ПОДЕЛИТЬСЯ
Дактилоскопия / отпечатки пальцев
Защита персональной информации не является приоритетом в рамках нормативной базы украинского телекома. Между тем, как показывает американский опыт, MNP может оказаться настоящим «решетом». Не меньше проблем связано и с процедурой добровольной персонификации абонентов предоплаты.

Описанные в предыдущей части уязвимости процедуры перенесения номера составляют лишь часть проблемы. Напомню, что данная возможность предоставляется только тем абонентам, которые себя так или иначе персонифицировали, то ли в рамках контрактной формы обслуживания, то ли с помощью добровольной регистрации своего предоплаченного номера. Учитывая тот факт, что свыше 90% украинцев используют именно предоплаченную форму обслуживания, успех MNP в Украине тесно связан с возможностью добровольной регистрации своего номера. А с регистрацией, к сожалению, тоже всё далеко не гладко.

В феврале 2018 года введён в действие «Порядок регистрации абонентов, которые используют телекоммуникационные услуги без заключения договора в письменном виде«. В своё время вокруг этой идеи было сломано немало копий. Надо отдать должное НКРСИ, она учла большинство критических замечаний. В финальной версии исчезла норма об обязательности регистрации и ряд других недостатков. Однако вопросы защиты абонентских номеров от противоправных посягательств не был приоритетным для участников дискуссии. Как результат, эти риски не были учтены должным образом.  Назову наиболее заметные изъяны нынешнего Порядка.

Казус повторного использования

Традиционно украинские операторы исходят из презумпции добросовестности любого пользователя SIM-карты. Если он обращается, например, за восстановлением украденной или потерянной SIM-карты, операторы оставляют за собой право удостовериться, насколько он знаком с движением средств и  звонков по номеру, ассоциированному с этой картой. Однако даже если заявитель не способен ответить на эти вопросы, операторы не считают это основанием подозревать заявителя в противоправном обладании SIM-картой.

В результате внедрения практики регистрации пользователей услуг предоплаченной связи такой подход обнаруживает ряд дефектов. С одной стороны, абоненты предоплаченных услуг, зарегистрировавшие свои номера, обязаны сообщать о прекращении пользования таким номером. Однако никаких действенных механизмов, гарантирующих выполнение ими этого требования на сегодняшний день не предусмотрено, да и вряд ли таковые могут существовать в отсутствие полноценного договора между абонентом и оператором. В результате номер, зарегистрированный в своё время на одного человека, может в результате продажи, передачи в пользование и других обстоятельств попасть в распоряжении другого абонента.

Что должен делать оператор, если к нему обращается пользователь номера, который зарегистрирован на другого?  Трактовать как добросовестного владельца либо же правонарушителя? Возможность оперативно найти человека, на которого номер зарегистрирован, в общем случае отсутствует, решения необходимо принимать на месте.

Казус малолетних

Действующие правила предоставления услуг мобильной связи без заключения контрактов не предполагают каких-либо возрастных ограничений. Купить sim-карту и невозбранно пользоваться ею  может любой человек моложе 18 лет, не только несовершеннолетний, но даже малолетний, то есть ребёнок.

Обсуждаемый порядок добровольной регистрации предполагает, что пройти эту процедуру могут исключительно совершеннолетние. Немедленно возникают вопросы как, с одной стороны, оформлять SIM-карты, находящиеся в пользовании у несовершеннолетних, а с другой стороны, как трактовать для оператора столкновение с несовершеннолетними, чьи SIM-карты на кого-то зарегистрированы?

Ответ «требовать присутствия родителя или законного опекуна» в контексте защиты номеров от противоправного завладения лично меня не удовлетворит. Дело в том, что документы, удостоверяющие права родителя или опекуна, подделать ещё проще. Для документов, удостоверяющих личность, существует единый государственный реестр, доступ к которому позволяет снять любые вопросов относительно подлинности предъявленных документов. В случае документов родителя/опекуна ничего подобного не существует.

Казус мультипользования

Обсуждаемый порядок допускает регистрацию на одно лицо множества номеров, по сути, неограниченного их числа. В качестве основания заявитель может утверждать наличие на его попечении множества детей, недееспособных и т.п. лиц с особенными потребностями. Порядок не предусматривает запрет на регистрацию номеров, которые заявитель фактически не использует.

Использование постоянных паролей

Порядок допускает использовать для идентификации заявителя секретное слово (т.е. постоянный пароль), установленное оператором. Накопленный в Украине опыт противоправных посягательств с использованием электронных каналов коммуникаций свидетельствует об уязвимости подобных решений. Любые пароли, секретные слова, секретные коды достаточно легко могут быть получены злоумышленниками, использующими инструменты социального инжиниринга.

