За все приходится платить. Справедливость этого утверждения подтверждает растущее количество мошеннических схем в интернете. Они-то и стали платой за удобства цифровизации, позволяющей нам совершать транзакции, не выходя из дома. Правоохранители из каждого утюга взывают к бдительности граждан, призывая их не передавать свои персональные данные незнакомцам, депутаты принимают все новые поправки в законодательство, чтобы «выписать стоп» кибермошенникам, но число жертв киберпреступлений растет с каждым днем.
Как в нашем мире, где приватная информация хранится в открытом доступе, не попасть в лапы киберперступников? Кто сливает наши персональные данные и какую ответственность за это несет? Поможет ли ужесточение наказания за незаконный сбор и распространение персональных данных сбить волну интернет-мошенничеств? Ответы на эти вопросы искал корреспондент Ulysmedia.kz.
На днях в министерстве цифрового развития, инноваций и аэрокосмической промышленности подтвердили, что «слив» персональных данных порой происходит в банках. Председатель Комитета по информационной безопасности Руслан Абдикаликов, отвечая на вопрос журналистов о том, каким образом некоторым мошенникам становится известно слишком много информации о «жертвах», вплоть до точной суммы денег на банковском счету, признался, что в Казахстане имели место быть случаи, когда сотрудники банков второго уровня торговали персональными данными клиентов.
- Да, к сожалению, такие факты имеются, - подтвердил Абдикаликов.
- И в этом году, и в прошлом мы проверяли банки второго уровня и наказывали их за нарушение. Это тот случай, когда имелись факты точечной утечки.
О наказании виновных спикер высказался размыто. По его словам, все банки, сотрудники которых допускали утечку, привлекались к ответственности и выплачивали штраф как юридические лица. При этом точное количество подобных инцидентов и названия банков, которые выплачивали штраф, чиновник назвать не смог.
Кроме того, в минцифры озвучили результаты проверки разработчиков систем биометрической идентификации и руководителей детских творческих кружков. В пресс-службе сообщили, что две из четырех организаций незаконно собирали биометрические данные детей без согласия родителей. Здесь о наказании виновных сообщили конкретные данные: обе компании были оштрафованы на общую сумму в 332 тысячи тенге.
Насколько соразмерно наказание «преступлению», - вопрос риторический. Факт остается фактом: «сливы» персональных данных граждан становятся обычным делом. Так, в марте этого года стало известно об утечке персональных данных граждан, являющихся клиентами МФО zaimer.kz (ТОО «МФО «Робокэш.кз»). По данным Агентства по регулированию и развитию финансового рынка, в отношении МФО было отправлено письменное предписание. В июле в Сеть утекли данные казахстанцев из 2GIS, «Яндекс.Еды» и Fonbet. В их числе: все данные до 29 ноября 2022 года, в том числе и идентификаторы пользователей, хешированные пароли, личные сообщения, криптовалютные адреса, использовавшиеся для покупки форумных кредитов, и все сообщения на сайте. Нашли ли виновных, и как они были наказаны за нарушение закона «О защите персональных данных», история умалчивает.
Однако в минцифры сообщили, что подготовили пакет поправок по ужесточению наказания за данный вид правонарушений. В частности, планируется увеличить сроки давности для привлечения к ответственности и штрафов за утечку персональных данных, а также ввести наказание за несанкционированное использование закрытого ключа электронной цифровой подписи (ЭЦП). Все утечки и нарушители будут вноситься в единый реестр скомпрометированных данных.
Растущая статистика киберпреступлений, подавляющее большинство из которых остается нераскрытыми, стала проблемой, за решение которой взялись на правительственном уровне. Месяц назад премьер-министр Олжас Бектенов заявил о необходимости ужесточить меры против интернет-мошенников, которые пользуются утечкой баз данных для совершения преступлений, таких как хищение банковских средств и оформление онлайн-кредитов.
- Необходимо проработать вопрос введения ответственности за умышленную передачу посторонним лицам чужих банковских аккаунтов, счетов, карт, данных удостоверений личности, баз телефонных номеров, - дал поручение уполномоченным органам Бектенов.
Он также подчеркнул, что особое внимание необходимо уделить так называемым «дроперам», которые за вознаграждение помогают обналичивать похищенные деньги. Несмотря на участие в преступных схемах, в отношении «дроперов» пока не предусмотрены никакие меры наказания.
О том, кто такие «дроперы» в интервью Ulysmedia.kz ранее рассказывал начальник отдела по борьбе с киберпреступностью управления криминальной полиции Департамента полиции Карагандинской области Арман Кайракбаев.
- Что такое «дропер»? Это человек, который за вознаграждение открывает на себя банковский карточный счет и передает его мошенникам.
По словам полицейского, чтобы отыскать «дропера», требуется время.
