«Утечки данных и развитие ИИ». Могут ли кыргызстанцы защититься от кибермошенников?

Иллюстративное фото.

В Кыргызстане продолжают регистрировать случаи телефонного мошенничества. С призывами к гражданам быть бдительными выступают не только милиция, но и администрация президента. Между тем, госструктуры, бизнес и эксперты размышляют над тем, как защититься от подобных атак.

Специалисты же предупреждают, что с развитием нейросетей и технологий искусственного интеллекта в ближайшее время пользователи могут столкнуться с эпидемией различных видов мошенничества.

Звонки под прикрытием власти и родственников

18 марта пресс-секретарь президента КР Аскат Алагозов опубликовал на своей Facebook-странице пост с призывом обращаться в правоохранительные органы, если незнакомые люди «сообщили о сборе средств в качестве благодарности госслужащим»:

«Отдельные деятели культуры сообщают, что их приглашают на мероприятия государственных органов, при этом просят перевести незнакомым лицам деньги под различными предлогами... Если кто-то приглашает вас на мероприятие от имени администрации президента или госорганов, а потом просит за это деньги, знайте, это мошенники. Государственные служащие никогда не собирают деньги для участия на праздничных мероприятиях, вручении наград от имени президента, председателя кабинета министров и от имени других должностных лиц».

В этот же день стало известно, что в Бишкеке под стражу водворили троих задержанных по фактам телефонного мошенничества – двоих парней 2004 года рождения и одного 2022 года рождения. Как напомнили в Министерстве внутренних дел КР, 16 и 17 февраля группа мошенников «успела провернуть более десятка фактов обмана пожилых жителей» и завладеть более полумиллиона сомов. «При обыске в офисе преступной группы были изъяты: ноутбуки, сотовые устройства, сим-карты сотовых операторов, карты памяти (жесткие диски, флешки), банковские карты, денежные средства», – отметили в МВД, добавив, что «в составе группы имелись граждане ближних зарубежных стран».

А в начале марта ГУВД Бишкека сообщало, что столичная милиция задержала пятерых курьеров. В связи с чем ведомство предупредило водителей служб такси и занимающихся частным извозом граждан, а также тех, кто «ищет работу в Telegram-каналах», о том, что они автоматически становятся соучастниками преступления, «посещая дома граждан под видом курьеров и получая от них деньги, которые те отдают под влиянием обмана». «В случае наличия доказательств, действия «курьера» могут быть расценены как вступление в организованную группу, что влечет за собой ужесточение ответственности», – заявили в ГУВД.

На фоне резкого роста подобных случаев обмана возник вопрос о том, как мошенникам удалось заполучить различные личные данные граждан, которым они звонили. В столичном ГУВД на запрос «Азаттыка» по этому поводу ответили, что не могут дать конкретную информацию, так как есть тайна следствия. Но там же напомнили, что зачастую «люди сами публикуют в соцсетях информацию о себе, своих родственных связях и так далее». Также в милиции указали, что злоумышленники чаще всего получают «нужные сведения» через компании, оказывающие обычные бытовые услуги – заказ такси, покупка телефона, отправка посылок и тому подобное:

«Мы везде оставляем контактную информацию, и не все организации хранят ее только для своего использования. Некоторые передают эти данные посторонним лицам. Мобильные операторы, магазины, банки, страховщики и другие собирают сведения о своих клиентах, и просят подписать разрешение на обработку персональных данных. Их мало кто читает полностью, а зря: там часто есть интересный пункт, дающий этой компании право на передачу клиентской базы своим партнерам. Партнерами могут быть любые третьи лица».

В связи с этим правоохранительные органы призвали граждан не делиться личной информацией, в частности, никому не сообщать по телефону свои персональные данные, данные банковских карт, пин-коды и прочую конфиденциальную информацию. В случае же получения звонков о чрезвычайном происшествии с кем-то из родственников попробовать связаться с этим близким человеком напрямую или через других людей, чтобы подтвердить информацию, а также использовать альтернативные каналы связи. «Мошенники часто давят на жертву, требуя срочных действий. Важно сохранять спокойствие и не принимать поспешных решений под давлением. Не отправляйте деньги и не выполняйте финансовые операции по просьбам, полученным по телефону, без тщательной проверки», – подчеркнули в ГУВД Бишкека.

Читайте также «Общая страновая проблема». Почему необходимо повышать уровень финансовой грамотности в КР

Угроза нацбезопасности

Резкий рост случаев телефонного мошенничества госорганы КР и бизнес-структуры обсудили неделей ранее в рамках круглого стола, темой которого было заявлено «Противодействие транснациональной преступности в киберпространстве: Актуальные проблемы и механизмы практического взаимодействия». Участниками мероприятия стали представители таких госструктур, как МВД, Министерство цифрового развития, Госагентство по защите персональных данных и Нацбанка, а также специалисты сотовых компаний КР, мэрии столицы и другие.

