Цифровая безопасность личности: что изменилось за последний год

В 2020 году МВД России зафиксировало взрывной рост числа преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации: на 73,4% (общее количество таких зарегистрированных преступлений – 510 396, значительную их часть составляют мошенничество – 237 074 – и кражи – 173 416). Этому, по мнению специалистов в области информационной безопасности, поспособствовали и перевод многих процессов в онлайн-режим в связи с пандемией COVID-19, и повышение темпов цифровизации. В 2021 году число таких преступлений увеличилось незначительно – на 1,4% – и составило 517 722 (мошенничеств – 249 249, краж – 156 792)¹, однако, учитывая, что речь идет о приросте к «рекордным» показателям прошлого года, а также тот факт, что многие нарушения в принципе не доходят до правоохранительных органов, можно констатировать: ситуация с киберпреступностью остается напряженной.

Число раскрытых дел, по той же статистике МВД России, – 118 920 – на 25,3% больше, чем в 2020 году. «Расследуемость растет, но все равно сильно отстает от количества преступлений. У полиции нет ни средств, ни ресурсов, ни специалистов в нужном количестве. В том числе из-за ограничений в заработной плате. За последний год зарплаты программистов и специалистов в области IT выросли на 30-40%. У нас программист на Go [один из языков программирования. – ГАРАНТ.РУ] до 500 тыс. руб. в месяц получает. Какова вероятность, что правоохранительные органы могут позволить себе таких специалистов?» – подчеркнула президент группы компаний InfoWatch Наталья Касперская в ходе тематической секции в рамках форума цифровой безопасности Cyber Security Day 2022, информационным партнером которого выступила компания «Гарант».

При этом имущественные риски – только одна из угроз, связанных с использованием информационных и телекоммуникационных технологий. Как отметил первый заместитель председателя Комиссии ОП РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Александр Малькевич, комиссия ежегодно формирует доклад о главных цифровых угрозах для гражданского общества, и если в 2019 году таких угроз выделялось 12, то в 2020 – уже 18, а в 2021 – 21. Среди них, помимо кибермошенничества, в частности – распространение фейковых новостей, треш-контента, дипфейки, троллинг, кибербуллинг, излишнее доверие людей к неверифицированным источникам, несоблюдение социальными сетями законодательных требований, недостаточная цифровая грамотность.

Рассмотрим, как трансформируются эти угрозы и как им можно противостоять, каковы первые итоги реализации законодательства о новых требованиях к крупнейшим IT-компаниям и социальным сетям и дальнейшие перспективы правового регулирования цифрового пространства.

Как противодействовать наиболее популярным мошенническим схемам?

Телефонное мошенничество и фишинг (вид интернет-мошенничества, целью которого является получение данных пользователей, в том числе логинов и паролей для доступа к различным сервисам), по словам специалистов в сфере информационной безопасности, остаются самыми распространенными схемами, которыми пользуются злоумышленники.

Так, по данным о динамике киберугроз в кредитно-финансовом секторе, которыми поделился руководитель отдела анализа цифровых угроз компании Infosecurity Александр Вураско, в прошлом году рост фишинга составил 612% по сравнению с 2020 годом. «В прошлом году нашей компанией было выявлено (и благодаря этому впоследствии заблокировано) 7246 фишинговых уникальных доменных имен второго уровня. Не говоря уже о тысячах доменов третьего уровня, которые используются в «фишинг-комбайнах»: когда злоумышленники регистрируют домен второго уровня и «цепляют» в него 5-6 доменов третьего уровня, каждый из которых используется для адресации в собственных фишинговых схемах», – рассказал эксперт. При этом фишинговые сайты, по его словам, сейчас маскируются разными способами. Например, такие ресурсы могут включаться на определенный промежуток времени, демонстрировать фишинговый контент только для определенных диапазонов IP-адресов, отслеживать, на каком устройстве они открываются и по какой ссылке: из рекламного объявления или просто по доменному имени – и в зависимости от этого менять контент. Это существенно затрудняет технические способы выявления фишинговых ссылок, но тем не менее они тоже развиваются и вполне успешно применяются, сообщил Александр Вураско.  

