности лица, кто является, в данном случае, ответственным пользователем того или иного канала связи. Анонимный же пользователь куда быстрее и проще может быть подвержен правоохранителями ограничению прав, даже если его телефонный номер или сотовый терминал напрямую не связаны с теми причинами, которые, собственно, потребовали ограничения этих прав и свобод.