Выступая на этой встрече, заместитель министра внутренних дел Нурбек Абдиев отметил, что «с ростом внедрения и развития IT, увеличиваются и риски, связанные с киберпреступностью и мошенничеством»:

Нурбек Абдиев.

«В Кыргызстане в последнее время отмечается рост подобного рода преступлений, что является серьезной угрозой для национальной безопасности страны. Глобализация и научно-технические достижения расширяют рамки и увеличивают масштаб угрозы как транснациональной, так и международной преступности. Поэтому необходимы совместные усилия государственных органов, частного сектора, чтобы противостоять вызовам, с которыми мы сталкиваемся сегодня».

На прошлой неделе, в соседнем Казахстане разгорелся скандал, когда в Сети оказались данные более 2 млн клиентов микрофинансовых организаций. А незадолго до этого Министерство цифрового развития республики сообщало, что начата проверка сообщений об «утечке» персональных данных казахстанцев, предположительно собранных китайской компанией I-Soon. «Как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке также упоминаются Единый накопительный пенсионный фонд, данные об авиаперевозчике «Эйр Астана», почтовый сервер министерства обороны Казахстана», – пишет Центр анализа и расследования кибератак (ЦАРКА). По его данным, «целенаправленные атаки совершались в том числе и на сотрудников силовых структур», среди которых есть сотрудники КНБ.

Помимо утечки данных эксперты и обыватели всерьез высказывают опасения распространением технологий искусственного интеллекта (ИИ) и нейросетей, которые злоумышленники используют для получения денег от жертв. Один из специалистов в сфере ИИ, пожелавший остаться неизвестным, в беседе с «Азаттыком» отметил, что развитие IT-индустрии в каком-то смысле играет на руку мошенникам:

«Уже сегодня в открытом доступе есть модели ИИ, которые позволяют по аудиозаписи длиной в несколько минут клонировать абсолютно любой голос. Также в открытом доступе есть модели для создания так называемых Deep Fake – для этого требуется только с десяток фотографий, на которых хорошо видно лицо. После чего этим лицом можно заменить любое другое лицо на видео. То есть используя только открытые, лежащие в открытом доступе инструменты, любой школьник, потратив несколько вечеров на то, чтобы разобраться с их установкой и запуском (это не очень сложно и в Интернете полно инструкций), может взять фото и видео с чьей-нибудь Instagram-страницы, обучить на них соответствующие ИИ, и после этого совершать как аудиозвонки голосом владельца, так и записать видео с его лицом.

Я могу смело предсказать, что очень скоро мы столкнемся с эпидемией уже не только телефонного мошенничества, но и видеомошенничества. Например, будут присылать видео якобы избитого родственника в наручниках, сидящего якобы в полицейском участке и просящего прислать денег для взятки. А потом уже звонить его голосом для убедительности. Разумеется на самом деле видео будет постановкой мошенников, лицо и голос в нем будут воссозданы ИИ».

В начале февраля большой резонанс вызвала история, рассказанная гонконгской South China Morning Post. В публикации шла речь о сотруднике транснациональной компании, который перевел 200 млн гонконгских долларов (более 25,5 млн долларов прим. ред.) после получения соответствующих указаний от начальства во время видеоконференций. Но, как оказалось, изображения звонивших ему – финансового директора и других руководителей – были сгенерированы мошенниками с помощью ИИ. ««Они использовали технологию Deep Fake, чтобы имитировать голоса тех, кто читал заготовленный сценарий», – отметил представитель полиции Гонконга и добавил, что в общей сложности злоумышленники обратились к двум-трем сотрудникам данной компании, но другой информации он не предоставил.

Читайте также Могут подделать даже голос президента? Милиция заявила об увеличении случаев телефонного мошенничества

На уровне законодательства

О регулировании ИИ развитые страны заговорили еще в прошлом году. Так, США, ЕС, Великобритания, Китай и другие – всего 28 государств – в ноябре 2023-го подписали совместную декларацию, в которой назвали новую технологию угрозой «катастрофического уровня». А на прошлой неделе Европарламент первым в мире одобрил закон, регулирующий использование ИИ. Согласно этому документу, вводится запрет на «распознавание эмоций на рабочем месте и в школах», а также нельзя будет использовать технологии, которые манипулируют поведением человека.

В Кыргызстане же, напоминает руководитель общественного фонда «Гражданская инициатива интернет политики» Таттуу Мамбеталиева, с 2008 года действует Закон «Об информации персонального характера», который содержит «огромное количество требований для хранения и обработки данных». Но в целом к вопросу кибербезопасности и защиты персональной информации эксперт предлагает подходить с трех ракурсов:

Таттуу Мамбеталиева.