Эффективный механизм противодействия выводу денежных средств мошенниками в условиях активного развития быстрых денежных переводов, по мнению первого заместителя директора Департамента информационной безопасности Банка России Артёма Сычёва, уже есть: надежные антифрод-системы банков (программные комплексы анализа и оценки транзакций для выявления мошеннических действий). Напомним, согласно Федеральному закону от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» кредитные организации и другие операторы по переводу денежных средств обязаны противодействовать осуществлению переводов без согласия клиента и вправе при выявлении признаков таких операций приостанавливать их на срок до двух дней. «Антифрод-системы, работающие на стороне банка получателя средств и на стороне банка отправителя, должны смотреть друг на друга и принимать адекватные решения. Для этого финансовым организациям не хватает знаний – у таких организаций как на стороне плательщика, так и на стороне получателя должна быть возможность обогащения своих антифрод-систем знаниями о том, что из себя представляет тот или иной человек. Эта тема пересекается с темой цифрового профиля и согласия человека на обработку персональных данных для разных направлений», – отметил Артём Сычёв. Кроме того, по его мнению, необходимо выстраивать более активное взаимодействие финансовых организаций с телеком-операторами, в том числе в части работы антифрод-систем и процесса аутентификации клиентов. 

За «трендами» мошенников внимательно следит регулятор. Так, в Методических рекомендациях Банка России от 6 сентября 2021 г. № 16-МР указано, на какие операции клиентов – физических лиц кредитным организациям стоит обращать повышенное внимание с целью выявления и пресечения такой практики, как использование в противоправных целях:

• платежных карт или иных электронных средств платежа, оформленных на подставных физических лиц (так называемых дропов или дропперов);
• не принадлежащего кредитной организации специального программного обеспечения, которое в автоматическом режиме заполняет данные, необходимые для осуществления перевода денежных средств с помощью онлайн-сервисов.

Повышение цифровой грамотности широких масс, а не только кадров для цифровой экономики

Конечно, критически важным для противодействия мошенничеству фактором остается повышение осведомленности граждан о финансовых продуктах, с одной стороны, – чтобы предложения, например, перевести деньги на якобы более защищенный счет в принципе ушли в прошлое, и о том, что делать, сталкиваясь с мошенниками, – с другой. О необходимости повышения цифровой и финансовой грамотности сейчас говорится так же часто, как о непосредственно цифровизации. В связи с этим нельзя не упомянуть о предполагаемом запуске программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности – Постановлением Правительства РФ от 3 февраля 2022 г. № 94 утверждены критерии отбора организации, которая будет реализовывать эту программу, и правила предоставления ей субсидий из федерального бюджета на эти цели. При отборе обязательно будут оцениваться не только подготовленные план и смета программы, но и инфраструктура и кадровые ресурсы организации, а также опыт в реализации проектов просвещения в области кибергигиены широких слоев населения, в том числе детей, студентов и пенсионеров, за последние три года. На субсидирование программы в 2022-2024 годах планируется направить из бюджета 600 млн руб.

В прошлом году Банк России призвал кредитные организации усилить информационную работу с клиентами в целях противодействия несанкционированным банковским операциям – в том числе посредством их прямого предупреждения о недопустимости сообщения посторонним лицам сведений, которые могут быть использованы для перевода денежных средств без согласия их владельца: персональных данных, информации о банковской карте, паролей из СМС, секретных слов и т. д. (Методические рекомендации Банка России от 19 февраля 2021 г. № 3-МР). В частности, банкам рекомендовано использовать способы информирования, позволяющие обеспечить максимальный охват: не менее 80% клиентов – физических лиц, доступное восприятие доводимой информации (особое внимание предлагается уделять доступности информационных материалов для лиц с ограниченными возможностями здоровья) и контроль эффективности ее использования клиентами.

Так, на постоянной основе, как предполагается, информация о мошеннических рисках должна размещаться в приложениях дистанционного банковского обслуживания, на экранах банкоматов (с приоритетом соответствующей заставки при ротации), на официальном сайте банка – например, в специальном разделе о противодействии несанкционированным операциям с постоянным анонсированием данного раздела на главной странице сайта (в пределах первого экрана). Соответствующие материалы, в том числе в печатном в виде, рекомендуется размещать в помещениях офисов кредитной организации и во всех местах обслуживания клиентов. Кроме того, тему защиты от мошенничества согласно рекомендациям следует включать и в рекламные материалы кредитной организации. Информирование также рекомендуется осуществлять при звонках клиентов в колл-центр банка, а СМС-рассылки, охватывающие не менее 80% клиентов, делать не реже раза в квартал. Эффективность реализуемых мероприятий должна оцениваться регулярно – не реже чем раз в полгода.

