"Большая тройка" операторов сотовой связи (МТС, "ВымпелКом" и "МегаФон") на прошлой неделе отправила в Центробанк письмо, в котором представители компаний выразили беспокойство по поводу нового проекта указания ЦБ об информационном обмене с банками о кибератаках. В письме говорится, что документ, общественное обсуждение которого было закрыто в сентябре, предусматривает нарушение тайны связи.
Как пишут "Ведомости", из проекта указания следует, что ЦБ намерен собирать широкий перечень сведений о кибератаках. Среди прочего, при наличии технического возможности, банки должны будут передавать регулятору данные об устройстве, с помощью которого пытались похитить деньги: IP-адресе пользователя, индивидуальном номере абонента (IMSI), а также международном идентификаторе мобильного устройства (IMEI). Частью полученной информации Центробанк планирует делиться с банками, чтобы помочь им бороться с мошенниками.
Как отмечается в письме операторов, перечисленные сведения составляют тайну связи – такая информация может передаваться третьим лицам только по решению суда, и в этой ситуации есть риск привлечения сотрудников операторов к ответственности за нарушение тайны связи.
По словам партнера консалтингового агентства "Емельянников, Попова и партнеры" Михаила Емельянникова, Конституционный суд в определениях 2003 и 2008 годов подчеркнул, что тайну связи составляют любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, а не только содержание разговоров. Так, он напомнил, что на основе этих определений суды второй и третьей инстанций, рассматривая спор "Мегафона" с ФСФР, отнесли к тайне связи и IMEI. По мнению Емельянникова, для граждан передача регулятору таких сведений чревата тем, что они могут быть ограничены в правах на экономическую деятельность без судебного решения. Чтобы обмениваться информацией об IP-адресах, IMEI и IMSI без согласия абонента, нужны изменения в законодательстве, полагает юрист.
В свою очередь, бывший IT-директор крупного банка уточнил, что информацию об IP-адресах клиентов банки получают из приложений, а при согласии клиента можно получать и информацию о IMSI и IMEI. При этом начальник управления информационной безопасности "Златкомбанка" Александр Виноградов отметил, что некоторые данные банки получают и от операторов связи на основании договоров. Например, это касается сведений о замене SIM-карт, однако в большинстве случаев такой обмен информацией могут себе позволить лишь крупные банки.
Как уточнил сотрудник одной из компаний "большой тройки", операторы не передают банкам сведения, а лишь сообщают об изменении статуса SIM-карты, номер которой и так уже есть у банка. Такое информирование нужно для предотвращения случаев, когда мошенники узнают номер клиента банка и, как правило, по сговору с сотрудником салона связи делает дубликат SIM-карты (карта настоящего абонента при этом блокируется), чтобы получить доступ к личному кабинету жертвы.
По словам эксперта по информационной безопасности Николая Пятиизбянцева, банки не являются объектами регулирования закона о связи, а по закону, регулирующему их деятельность (161-ФЗ), должны передавать ЦБ сведения о попытках хищения денег. Таким образом, по мнению эксперта, нарушения тайны тут нет.