Адекватные способы идентификации заявителя, которые должны быть отражены в нормативных документах, это предъявление sim-карты либо проверка установления соединения в том или ином виде, то есть однозначное и достоверное подтверждение факта непосредственного обладания данным номером или SIM-картой.

Вопросы электронной идентификации

Обсуждаемый порядок содержит важное положение о возможности использования инструментов удалённой электронной идентификации заявителей. К сожалению, ни один из предусмотренных способов идентификации не может быть признан по-настоящему массовым. Электронная цифровая подпись остаётся малопопулярной из-за отвратительной реализации. Системы на основе BankID ещё менее распространены. На сегодняшний день в консорциуме по продвижению BankID не участвует и даже не предполагает участвовать ПриватБанк, крупнейшей розничной банк страны.

Мало того, соответствующие пункты документа допускают отказ от надёжных способов идентификации в пользу уже обсуждавшегося выше секретного слова.

«При поданні заяви в електронній формі абонент має підтвердити користування активною ідентифікаційною телекомунікаційною карткою (SIM-картка, USIM-картка, R-UIM-картка тощо), за якою він отримує відповідні послуги, шляхом зазначення у заяві одноразового пароля, надісланого оператором, провайдером телекомунікацій на абонентський номер, за яким отримуються телекомунікаційні послуги, або зазначення в заяві секретного слова, встановленого оператором, провайдером телекомунікацій та абонентом відповідно до умов, визначених оператором, провайдером телекомунікацій».

Это обесценивает норму об использовании надёжных, пусть и малораспространённых инструментов идентификации.

Вопрос о порядке хранения информации

Пункт 8 устанавливает срок хранения информации про регистрацию абонента предоплаченных услуг не более срока исковой давности.

  1. Запис про реєстрацію абонента зберігається у відповідній базі даних оператора, провайдера телекомунікацій протягом всього строку дії договору про надання телекомунікаційних послуг між абонентом та оператором, провайдером телекомунікацій, а також протягом строку позовної давності, визначеного законодавством, у разі припинення зазначеного договору.

Полагаю целесообразным исходить из того, что номер мобильной связи уже сейчас де-факто является элементом «цифровой идентичности»,  при этом может неоднократно переходить от одного лица друг другому. И для пользователей мобильной связи, и для органов власти, и для самих операторов важно иметь возможность выяснить историю своего номера с момента его ввода в оборот. Представляется целесообразным максимально увеличить срок хранения информации о лицах, на которые регистрируются номера. Исходя из этих же соображений целесообразно добавить в р.II п. 13 и р. III п. 2 норму, что абонент имеет право знать предысторию номера, которым пользуется.

Могу предположить, что у ряда читателей может возникнуть недоумение, а то и раздражение столь подробным разбором вопросов, на первый взгляд мало связанных и с переносимостью номеров, и с хищением номеров. Однако всё это имеет самое непосредственное отношение к безопасности наших «цифровых активов». Выше названы абсолютно реалистичные, более того, распространённые ситуации, с которыми будут сталкиваться и абоненты, и сотрудники операторских компаний. У них будут возникать законные и совершенно конкретные вопросы касательно того, каким образом реализовать своё право на регистрацию своих номеров. К сожалению, обсуждаемый порядок регистрации пользователей предоплаченных услуг не даёт ответа на эти вопросы.

Стоит учесть, что у всех операторов разное отношение к переносимости номеров. Например, Киевстар и Vodafone не имеют активного интереса к этой услуге и не станут искать возможности ещё больше упростить жизнь заявителям. Напротив, в lifecell не скрывают своих надежд устроить небольшой передел на рынке. Логично предположить, что внутренние регламенты третьего игрока будут требовать от сотрудников посильно содействовать желающим перейти к ним на обслуживание. В частности, трактовать спорные ситуации в пользу заявителей.

В ситуации, когда нормативные акты не дают ответа на вопросы абонентов, неизбежны импровизации и разночтения. Всё это будет играть на руку злоумышленникам, которые прекрасно научились использовать противоречия, неразбериху и эмоции для достижения своих корыстных целей. 

К чему приводит снижение требований к процедурам идентификации — в следующей части.


Оглавление

Цена наших данных: как это делается в Америке

Цена наших данных: переносимость мобильного фуфла

Цена наших данных: риски добровольной персонификации

Цена наших данных: треш и угар украинского «финтеха»

Цена наших данных: вызовы и ответы

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Понравилось нас читать?

Openbox AS4
Openbox AS4
Openbox AS4