Еще до того, как депутаты Госдумы 18 марта приняли в первом чтении законопроект о принудительной регистрации всех размещающих объявления на маркетплейсах, сайтах вакансий и предложений своих услуг, а также принудительной прослушке телефонных разговоров и слежке за активностью граждан в соцсетях, его главный куратор, Минцифры, разработало госзаказ на соответствующую платформу по борьбе с киберпреступниками. Масштабы охвата платформой всех сфер взаимодействия граждан по интернет и телефонной связи поражают воображение. Новая ГИС должна будет обрабатывать до 1 млрд. финансовых переводов в сутки, до 360 млн. телефонных звонков в сутки, до 10 млн. операций на маркетплейсах/порталах объявлений в сутки, а также следить за действиями до 77 млн. пользователей соцсетей. Также в сутки. Как это сочетается с Конституцией страны, с ФЗ «О персональных данных» и проч. – даже стесняемся сказать. Очень похоже, что никак. При этом Шадаев и Ко еще намерен вечно (!) хранить созданную в ГИС базу всех обнаруженных новой платформой утечек чувствительных ПД. А искать утечки, в том числе – потенциальные, блокировать разговоры и операции – в том числе, потенциально мошеннические – будут, конечно, не живые люди, а нейросеть. Так, как ее на то запрограммируют. Ситуация, на наш взгляд, просто из ряда вон. В том числе и для личной и национальной безопасности России. Но несмотря на отсутствие здравого смысла, цифросекта продолжает гнуть свою линию.
Разберем выдержки из техзадания Минцифры к новой «антимошеннической» ГИС, которые показались нам наиболее значимыми. Для начала, собственно, цели внедрения «антимошеннической» платформы:
Платформа предназначена для:
«- обеспечения сервиса проверки легитимности организаций, предоставляемых ими электронных ресурсов и сервисов, контактных реквизитов (номеров телефонов, адресов в сети Интернет и прочих) с использованием «белого списка участников»;
- поиска в сети Интернет сведений об утечках персональных данных лица или иной чувствительной информации (по запросу)».
Уже очень интересно. То есть в базе данных (БД) новой ГИС будут аккумулироваться все личные сведения о гражданах, утекшие в интернет, которые эта система распознает. Далее увидим, что храниться они будут в отдельной подсистеме. Самый лакомый кусок для тех же хакеров, мошенников и прочих.
«Выявления и противодействия мошенническим и иным противоправным деяниям с использованием ИКТ, включая:
- выявление и приостановку по запросу «подозрительных» операций;
- автоматический сбор предварительного электронного досье по мошенническим и иным противоправным деяниям с использованием ИКТ и злоумышленникам;
- выявление и ведение БД сведений о жертвах, в отношении которых осуществляется подготовка противоправного деяния с использованием ИКТ, предупреждение и предотвращение противоправных деяний с использованием ИКТ».
Слово «подозрительные» в определении операций не случайно взято в кавычки. Это те операции, которые посчитает таковыми нейросеть системы. Как и автоматический сбор предварительного электронного досье. Кто сказал, что досье будут собирать только на злоумышленников? Ниже убедимся, что слежка за переговорами по телефону, активностью в соцсетях коснется всех граждан. Тем более, если система намерена «предупреждать», т.е. профилактировать противоправные действия с ПД.
«Накопления баз данных и обмена информацией, включая:
- автоматический обмен информацией, сигналами о «подозрительных» операциях с государственными и коммерческими участниками;
- сбор, накопление, актуализацию, повышение релевантности баз данных риск-индикаторов (фидов) в вовлеченных отраслях у всех участников;
- сбор и поддержание в актуальном состоянии «белого реестра участников», их легитимных информационных ресурсов, а также предоставляемых ими цифровых сервисов в различных отраслях».
Опять же, обмен сигналами о подозрительных операциях будет автоматическим – в нем примут участники еще и частники – т.е. банки, операторы связи (фин. и другие организации). Подробный список всех участников – чуть ниже.
При этом все организации, работающие в сети и предоставляющие «цифровые сервисы», попадут в единый реестр и получат «белый» статус. Либо не получат.
«В рамках выполнения работ должны быть решены следующие задачи:
- определение категорий данных, необходимых для эффективного противодействия мошенничеству и иным противоправным деяниям с использованием ИКТ при применении Платформы;
- разработка Частного технического задания на создание Платформы в объеме 2-й очереди».
Нам честно признаются, что в Минцифре еще сами не поняли, какие же категории данных им надо запихнуть в новую ГИС, чтобы эффективно бороться с интернет-мошенниками. Поэтому, чтобы не ошибиться, они решили засунуть туда все, что возможно.
