Предложенные ЦБ методы борьбы с мошенниками нарушают тайну связи

Операторы «большой тройки» – МТС, «Мегафон» и «Вымпелком» сообщили ЦБ, что обеспокоены его новым проектом указания об информационном обмене с банками о кибератаках, рассказали «Ведомостям» сотрудники трех операторов. Такое письмо они направили Банку России на прошлой неделе, указывает один из них. Еще месяц назад – 5 сентября – регулятор закрыл общественное обсуждение своего проекта указания.

Согласно документу ЦБ планирует собирать широкий перечень сведений о кибератаках, в том числе банки должны будут передать регулятору данные об устройстве, с помощью которого пытались похитить деньги. А именно – IP-адрес, индивидуальный номер абонента (IMSI), а также международный идентификатор мобильного устройства (IMEI). В проекте указания говорится, что все эти данные банки должны сообщать ЦБ, но только при «технической возможности ее получения». Регулятор же планирует частью информации из своей базы данных делиться с банками, чтобы помочь им бороться с мошенниками.

Однако эти сведения составляют тайну связи, пишут сотовые операторы. Такая информация может передаваться третьим лицам только по решению суда, указывают они: есть риск привлечения сотрудников сотовых операторов к ответственности, поскольку они обязаны обеспечить тайну связи.

Сейчас есть большая правовая неопределенность в том, какие сведения считать технической информацией, а какие – нет, и она создает большие правовые риски для операторов, говорит исполнительный директор Национальной платежной ассоциации Мария Михайлова. Организационно очень сложно получить согласие абонента на передачу таких сведений, указывает она и отмечает, что до этого в своих нормативных актах ЦБ не требовал предоставлять ему эти данные.

Конституционный суд в определениях 2003 и 2008 гг. подчеркнул, что тайну связи составляют любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, а не только содержание переговоров, напоминает партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. По его словам, исходя из этого, суды второй и третьей инстанций, рассматривая, например, спор «Мегафона» с ФСФР, отнесли к тайне связи и IMEI.

Для граждан обмен такой информацией чреват тем, что без судебного решения и доказанности вины они могут быть ограничены в правах на экономическую деятельность, предупреждает Емельянников. Для того чтобы обмениваться информацией об IP-адресах, IMEI и IMSI без согласия абонента, нужны изменения в законодательстве, считает он.

Банки получают информацию об IP-адресах самостоятельно – например, из банковских приложений, говорит бывший IT-директор крупного банка. А в случае согласия клиента технически можно получить и IMSI, и IMEI, указывает он.

Банки получают некоторую информацию и от операторов связи – например, о замене сим-карт их клиентов (это происходит на основании договоров), однако в большинстве случаев это могут себе позволить лишь крупные банки, говорит начальник управления информационной безопасности Златкомбанка Александр Виноградов. И добавляет, что если банк имеет развернутую филиальную структуру, то договоры нужно заключать и с малыми операторами.

Операторы не передают банкам сведения, а лишь сообщают об изменении статуса сим-карты, номер которой уже есть у банка, утверждает сотрудник одной из компании большой тройки. Это нужно, чтобы предотвратить случаи, когда мошенник каким-либо способом узнает номер телефона клиента банка и, как правило, по сговору с сотрудником салона связи делает дубликат сим-карты, рассказывал «Ведомостям» один из банкиров. При этом сим-карта реального абонента блокируется, а мошенник получает доступ к интернет-банку или мобильному банку клиента.

Банки не являются объектами регулирования закона о связи, в то же время согласно требованиям закона, регулирующего их деятельность (161-ФЗ), должны передавать ЦБ сведения о попытках хищения денег, указывает эксперт по информационной безопасности Николай Пятиизбянцев. Это делается на законном основании и нарушения банковской тайны нет, подчеркивает он.

Проект указания ЦБ касается только несанкционированных переводов или их попыток, очень часто в таких случаях клиенты сами приходят и предоставляют все данные банку для расследования, говорит Виноградов.

Представители ЦБ и Tele2 на вопросы «Ведомостей» не ответили, а представители МТС, «Вымпелкома» и Мегафона» отказались от комментариев.-