- Мы начинаем разбираться – обращаться в банк, поднимать банковские операции. Находим владельца счета, на который были переведены деньги, берем санкцию, чтобы установить его полные данные, номер банковского счета, денежные движения по счету. Все это занимает от 2-3 дней до недели. После этого мы должны оформить командировку, ехать к нему, допрашивать. А он, как правило, - житель другого региона. И все, что может пояснить по существу вопроса, это примерно следующее:
- В мессенджере Telegram я откликнулся на предложение о работе, после чего открыл в банке карту, передал ее данные и получил за это вознаграждение.
По признанию полицейских, на сегодняшний день «дропер» - единственное хорошо прослеживаемое звено в цепочке кибермошенничеств. Но что с этим делать на практике?
Казахстанский адвокат Мурат Адам рассказал свежий случай об утечке персональных данных из своей практики.
- Сегодня мне поступило одного дело, я пока его только изучаю. Потерпевшим является председатель одного из районных судов города Алматы. Ей позвонили от имени одного из руководителей Верховного суда, и целый председатель районного суда повелся на эту комбинацию! Он стал переводить на дроперские счета денежные средства, полученные в разных банках в качестве кредитов. А вчера «дроперов» задержали, взяли под стражу. Пока они идут как подозреваемые, но, возможно, их статус изменится, и они перейдут в категорию свидетелей.
По мнению адвоката, установить всю цепочку от «дропера» до мошенников – можно. Главное – повышать профессионализм сотрудников органов внутренних дел, а тем - вовремя проводить оперативно-розыскные мероприятия. Ужесточение наказания для кибермошенников, по мнению адвоката, - мера необходимая, но доступная к реализации только при условии качественной работы правоохранителей.
Вместе с тем, по мнению президента Интернет Ассоциации Казахстана Шавката Сабирова, по большому счету, раскрытие киберпреступлений – это «война» айтишников.
- Специалисты в области банковской защиты и те, кто эту защиту «вскрывает» - это две команды высококлассных айтишников. – говорит Сабиров.
- Любой хакер – это IT-специалист высшего класса. Если у него хватает ума взломать систему – государственную или частную, изменить, своровать, значит, он уже – человек, владеющий IT-технологиями на очень высоком уровне. И, с другой стороны, такие же айтишники помогают правоохранителям раскрывать киберпреступления. Без поддержки IT-специалистов правоохранители не смогут понять, как произошла утечка, куда ушли деньги.
По словам президента Ассоциации, к настоящему моменту полицейские накопили достаточно опыта и ресурсов для раскрытия киберперступлений.
- Вся страна оцифрована. Шагу нельзя сделать без цифровизации. Если вы думаете, что правоохранители «маленькие дети», это не так. Они имеют достаточно средств и сил для борьбы, а образование и квалификация должна быть предметом постоянного роста.
Как утверждает Сабиров, чаще всего стоит вопрос как определить и найти конечного получателя денег, «прозрачность» банковских платежей постоянно совершенствуется и развивается.
- Например, когда появились электронные деньги ими стали активно пользоваться разного рода торговцы запрещенными товарами, потому что анонимные счета позволяли скрывать платежи, которые было невозможно отследить. Мошенники автоматически переводили деньги с одного счета на другой, а предыдущий автоматически закрывался. Было непонятно, куда ушли деньги. Сейчас с современными требованиями ко всем платежным организациям такие схемы быстро вскрываются и прослеживаются. Конечно, мошенники постоянно придумывают новые схемы, и правоохранители выступают в роли «догоняющих», чтобы понять механизмы работы, чтобы решить и эту проблему. Это вечная борьба – кто умнее, хитрее и быстрее.
Сначала найти, потом - ужесточить
Юристы и IT-специалисты едины во мнении: ужесточение наказания для тех, кто «промышляет» мошенническими схемами в интернете, - вещь далеко не бесполезная. Но проще всего самим гражданам быть начеку.
- Что касается сбора персональных данных, то он осуществляется с согласия правообладателя персональных данных, - подчеркивает адвокат Мурат Адам.
- Это действие подтверждается заявлением от этого лица. Сбор персональных данных совершается, например, когда мы оформляем кредиты в банке. Или, например, когда идем в магазин, и там у нас спрашивают ИИН, хотя они не вправе у нас его требовать, мы сами его называем. Другое дело - распространение персональных данных. Распространять их могут только те лица, которые четко обозначены в законе «О защите персональных данных», и только с согласия правообладателя.
По словам адвоката, он сталкивался с отказом о предоставлении данных в ответ на официальный запрос, когда речь шла о данных не его подзащитного.
- Не всем дают ответы, потому что за это есть уголовная ответственность за распространение персональных данных, согласно статье 147 УК РК «Незаконное получение и распространение персональных данных».
Мурат Адам утверждает: статья эта уже работает. Он вспомнил случай, когда к ответственности были привлечены госслужащие, работавшие в НАО «Правительство для граждан», и незаконно распространили персональные данные его коллег.
- А вот когда таких случаев будет больше, ужесточение наказания за нарушение закона «О персональных данных» и даст свои плоды, - считает адвокат.