Предложения по борьбе с утечками данных

Основным каналом получения мошенниками данных пользователей, в том числе телефонов и адресов электронной почты, необходимых для реализации схем телефонного мошенничества (к слову, по данным Роскомнадзора, количество мошеннических звонков гражданам России превысило в прошлом году 3,7 млн) и «доставки» ссылок на фишинговые сайты, остаются утечки/продажа баз данных пользователей. И в России, и в мире утекают в основном персональные данные граждан: в 2021 году их доля в общем объеме утечек составила, по данным экспертно-аналитического центра InfoWatch, 88,7% и 82,3% соответственно. Мировой антирекорд был зафиксирован в 2019 году: количество утекших записей персональных данных составило 14,86 млрд (и это только по сведениям о выявленных утечках). Утекают данные, как подчеркнула Наталья Касперская, в основном через сотрудников операторов персональных данных: банков, телеком-операторов, государственных структур. Решить эту проблему, по мнению эксперта, невозможно без изменения подхода к ответственности за незаконное использование персональных данных.

Какие ИТ-гиганты уже «приземлились» в России?

C 1 января 2022 года вступил в силу п. 3 ст. 5 Федерального закона от 1 июля 2021 г. № 236-ФЗ – так называемого закона о «приземлении» иностранных ИТ-компаний (далее – Закон № 236-ФЗ; большинство положений закона действует с 1 июля 2021 года), содержащий требование о создании и обеспечении функционирования в России филиала, представительства иностранной компании или учреждении ею российского юридического лица.

Помимо этого, напомним, осуществляющие деятельность в Интернете на территории России крупнейшие иностранные компании, информационные ресурсы которых посещает в сутки более 500 тыс. россиян, должны:

• разместить на соответствующих ресурсах электронную форму для направления компании обращений российских граждан и организаций;
• зарегистрировать на официальном сайте Роскомнадзора личный кабинет для взаимодействия с государственными органами РФ – правила его регистрации и ведения утверждены Постановлением Правительства РФ от 27 октября 2021 г. № 1837.

Созданные филиал, представительство иностранной ИТ-компании в России или учрежденное ею российское юридическое лицо должны рассматривать обращения, поступающие от российских граждан и организаций, представлять интересы компании в судах, исполнять принятые в ее отношении решения судов и госорганов, а также принимать меры по ограничению или удалению информации, распространяемой на информационном ресурсе компании с нарушением российского законодательства, в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон № 149-ФЗ).

Перечень иностранных ИТ-компаний, обязанных выполнять требования Закона № 236-ФЗ, формирует Роскомнадзор. Сейчас в нем 13 организаций²:

• Google LLC;
• Apple Distribution International Ltd.;
• Meta Platforms, Inc.;
• Twitter, Inc.;
• TikTok Pte. Ltd.;
• Telegram Messenger, Inc.;
• Zoom Video Communications, Inc.;
• Likeme Pte.ltd.;
• Viber Media S.`a r.l.;
• Discord, Inc.;
• Pinterest, Inc.;
• Spotify AB;
• Twitch Interactive, Inc.

Все три требования: об открытии представительства в России, размещении формы для направления обращений и регистрации личного кабинета на сайте Роскомнадзора – пока выполнили только Apple и Spotify. Зарегистрировали личный кабинет и разместили форму обратной связи на своих ресурсах TikTok, Viber, Likeme (компании принадлежит платформа Likee), причем последняя, как сообщается в информации Роскомнадзора от 4 февраля, уведомила ведомство о планах по учреждению российского юрлица, но пока не представила подтверждающих документов. Компания Twitter зарегистрировала личный кабинет на сайте Роскомнадзора. Остальные семь компаний на данный момент не исполнили ни одного требования.

Меры понуждения иностранных компаний к исполнению положений Закона № 236-ФЗ перечислены в его ст. 9. К ним относятся:

• информирование пользователей принадлежащих компании интернет-ресурсов о несоблюдении ею российского законодательства;
• запрет на рекламу в России самой компании и принадлежащих ей ресурсов;
• запрет на распространение рекламы на информационном ресурсе компании;
• ограничение денежных переводов и приема платежей физических и юридических лиц в пользу компании;
• запрет на поисковую выдачу;
• запрещение сбора и трансграничной передачи персональных данных;
• частичное или полное ограничение доступа к информационному ресурсу компании.