- «Принцип обязательности действия участников
Данный принцип означает обязательность выполнения операций по приостановке или блокированию участниками мошеннических и иных противоправных деяний на базе обоснованного поручения, полученного из Платформы. При этом должна обеспечиваться заданная скорость реагирования, что будет способствовать эффективности применения Платформы».
Отличный принцип работы – досудебная блокировка активности потенциальных мошенников. Пришел сигнал от нейросети Минцифры – и все участники должны тут же реагировать. Главное, чтобы реакция была на реальных мошенников, а то ведь всякое бывает.
«Принцип полного отраслевого покрытия
Принцип полного отраслевого покрытия означает обязательность подключения к Платформе и принятие правил ее использования каждым из официально функционирующих отраслевых участников».
Принцип безальтернативного использования всеми и полного подчинения – обязательная фишка от цифрового корпорократа Шадаева и Ко.
- «Принцип проактивности
Данный принцип означает нацеленность Платформы на выявление противоправных деяний с использованием ИКТ на ранних фазах его осуществления».
О чем и писали выше. Для выявления мошенничества в сети на ранних фазах надо отслеживать взаимодействие всех людей и организаций в сети. Тотальный контроль. Иначе о каком раннем выявлении речь?
«Требования к Платформе в целом
Платформа должна проектироваться и создаваться как межотраслевой инструмент с вовлечением как минимум следующих отраслей и видов организаций:
- финансовая отрасль: Банк России; кредитные организации (далее – банки); страховые компании; микрофинансовые организации (далее – МФО); операторы по переводу денежных средств; АО «Национальная система платежных карт» (АО «НСПК»); операторы финансовых платформ; операторы обмена цифровых финансовых активов;
- отрасль госуправления: уполномоченные федеральные органы исполнительной власти Российской Федерации (далее – ФОИВ), предоставляющие услуги через ЕПГУ или собственные порталы; Росфинмониторинг; Роскомнадзор; МВД России; Генеральная прокуратура Российской Федерации и органы Прокуратуры Российской Федерации; Следственный комитет Российской Федерации; ФСБ России; суды Российской Федерации;
- телеком отрасль: операторы стационарной и мобильной связи; телеком-провайдеры (включая хостинг-провайдеров, провайдеров облачных услуг); социальные сети (представленные в случае национальных операторов российскими юридическими лицами, а в случае иностранных – телеком-провайдерами); организаторы распространения информации в информационно-телекоммуникационной сети Интернет;
- организации электронной торговли: маркетплейсы; организаторы торговли; иные коммерческие организации, оказывающие услуги в электронном виде или осуществляющие интернет-торговлю;
- профессиональные участники отрасли информационной безопасности: НКЦКИ; организации, предоставляющие БД риск-индикаторов (фидов); организации, оказывающие услуги по расследованию (технический анализ) инцидентов ИБ в области ИКТ; организации, предоставляющие сервисы ИБ, используемые для противодействия мошенничеству с использованием ИКТ или для выявления утечек персональных данных и иной чувствительной информации в сети Интернет».
Как видно, в ГИС будут аккумулированы сведения о взаимодействии граждан и организаций из всех ключевых сфер.
«Платформа должна реализовывать следующий функционал:
- наличие инструментов для осуществления киберразведки, призванной осуществлять превентивный сбор сведений о фактах утечек персональных данных и иной конфиденциальной информации, которая может использоваться для реализации противоправных деяний с использованием ИКТ. Ведение закрытого доверенного реестра структурированных сведений о фактах произошедших утечек персональных данных и иной чувствительной информации граждан;
- наличие функционала, предназначенного для формирования «белых списков участников» и предоставляемых ими цифровых сервисов, в том числе через предоставление данных о регистрации в налоговых органах, для проверки их легитимности пользователями Платформы и быстрой дифференциации с противоправными ресурсами»
Превентивный сбор сведений об утечках… Фактически, Минцифры претендует на статус крупнейшей конторы по отслеживанию любой скомпрометированной личной информации в сети. И ее аккумуляции.
«Так как Платформа должна обрабатывать защищаемую информацию, относящуюся к гражданам Российской Федерации и иностранным лицам (выполняющим электронные операции в российском сегменте сети Интернет), а также лицам без гражданства, включая технические данные телеметрии, данные о большом числе организаций, то сама Платформа должна быть объектом защиты».
Понятно, что пункт о должной защищенности системы должен был присутствовать – хотя бы для вида. На практике же понятно, что все хранимое в БД новой ГИС очень скоро станет достояние тех, с кем эта ГИС призвана бороться. Кстати, а что же это за данные будут, давайте взглянем предметно:
«Требования к показателям назначения Платформы
Спроектированная Платформа должна предполагать функционирование в режиме 24x7x365 в отказоустойчивом и катастрофоустойчивом исполнении как минимум в трех территориально распределенных ЦОД в режиме active-active.
