Поводом для моего депутатского запроса стало увеличение числа казахстанцев, пострадавших в результате действий кибермошенников.
Если не предпринять серьезных мер, то все мы можем оказаться в кредитной кабале. Так как ежегодно уровень киберпреступности набирает обороты.
Только в филиалы нашей партии ОСДП обратились пострадавшие из нескольких регионов: Алматинской, Восточно-Казахстанской, Карагандинской областей, область Жетису и города Астаны. В одной только Алматинской области список обратившихся граждан включает 243 человека. В ВКО – более 200 человек, сумма нанесенного им ущерба составляет около 160 млн тенге.
В масштабах Казахстана речь идет о миллиардах, и это – только официально зарегистрированных. По словам специалистов, от кибермошенничества не застрахован никто. Даже отказ от получения банковских займов, оформленный в egov.kz, не является гарантией защиты от подобных фактов, ведь мошенникам, получившим доступ ко всем вашим персональным данным, ничего не стоит снять эту галочку на портале электронного правительства.
Но в 99% случаев, даже когда факт мошенничества становится очевидным, суды принимают сторону банков и обязуют пострадавших выплачивать кредиты. Учитывая низкий уровень жизни в селах, а также факты того, что на одного человека оформляются кредиты порой до 20-40 миллионов тенге, ряд пострадавших не могут погасить эту задолженность даже в течение всей жизни, и рискуют передать свои долги по наследству. В связи с этим уже были факты суицидов.
Юристы, которые специализируются на подобных делах, считают, что с киберпреступниками сотрудничают бывшие или действующие сотрудники банков, у которых имеются доступы к базам данных клиентов, и которые знают все проблемные точки информационных систем финансовых институтов, используя это в личных целях. Здесь нужно не столько вводить новые законодательные нормы, – достаточно лишь добиться исполнения действующего законодательства.
ПЕРВОЕ. Преступная схема оформления кредитов мошенниками начинается с получения доступа к данным граждан, и чаще всего банки получают эти данные в скрытых договорах, незаконно. Если человек обращается только для открытия зарплатной карты, ему выдают массу договоров, которые он должен подписать. Без этого не будет проведена никакая даже незначительная финансовая операция.
Как подсчитали эксперты информационной безопасности, средний человек должен потратить 44 рабочих дня для того, чтобы прочитать все сообщения о конфиденциальности, которые дают для подписания банки. Понятно, что мало кто их досконально изучает до подписания. Но даже если они не согласны с их формулировками – они рискуют остаться без банковских карт и какого-либо обслуживания, ведь ни один финансовый институт не будет менять договора по просьбе одного клиента. Им просто приходится согласиться со всем, что навязывает финансовый институт.
Многие казахстанцы и не подозревают, что наряду с обычными персональными данными, такими как фамилия, имя, отчество, ИИН, номер телефона, место работы, банки получают от граждан их биометрические данные, в том числе голосовой слепок.
Так, в договоре на выпуск карты одного из крупнейших банков в перечне данных, которые передает клиент, значатся: «получение банком информации о клиенте из государственной базы данных, в том числе о детях, персональные медицинские данные, а также иные виды охраняемых законом тайн». Согласно статьи 144 Гражданского кодекса, к ним относится тайна телефонных разговоров, тайна усыновления, семейная и банковская тайна, а также с недавнего времени в нее включена интимная тайна. Зачем это нужно банкам при обслуживании карты?
Гипер-расширенный список запрашиваемых данных нарушает статью 14 закона о персональных данных и статью 18 Конституции о том, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. У многих банков также имеется пункт о том, что клиент дает разрешение публиковать все эти данные в общедоступных открытых источниках.
Противоречит законам и пункт о том, что «клиент выражает свое безусловное и безотзывное согласие на использование банком биометрических данных». В то время как согласно статье 8 Закона о персональных данных и их защите, у клиентов банка всегда есть право отозвать свои персональные данные. При этом банки бесконтрольно навязывают клиентам ненужные услуги. Так, при открытии карты они и сами не подозревают, что подписали пункт о том, что «клиент заявляет, что он нуждается в предоставлении кредитов на постоянной основе».
Отсюда и звонки, когда вам постоянно и очень навязчиво звонят сотрудники банков, предлагая оформить кредиты. К данной работе необходимо привлечь квалифицированных юристов, так как я перечислил лишь небольшую часть нарушений.
ВТОРОЕ. На сегодняшний день в Казахстане не проводятся экспертизы для определения дипфейков (методика синтеза изображения, основанная на искусственном интеллекте). Поэтому на сегодняшний день невозможно определить, действительно ли это ваш голос, или ваше видео, или они сгенерированы искусственным интеллектом. В этой связи, выдача онлайн кредитов небезопасна.