Указанные меры могут применяться и в случае несоблюдения иностранными ИТ-компаниями требований, запретов и ограничений, предусмотренных другими законами. Например, при неисполнении обязанности по ограничению доступа или удалению информации, распространяемой с нарушением российского законодательства (предусмотренной Законом № 149-ФЗ), требований об использовании для обработки персональных данных граждан РФ баз данных, находящихся на территории России (ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ), нарушении прав и свобод граждан РФ, гарантирующих в том числе свободу массовой информации (ст. 3.3 Федерального закона от 28 декабря 2012 г. № 272-ФЗ). Как видно, в основу этих положений легли наиболее резонансные нарушения со стороны иностранных ИТ-компаний: неудаление запрещенного к распространению в России контента, игнорирование требования о локализации персональных данных, необоснованная блокировка каналов российских СМИ в некоторых интернет-сервисах.

Пока сведений о том, когда Роскомнадзор намерен применять эти меры понуждения к компаниям-нарушителям, в том числе тем, кто не спешит создавать условия для упрощения коммуникации как с российскими пользователями своих сервисов, так и с органами власти, нет. Но теоретически ограничения, непосредственно влияющие на работу интернет-ресурсов и получаемую с их помощью прибыль, должны стать более действенной мерой, чем назначаемые иностранным ИТ-гигантам штрафы, которые они просто игнорируют. Это подтверждает проведенный в прошлом году Роскомнадзором «эксперимент» по замедлению работы соцсети Twitter: как отмечалось в сообщениях ведомства, за два месяца действия данной ограничительной меры администрация ресурса удалила 91% запрещенных материалов (содержащих детскую порнографию, информацию о наркотиках, в том числе ссылки на продающие их онлайн-магазины, материалы о суициде), которые ведомство выявляло и требовало удалить с 2017 года.

Стоит напомнить, что с 10 января прошлого года ответственность за нарушение порядка ограничения доступа к информации и информационным ресурсам и удаления запрещенной к распространению информации закреплена в отдельной статье КоАП – ст. 13.41. Самые большие штрафы назначаются провайдерам хостингов и владельцам интернет-ресурсов за непринятие мер по ограничению доступа или, соответственно, неудаление страниц, содержащих призывы к осуществлению экстремистской деятельности, материалы с порнографическими изображениями несовершеннолетних или объявления о привлечении детей для участия в мероприятиях порнографического характера, а также информацию о способах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ и местах их приобретения. Для юридических лиц их размер составляет от 3 до 8 млн руб. При повторном нарушении организации должны будут заплатить от 1/10 до 1/5 размера выручки за календарный год, предшествующий году, в котором было выявлено правонарушение, – но не менее 8 млн руб. Отметим, что за повторное совершение всех предусмотренных ст. 13.41 КоАП РФ нарушений для организаций предусмотрены именно оборотные штрафы.

В декабре 2021 года российский суд впервые назначил оборотные штрафы за неудаление запрещенной к распространению в России информации двум иностранным компаниям: Google LLC – 7,22 млрд руб., Facebook Inc. (теперь – Meta Platforms, Inc.) – 1,99 млрд руб. Размеры штрафов определялись исходя из данных о годовой выручке компаний в России³ .

Нормативные требования к каким еще интернет-площадкам и сервисам могут быть установлены в ближайшем будущем?

С 1 февраля 2021 года, напомним, вступили в силу требования к распространению информации в социальных сетях, суточная российская аудитория которых превышает 500 тыс. человек: в ст. 10.6 Закона № 149-ФЗ перечислены обязанности владельцев соцсетей, в том числе по мониторгу размещаемого в них контента с целью выявления и оперативного ограничения доступа к информации, распространение которой в России запрещено, определены общие правила взаимодействия владельцев соцсетей с пользователями – теперь в ч. 5 ст. 17 Закона № 149-ФЗ прямо прописано право граждан обращаться за судебной защитой своих прав, нарушенных владельцем соцсети, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации, – и регулятором – Роскомнадзором, а также порядок признания информационного ресурса социальной сетью. В сентябре 2021 года ведомство включило в реестр социальных сетей восемь ресурсов: Facebook, Twitter, Instagram, TikTok, Likee, YouTube, «ВКонтакте» и «Одноклассники» (сам реестр, общая информация о правах и обязанностях владельцев и пользователей соцсетей, все подзаконные акты, необходимые для исполнения положений Закона № 149-ФЗ о соцсетях, рекомендованные счетчики аудитории, форма для направления обращений и обратной связи размещены в специальном разделе сайта Роскомнадзора: 530-fz.rkn.gov.ru).