«Первый ракурс – это когда мы смотрим со стороны пользователя и тех, кто сейчас выступает как потерпевшие. Там есть человеческий фактор, на который мало кто обращает внимание, хотя много раз, и мы в том числе, говорили о том, что «старайтесь не отправлять через мессенджеры и телефонные сообщения копии определенных документов, которые несут особо чувствительную информацию». К примеру, паспорта, номера банковских карточек или счетов, и так далее. Потому что существует куча различных программ, которые имеют возможность перехватывать эту информацию. И обязательно нужно использовать двухфакторную аутентификацию для того, чтобы быть уверенным, что ваши мессенджеры и различные виды сообщений в личном телефоне защищены.

Второй момент, это если мы смотрим через призму государства и частного сектора: операторы связи, банки и так далее, которые собирают данные для того, чтобы обеспечить коммуникацию или оказать услугу, в том числе государственного органа. С этой точки зрения законодательство КР, начиная с 2008 года, запрещает частному сектору и госструктурам собирать лишнюю информацию о гражданах. То есть, необходим тебе определенный перечень информации, только это и собирай, а то, что не входит в твою компетенцию, хранить нельзя. Потому что происходят бесконечные утечки [данных], бесконечные кибератаки и лишняя информация, когда она собрана, подвергается большей опасности».

В связи с этим Таттуу Мамбеталиева призывает граждан помнить, что «когда ты взаимодействуешь с оператором связи, с банком или с каким-то госорганом, надо понимать, что не стоит предоставлять больше информации, чем это необходимо для получения определенной услуги»:

«Дали свое ФИО и все, больше ничего не надо. Ни состав семьи, ни что-то другое... Да, у нас есть госорган по защите персональных данных, который бдит, чтобы все выполняли требования законодательства о том, что необходимо минимализировать сбор данных, или что для хранения данных должен использоваться метод псевдонимизации (от англ. pseudonymisation – обработка персональных данных таким образом, что их невозможно отнести к конкретному субъекту без использования дополнительной информации – прим. ред.). Также должно быть исключено централизованное хранение персональной информации, потому что при любой поломке, при любой атаке, человек [чьи данные там хранятся] становится уязвим. Другое дело, выполняют ли эти требования госорганы и частный сектор, которые взаимодействуют с населением? Я думаю, что 80% этого не делают. Более того, инициируются новые законы, которыми они хотят централизовать [персональные данные], все скучковать. Собирают все больше информации, эти Face ID и так далее... Но ведь все, что человек создает, опять же сам человек может и разрушить. Да, нас уверяют, что они принимают огромное количество мер для защиты этих данных, тратят на это деньги. Но смысл собирать лишнюю информацию и тратить лишние деньги, если нет гарантии, что данные не утекут? Ведь что бы мы ни делали, данные все равно утекают. Соответственно, надо делать так, чтобы эти данные были обезличены: применялись псевдонимы и никто не мог их идентифицировать, узнать кому эти данные принадлежат».

Читайте также Как биометрические данные кыргызстанцев оказались под угрозой

В заключение, эксперт указала на третий аспект в вопросе защиты персональных данных граждан и противодействию их утечки – вопрос ответственности. «Из-за того, что в Кыргызстане долгое время, до сегодняшнего дня отсутствовала реальная ответственность за утечку данных, они происходили. Все говорили, что «это плохо», «это опасно», но никто никогда не был наказан. Поэтому было инициировано изменение законодательства, чтобы применять в отношении виновных лиц, которые допускают слив информации, административную и уголовную ответственность. Более того, мы сейчас выступаем за то, чтобы гражданин, пострадавший от утечки своих данных, получал материальное возмещение. Потому что только, когда человек будет понимать, что за слив или утечку данных он будет платить, тогда он будет более осторожно относиться [к ним] и еще 10 раз подумает, нужно ли ему собирать эти данные, а потом за них отвечать. Я считаю, что сейчас это самый лучший метод защиты от кибермошенников», – подчеркнула Таттуу Мамбеталиева.

В прошлом месяце председатель кабинета министров КР Акылбек Жапаров сообщил, что в этом году Кыргызстан готовится принять – впервые в истории страны – «Цифровой кодекс КР». Этот документ, по словам главы кабмина, послужит правовой основой для «цифрового» рывка, а также «позволит эффективно использовать всего один документ, объединяющий все цифровые нормы, а не искать регулирование во множестве разных законов, иногда противоречащих друг другу, с разными терминами». «Можно сказать, что это серьезное «хирургическое» вмешательство в правовую систему – вынужденная мера, направленная на то, чтобы национальное законодательство не стало причиной торможения процессов внедрения и развития технологий... Технологии – это не «вещь в себе». Их развитие нацелено на повышение качества общественных благ, предоставляемых индивиду и обществу», – сказал Акылбек Жапаров.

Ранее сообщалось, что Цифровой кодекс КР – «первый в своем роде нормативно-правой акт, который будет, в том числе, регулировать сферу ИИ».

Читайте также Риск или возможность? Власти Кыргызстана начинают внедрять искусственный интеллект в работу госсектора