Платформа в целевой конфигурации (по результатам ее создания в рамках выполнения всех очередей) должна иметь возможность выполнять свои функции с учетом следующих информационных потоков:
- общее количество отраслевых транзакционных операций в сутки (обрабатываемых с использованием всех локальных сегментов Платформы) – до 1 млрд.;
- количество звонков в сетях телеком-операторов в сутки (обрабатываемых с использованием локальных сегментов Платформы) – до 360 млн.;
- количество операций на электронных торговых площадках в сутки (обрабатываемых с использованием локальных сегментов Платформы) –
до 10 млн.;
- количество пользователей социальных сетей (обрабатываемых с использованием локальных сегментов Платформы) – до 77 млн.;
- обеспечивать возможность обращения по случаю «подозрительной» операции в любой из поддерживаемых Платформой отраслей на любой фазе «подозрительной» операции».
Платформа Минцифры будет следить за всеми денежными переводами, за всеми нашими голосовыми переговорами по телефону (привет, биометрия), за всеми покупками граждан на маркетплейсах, а также – за активностью практически всех граждан в соцсетях. Очень мило.
«Информационное взаимодействие участников в рамках функционирования Платформы должно быть исключительно в электронном виде».
Кто бы сомневался, что иметь дело всем участникам системы придется с машинным алгоритмом, с минимумом человеческого участия. И минимум надежд на человеческий разбор ситуации, а нюансов с «предупреждением мошенничества» в сети может быть очень много. ИИ на все не хватит.
Переходим к тому, какие данные будут передаваться в систему Минцифры разнообразными участниками:
«В интересах телеком отрасли техническое решение по Платформе должно обеспечивать возможность Операторам связи и телеком-операторам автоматически передавать в Платформу следующие данные:
- сведения об абонентском номере, по которому прекращено оказание услуг связи;
- сведения о смене SIM-карты или IMEI абонентского устройства;
- сведений о принадлежности телефонных номеров подвижной связи в случае совершения правонарушения с использованием данного номера;
- сведения об абонентах с большим числом SIM-карт;
- сведения о владельцах большого числа доменов интернет».
Не слишком ли много глубоко личных сведений, включая смену модели мобильного телефона?
«Локальный сегмент Платформы для операторов связи должен иметь возможность реализации:
- автоматического мониторинга с использованием технологий ИИ контента информационного обмена клиентов с целью выявления подозрительных звонков и иных электронных коммуникаций. Мониторинг должен осуществляться на выборочной основе исходя из явного разрешения клиента на такой мониторинг, а также в случае веских оснований считать, что коммуникация носит «подозрительный» характер на базе имеющихся у оператора данных;
- рейтингования подозрительных коммуникаций с целью принятия решения:
о разрыве сессии коммуникации со злоумышленником;
о формировании сигнала о «подозрительной» сессии без ее разрыва с передачей сигнала в Платформу».
Звонки и «иные электронные коммуникации» - тут видимо речь и о мессенджерах, и о переписках в СМС… Очень интересно, как оператор со своими «вескими основаниями полагать» будет вмешиваться в частное пространство граждан и передавать всю нашу личную инфу на платформу.
Далее идут немаленькие интересы Банка России (не подчиняющегося ни одной ветви власти в стране), суть - полный контроль всех транзакций:
«Платформа должна обеспечивать двухсторонний обмен информацией между Банком России и Платформой (передача информации из базы данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента со стороны Банка России и получение информации из Платформы) с учетом целевого назначения Платформы.
Платформа должна обеспечивать передачу в АС Банка России информации из следующих информационных систем: «Антифишинг» Минцифры России и «Антифрод» Роскомнадзора. Также возможно обеспечение передачи (обмена) информации между другими информационными системами Платформы и участниками информационного обмена Платформы (операторами мобильной связи, телематических и телекоммуникационных услуг и т.д.)».
Граждан спросить о том, желают ли они, чтобы Минцифры заглянуло во все наши электронные кошельки, снова забыли.
«Проектное решение по Платформе должно предполагать обеспечение двустороннего обмена данными с сервисами электронного правительства, включая ЕПГУ и ЕСИА.
ЕСИА должна использоваться в качестве одного из инструментов доверенной идентификации и аутентификации пользователей Платформы.
ЕПГУ должен информировать Платформу с помощью сигналов о следующих событиях:
- обращении пользователей в ЕПГУ по поводу смены контактных данных: адреса электронной почты, телефона;
- многократных неуспешных попытках входа в ЕПГУ;
- смены пароля.
