Российские банки высказались против доступа спецслужб к клиентским данным

Татьяна Никитина 23 Октября 2023 - 13:14

...

Российские банки высказались против доступа спецслужб к клиентским данным

Ассоциация банков России (АБР) не поддержала законопроект, закрепляющий право доступа Минобороны, ФСБ, ФСО, Службы внешней разведки, МВД к информационным системам и базам данных для редактирования или удаления сведений о сотрудниках спецслужб.

Соответствующие поправки к действующему законодательству о персональных данных были внесены на рассмотрение в Госдуму в августе 2023 года. Предложенный законопроект предусматривает создание отдельного реестра ИС, в которых обрабатываются данные сотрудников силовых ведомств, а также разделение таких клиентов на категории, которые будут определены президентским указом.

Операторы внесенных в реестр ИС, в том числе банки, должны предоставить спецслужбам доступ к данным, а также выполнять их требования по обеспечению конфиденциальности ПДн силовиков. Отказ в предоставлении доступа грозит запретом эксплуатации таких систем.

Операторы также должны будут проводить мониторинг своих ИС с целью выявления сведений о ведомственной принадлежности сотрудников спецслужб и незамедлительно информировать силовые структуры о своих находках.

В письме АБР, направленном в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну, сказано:

«Концепция законопроекта порождает многочисленные правовые коллизии и входит в противоречие с положениями законодательства, устанавливающими режимы защиты охраняемой законом тайны; нормами, регулирующими безопасность критической информационной инфраструктуры, противодействие отмыванию доходов, полученных преступным путем, и финансированию терроризма, и рядом других нормативных требований».

Принятие законопроекта может привести к нарушению конституционных прав граждан из-за предоставления третьей стороне неограниченного доступа к ПДн физлиц без их ведома и согласия. Более того, неконтролируемый доступ спецслужб может повысить ИТ- и ИБ-риски в случае некорректного изменения информации, необходимой для функционирования баз данных, а ошибки при удалении или редактировании сведений о ведомственной принадлежности сотрудников спецслужб создадут риск ненадлежащей идентификации клиентов сервис-провайдера.

Банки также могут столкнуться с невозможностью выполнения требований антиотмывочного законодательства, по которому они должны по запросу Росфинмониторинга предоставлять данные об операциях клиентов и с определенной периодичностью обновлять клиентскую информацию. Если позволить спецслужбам изменять сведения об их сотрудниках в ИС без уведомления оператора, он окажется под санкциями регулятора — вплоть до приостановления деятельности.

Право спецслужб контролировать обработку ПДн силовиков, которое они получат в случае принятия предложенных поправок, АБР сочла избыточным: эти функции осуществляет Роскомнадзор. Банкиры также опасаются, что выполнение новых требований приведет к существенному увеличению объема работ, росту трудозатрат и издержек.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 19 Мая 2026 - 10:49

Фишинг Мошенничество GenAI (генеративный искусственный интеллект)Онлайн-мошенничество Домашние пользователи

ИИ превращает пару постов в Instagram в убедительный фишинг

Исследователи из Техасского университета в Арлингтоне и Государственного университета Луизиана показали, как несколько публичных постов в Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) можно превратить во вполне убедительные фишинговые письма.

Злоумышленнику достаточно посмотреть открытый профиль: фото, подписи, поездки, хобби, дни рождения, отношения, а дальше генеративный ИИ сам соберёт письмо.

В рамках эксперимента исследователи сгенерировали около 18 тыс. фишинговых писем с помощью пяти больших языковых моделей, включая GPT-4, Claude 3 Haiku, Gemini 1.5 Flash, Gemma 7B и Llama 3.3. Для персонализации использовалась публичная активность 200 пользователей Instagram.

Письма строились вокруг разных приёмов социальной инженерии: приманки, запугивания, имитации доверенного контакта, выгодного обмена, эмоционального давления и других сценариев. В результате ИИ вставлял в сообщения детали, которые делают фишинг особенно эффективным: упоминания поездок, местных событий, интересов, личных дат или недавней активности.

Самыми убедительными в тестах оказались письма, созданные GPT-4 и Claude. Они получили высокие оценки по качеству языка, уровню персонализации, эмоциональному воздействию и технической проработке. Более того, ИИ-сообщения выглядели заметно естественнее и персональнее, чем реальные фишинговые письма из датасета APWG eCrime Exchange.

Проверяли это не только на метриках, но и на людях. В эксперименте участвовали 70 человек, которые сравнивали ИИ-фишинг с реальными вредоносными письмами. Результат ожидаемо неприятный: сообщения, сгенерированные ИИ, участникам было сложнее распознать. В отдельных случаях они казались менее подозрительными, чем легитимные письма из исследования.

Ещё один важный вывод: много данных атакующему не нужно. Основной контекст для персонализации обычно находился уже в первых нескольких постах. После пяти публикаций прирост полезной информации начинал снижаться, а 10-15 постов оказалось достаточно, чтобы массово делать таргетированный фишинг.

Защитные механизмы ИИ-моделей тоже не всегда спасали. Исследователи обходили ограничения мягкими формулировками: вместо «обмани пользователя» — «персонализируй сообщение», вместо «фишинг» — «дружеское письмо». В итоге часть систем модерации такие запросы пропускала.

Цена атаки тоже смешная: одно письмо обходилось меньше чем в цент и генерировалось за секунды. И вот это уже главный неприятный момент. Персональный фишинг раньше был дорогим и ручным, а теперь превращается в конвейер.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!