В настоящее время внимание законодателей сосредоточено на используемых социальными сетями рекомендательных алгоритмах. «Невозможность пользователей контролировать потребляемую информацию: в соцсетях и видеохостингах, за редким исключением, нет кнопок отключения рекомендаций – приводит к созданию эффекта «информационного кокона» и, как следствие, – к поляризации мнений в обществе. Кроме того, у соцсетей появляется инструмент влияния на пользователей, что не исключает манипуляций с их стороны в коммерческих, политических целях, целях социальной инженерии и т. д.», – подчеркивает заместитель председателя Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин. Для того чтобы защитить граждан от таких манипуляций и обеспечить им право самостоятельно выбирать порядок отображения материалов в информационных ресурсах, использующих рекомендательные алгоритмы, предлагается законодательно установить требования к работе последних. По словам депутата, соответствующий законопроект уже разработан и почти готов к внесению в Госдуму. Предполагается, что ключевые его положения будут касаться:

• необходимости получения согласия пользователя на использование рекомендательного алгоритма и обеспечения возможности его отключения: пользователь сможет указать, что не хочет видеть контент, подобранный для него с помощью искусственного интеллекта, и тогда материалы будут отображаться в простом хронологическом порядке;
• прозрачности рекомендательных алгоритмов: сервис, который их использует, должен будет объяснить основные принципы их функционирования (без раскрытия коммерческой тайны) и гарантировать отсутствие несанкционированных вмешательств в работу алгоритмов;
• обязательности соблюдения установленных правил социальными сетями и видеохостингами как ресурсами, потенциально оказывающими большое влияние на общественное мнение.

Интернет-сервисы, на которые будет распространяться данное регулирование, планируется обязать информировать пользователей об обработке их данных рекомендательной системой (причем у пользователей должна быть возможность отказаться от такой обработки), маркировать коммерческую информацию в рекомендациях, выявлять и пресекать факты воздействия на рекомендательную систему, нарушающего стандартные алгоритмы выдачи информации. Правила использования рекомендаций, как предполагается, должны будут размещаться в открытом для пользователей доступе и содержать права и обязанности владельцев информационных ресурсов, перечень данных о пользователях с указанием источников их получения, меры, предпринимаемые для защиты детей, порядок рассмотрения обращений пользователей, связанных с функционированием рекомендаций, в том числе сроки реагирования на такие обращения.

Помимо этого, в экспертном сообществе уже идут дискуссии о необходимости регулирования:

• игровых стриминговых сервисов. «Игровые стрим-платформы, которые, по сути, близки к аудиовизуальным сервисам и распространяют контент на значительное число пользователей, у нас из-под регулирования выпали [обязанности владельцев аудиовизуальных сервисов установлены в ст. 10.5 Закона № 149-ФЗ. – ГАРАНТ.РУ]. Нужно ликвидировать это законодательный пробел», – считает Александр Малькевич;
• использования технологии deepfake (представляет собой методику синтеза речи или видеоизображений с использованием нейронных сетей; некоторые техники позволяют получать очень качественные синтезированные изображения, не просто осуществляя «пересадку» лиц, но и синхронизируя мимику). «Считаю, что в случаях, когда технология используется в безобидных целях, необходимо маркировать соответствующие материалы, чтобы было понятно, что они созданы при помощи нейросети. И, безусловно, нужно прямо запретить использование дипфейков в мошеннических целях, а также в избирательных кампаниях, поскольку это манипуляция», – подчеркнул Антон Горелкин. По мнению Натальи Касперской, распознавание дипфейков в первую очередь нужно банкам. «Наверное, нужно сначала придумать, как выявлять дипфейки, а потом уже массово внедрять биометрию», – полагает эксперт.

***

В данной статье рассмотрена лишь небольшая часть угроз, с которыми все, кто пользуется мобильными телефонами и Интернетом, в том числе для получения банковских услуг, могут столкнутся. Учитывая разнообразие этих угроз, сложно выработать какую-то общую схему противодействия им. Однако точно можно говорить о том, что уровень защищенности личности в цифровом пространстве зависит не только от государства и бизнеса, который, кстати, занимается саморегулированием: например, в сентябре 2021 года российскими технологическими, цифровыми и медиакомпаниями был создан Альянс по защите детей в цифровой среде, в октябре того же года несколько интернет-площадок (в том числе иностранная Likee), СМИ и АНО «Диалог» (всероссийский межведомственный центр компетенций в сфере интернет-коммуникаций) подписали меморандум о противодействии фейкам, – но и от самих граждан. Освоение азов финансовой и цифровой грамотности, внимательность к рассылкам и посещаемым сайтам уже даст неплохую защиту как минимум от самых распространенных видов мошенничества.