Операторов связи заставляют сдать банкам персональные данные россиян. Риск новых утечек огромен
Центробанк хочет заставить операторов связи передавать банкам персональные данные абонентов. Сами операторы, а также ФСБ резко против такой инициативы – по их мнению, это может привести к росту утечек информации.
Власти велели делиться
Операторов связи могут на уровне закона обязать передавать персональные данные своих абонентов отечественным банкам. Как пишет «Коммерсант», инициатива исходит от Центробанка и властей и в настоящее время обсуждается с действующими банками, а также силовыми структурами. Сами операторы тоже принимают в этом участие. Нововведение преподносится как еще одна мера по борьбе с преступностью.
Новое предложение – это на самом деле относительно старый законопроект – пять лет назад, в 2018 г. группа депутатов подготовила поправки к «О противодействии легализации (отмыванию) доходов, полученных преступным путем», подразумевающие создание в России системы обмена персональными данными россиян между банками и операторами связи. За документом стоят, помимо прочих, депутаты Игорь Дивинский и Анатолий Аксаков, однако продвижение их разработки застопорилось на первом чтении, состоявшемся в 2019 г. – до второго она тогда так и не добралась.
Спустя еще три года, в 2022 г., законопроект было решено «освежить» – началась активная доработка, следствием которой стали известны и название будущей системы обмена чувствительными сведениями о россиянах между банками и россиянами, и тот, кто контролирует ее работу.
В последний раз к моменту выхода материала инициатива обсуждалась в начале июня 2023 г.
Ужесточить и заставить
Инициатива Центробанка заключается в первую очередь в ужесточении требований к передаче банкам информации о россиянах. Оригинальная версия законопроекта гласит, что отправке финорганизациям подлежат лишь сведения о замене SIM-карты , самого мобильного устройства и ряда других технических подробностей, сообщил изданию собеседник на рынке связи.
Регулятор намерен расширить перечень сведений, которые банки смогут получать от операторов. В список добавятся и персональные данные абонентов, имеющиеся в базах самих операторов.
Передавать персональные данные 146 млн человек банкам, если инициатива Центробанка будет одобрена, операторы станут обязаны посредством «Единой системы проверки сведения об абоненте» (ЕИС ПСА), оператором которой является Главный радиочастотный центр (ГРЧЦ). Это подведомственная Роскомнадзору организация.
На момент выхода материала официального подтверждения того, что Центробанк, силовики и операторы связи ведут переговоры относительно совместного использования ЕИС ПСА, не было. Однако об их проведении говорят сразу несколько источников издания в смежных отраслях – в телекоммуникациях и в информационных технологиях.
Персональное станет общественным
Новая задумка Центробанка не нашла одобрения ни у операторов связи, ни у представителей Федеральной службы безопасности России (ФСБ). И те, и другие уверены, что новое требование обмена персональными данными с банками ведет к рискам их утечки.
На каком именно этапе возможна утечка – во время передачи данных или же при хранении их в базах банков, операторы и силовики не уточняют. Однако нельзя забывать, что в России есть немало зафиксированных случаев попадания в открытый доступ информации о россиянах, до этого хранившейся в инфраструктуре банков. Например, в июле 2020 г. в Сети появились персональные данные клиентов «Альфа-банка» – ФИО, город проживания, номер мобильного, а также баланс счета и многое другое. «Известия» убедились в подлинности информации, после чего банку пришлось признать факт утечки. В тот же период выяснилось, что двое сотрудников банка поставили на поток продажу информации о клиентах.
Годом позже «протек» Совкомбанк, а в начале весны 2023 г. произошла утечка персональных данных клиентов программы лояльности Сбербанка «Сберспасибо». Это поистине гигантский слив, так как на просторах интернета оказалась база с информацией о 47 миллионах россиян, но до рекорда эта утечка не дотянула. Впрочем, рекорд в настоящее время тоже принадлежит Сбербанку – в конце 2019 г. он не сумел уберечь от попадания в интернет сведений о 60 миллионах своих клиентов. Это крупнейшая утечка за всю историю российской банковской системы.
Что говорят операторы
Представители «большой четверки» высказываются против нововведения, навязываемого Центробанком. Как сообщили изданию представители Tele2, необходимость передавать персональные данные россиян и сведения об их номере «широкому перечню третьих лиц» усложняет задачу по их сохранности «Обработка всех данных в одной системе повышает интерес к ней со стороны хакеров», – заявили представители оператора.
В «Мегафоне» заявили CNews, что Центробанк и авторы законопроекта предлагают, по сути, создать систему, которая копирует уже имеющиеся у самих операторов разработки. При этом система будет создана на деньги операторов и банков.
Притом концепция этой системы подразумевает огромные финансовые вливания, так как это будет не шлюз, предполагающий перенос сведений из базы данных оператора в базу банка, а отдельную систему хранения, утверждают представители «Мегафона». «Это предполагает дорогостоящую инфраструктуру и биллинг, дублирующие операторские системы, а также единую точку отказа для всех финансовых организаций и большие риски утечки абонентских данных из единой системы», – отметили они.
В «Мегафоне» подчеркнули, что та версия законопроекта, которая сейчас обсуждается, совершенно не учитывает мнение российской телеком-отрасли. О том же изданию сообщили и представители МТС.
Возникшие между участниками обсуждения разногласия поставило под вопрос рассмотрение законопроекта Госдумой в ближайшее время, рассказал изданию источник на рынке связи. По его словам, оно может быть отложено на осень 2023 г.