При этом вызывает нарекания работа мобильных операторов, которые игнорируют законы. Имеются массовые случаи подмены номеров. Причем OTP пароли высылаются на номера, которые не зарегистрированы за пользователем. В законе «О связи» эти случаи прописаны, но на практике нормы не работают. Так, прописано, что владелец абонентского устройства обязан зарегистрировать его у оператора, с предоставлением ИИНа, ID номера и абонентского номера. И только в этом случае ему можно доставлять SМS-пароли и OTP-пароли. Более того – на портале egov.kz возможно регистрировать номера, которые не числятся за пользователями. А мобильные операторы не предоставляют сведения и распечатки относительно тех SМS, которые стали причиной оформления мошеннических кредитов.
Кроме того, операторы не предоставляют абонентам информацию о зарегистрированных на них номерах абонентской связи. Это может коснуться каждого.
ТРЕТЬЕ. Суды при рассмотрении дел с оформлением мошеннических кредитов должны основываться на статье 10 Гражданского кодекса, которая на банк, как на лицо, осуществляющее предпринимательскую деятельность, возлагает ответственность и обязывает его принимать на себя все риски.
Однако на практике в нарушении информационной безопасности оказывается виноватым клиент. Вместе с тем, именно банк является собственником информационных ресурсов, и согласно статье 189 Гражданского кодекса, бремя содержания имущества, в том числе – информационных систем, лежит на его собственнике.
Законодательно собственник несет ответственность за свои объекты информатизации, и обязан принимать меры по их защите, в том числе – за безопасность работы своих мобильных приложений.
90% преступлений на рынке финансовых услуг совершаются с использованием программ удаленного доступа. Во многих казахстанских банках имеются антифрод системы (Anti-fraud «борьба с мошенничеством» – это система, предназначенная для оценки финансовых и не финансовых событий). Но юристам правила их работы не предоставляются. А именно в них заложены критерии анализа операций на предмет мошеннических действий. Были случаи, когда на заемщика, проживающего в селе, оформлялся займ, и в течение 20 минут данные средства выводились одновременно в трех городах Казахстана.
Это очевидно, что такое поведение не является типичным, поэтому система банка должна была как минимум – обратить на это пристальное внимание с точки зрения безопасности, и блокировать выдачу денежных средств до выяснения всех обстоятельств.
ЧЕТВЕРТОЕ, законодательство не ограничивает банки в выборе биометрических систем. Правила использования биометрических данных разрабатываются банками самостоятельно и нигде не публикуются. Они не предоставляются юристам и адвокатам. Более того, их не предоставляют даже суду. Фракция ОСДП считает, что этот вопрос должен быть прозрачным, так как клиенты имеют право знать, как используются их биометрия.
ПЯТОЕ. По словам юристов, в МВД отсутствует алгоритм работы по данной категории дел. Сотрудники полиции неохотно их регистрируют, и не предпринимают действий по поиску мошенников. Максимум, что ими делается – они выходят на дропперов, которые порой даже не подозревают, что стали соучастником преступления. Любая операция оставляет цифровой след, но по данным практикующих юристов, эти цифровые следы стираются самими сотрудниками полиции. В связи с вышеизложенным, фракция ОСДП поддерживает ранее озвученный запрос на введение запрета на онлайн-кредитование в Казахстане. А, также предлагает провести списание кредитов гражданам, пострадавшим по вине банков. Списание однозначно должно быть проведено за счет средств банков, чтобы они в очередной раз задумались об усилении безопасности своих информационных систем, и были в этом заинтересованы. Предлагаю финансовым регуляторам создать рабочую группу и провести ревизию всех договоров банков второго уровня, исключив пункты, которые противоречат законодательству Республики Казахстан. Возможно, как вариант, разработать типовые договора всех банковских и финансовых операций, и внедрить их повсеместно. Также требуем от Генеральной прокуратуры провести проверку на причастность банков и расследования в отношении банков, которые выдавали кредиты описанными выше мошенническими путями.
Кроме этого, просим ответить на следующие вопросы:
- Сколько казахстанцев написали заявления в полицию в связи с кибермошенничеством, и сколько из них переквалифицированы в состав уголовных?
- Каков процент раскрытия данных дел?
- Сколько физических лиц оформили потребительские кредиты в Казахстане, и каков процент проблемных займов, в динамике за последние 5 лет?
- Должна ли система банка обнаруживать и блокировать удаленный доступ?
- Почему при отсутствии у банка антифрод системы не вводится запрет на онлайн кредитование?
- Контроль информационных систем безопасности банков должен проводиться регулятором не реже одного раза в три года. Ведется ли мониторинг, какими банками чаще всего нарушаются требования?
- К какому виду информационных систем относится система банков, и какие требования к ним применяются? (Вопрос особенно актуален с точки зрения утечки персональных данных).
- Проходят ли информационные системы банков испытания на соответствие требованиям информационной безопасности?
- Сколько средств было выделено БВУ Казахстана в 2023 году на усиление информационной безопасности, и сколько планируется выделить до конца 2024 года?
Просим предоставить ответы в установленный законодательством Республики Казахстан срок.
С уважением, депутаты фракции Общенациональной социал-демократической партии А. Рахимжанов Н. Ауесбаев А. Сагандыкова Н. Сайлаубай