От телеком-операторов через Платформу в ЕПГУ должны передаваться следующие данные:
- сведения об абонентском номере, по которому прекращено оказание услуг связи;
- сведения о смене SIM-карты или IMEI абонентского устройства».
И снова – кто бы сомневался, что ЕПГУ передаст все ПД зарегистрированных там граждан в новую ГИС.
«Удаление записей из БД участников не предусматривается».
Вечное хранение всех ПД в базе данных платформы Минцифры, в том числе, всех чувствительных личных данных, попавших в утечки. Чем обоснован этот очевидный фактор риска, непонятно.
- «Требования к модулю базы данных сведений об утечках чувствительной информации
Данный модуль должен быть предназначен для выявления, ведения БД сведений об утечках ПДн граждан и иной чувствительной информации, которая может быть использована для осуществления противоправных деяний с использованием ИКТ.
БД должна содержать как минимум следующие сведения:
- наименование организации-источника утечки;
- наименование БД, подвергшейся утечке;
- объем утечки (в количестве уникальных записей);
- состав атрибутов данных, входящих в утечку;
- реестр идентификаторов граждан, чьи данные подверглись утечке;
- дата и время утечки;
- ресурсы, на которых размещены сведения об утечке и сами утраченные данные.
Данные сведения должны использоваться для формирования специального фида о потенциальных жертвах, с возможностью прогнозирования вида и сценария противоправных деяний с использованием ИКТ в отношении данных граждан.
Данный модуль также предназначен для формирования статистики и аналитики по утечкам.
Сведения данного реестра могут быть использованы только в процессах функционирования централизованного сегмента Платформы и не должны передаваться участникам. Доступ к данному реестру должен быть строго ограничен в Платформе».
Ну вы поняли – все личные данные граждан и организаций из утечек будут храниться в ГИС Минцифры вечно. Причем по этим данным будет прогнозироваться «вид и сценарий противоправных действий с использование ИКТ». Даже если самих действий еще нет, нейросеть Минцифры придумает наилучший алгоритм для работы мошенников с этими утечками!
Не знаем, смеяться тут или плакать, но волей-неволей складывается ощущение, что аккумулирование всех наших чувствительных ПД от операторов в единой базе нужно Шадаеву и Ко не только и не столько для борьбы с мошенниками, сколько для совсем иных целей.
- «Требования к подсистеме формирования электронного досье
Данная подсистема должна быть предназначена для формирования структурированного электронного досье как минимум по следующим сущностям:
- мошенничество или иное противоправное деяние с использованием ИКТ;
- жертва мошенничества или иного противоправного деяния с использованием ИКТ;
- злоумышленник.
В зависимости от того, какой тип электронного досье должен формироваться (предварительное или квалифицированное), состав сведений и атрибутов, а также применение механизмов обезличивания должны отличаться.
Формирование предварительного электронного досье должно осуществляться как по запросу участника, так и самостоятельно Платформой при выявлении «подозрительной» операции. Возможность формирования квалифицированного электронного досье Платформой должна быть только по электронному запросу МВД России, Следственного комитета России, органов Прокуратуры России, судов.
Платформа должна позволять формировать электронное досье как по текущим (в том числе длящимся «подозрительным» операциям и их участникам), так и по архивным».
Финальный штрих – придание системе правовой легитимности. Сама платформа без спроса силовиков, следствия и судебной власти, будет формировать предварительное электронное досье и на «жертву» и на «злоумышленника» того, что она посчитает мошенничеством по телефону/в интернете. А если уж получит запрос от МВД и других, тогда досье системы уже будет иметь полный правовой и доказательный (в суде) вес. Еще раз – по всем в принципе операциям электронное досье на каждого из нас может формироваться автоматически. И формировать его будут не люди-операторы (выявлять и ловить потенциальных и реальных мошенников), а нейросеть, ИИ-модель (или NL-модель).
Общее впечатление от проектируемой Минцифрой ГИС крайне удручающее. Это очевидный конец приватности, гарантированной каждому из нас Конституцией России. Это начало настоящей цифровой слежки и рейтингования каждого по степени «лояльности» и «доверительности». Только пока рейтинг в виде «белого реестра» вводится для компаний, а не для физлиц. Но это дело наживное. Считаем, что такое грубое вмешательство в частную жизнь, под любыми благими якобы предлогами, недопустимо. Про риски нацбезопасности и суверенитету страны в случае передачи БД из этой ГИС в руки любого недоброжелателя России просто умолчим – они очевидны. Шадаев и Ко зашли слишком далеко в построение «прозрачного транспарентного мира» Четвертой промреволюции по лекалам Клауса Шваба и прочих трансгуманистов. И этот цифровой Левиафан обязательно пожрет себя сам – как бы только перед тем он не затащил всех нас в свою бездну.
РИА Катюша
