Завтра, 1 марта, вступает в силу закон, который запрещает российским банками и государственному сектору с 1 марта 2023 г. использовать зарубежные мессенджеры для передачи персональных данных при предоставлении госуслуг и реализации операций. При предоставлении госуслуг, выполнении государственного или муниципального задания, а также банкам и некредитным финансовым организациям запрещается использовать иностранные мессенджеры для передачи платежных документов, персональных данных граждан и информации о переводе денежных средств. Кроме того, через них нельзя будет делать банковские переводы. Перечень мессенджеров определяет Роскомнадзор.
Норма, дополняющая закон "Об информации, информационных технологиях и о защите от информации", призвана ограничить использование принадлежащих иностранным юрлицам и физлицам мессенджеров при предоставлении россиянам государственных и муниципальных услуг, выполнении государственного или муниципального задания, а также при реализации товаров и услуг госкомпаниями, банками и другими кредитно-финансовыми организациями.
Пресс-служба Роскомнадзора рассказала ComNews, что перечень иностранных мессенджеров будет опубликован на сайте Роскомнадзора после вступления в силу приказа Роскомнадзора, предусмотренного ч.10 ст.10 Федерального закона от 27.07.2006 №149-ФЗ. "В настоящее время приказ проходит процедуру общественного обсуждения. Такие иностранные мессенджеры будет запрещено использовать для коммуникации сотрудников банка с клиентами и выполнения операций с финансами и персональными данными", - пояснила пресс-служба ведомства.
Руководитель GR-направления R-Vision Максим Карчевский отметил, что разработчики популярных иностранных мессенджеров обещают шифрование end-to-end: когда между двумя пользователями создается доверенный канал связи, недоступный третьим сторонам. "Но убедиться в защищенности передаваемой информации простому пользователю невозможно. Нужно всегда помнить, что доступ к пересылаемым пользователями сведениям могут иметь третьи стороны без ведома владельцев информации. Некоторые организации могут не соблюдать эти рекомендации и просить от граждан передачу персональных данных в недоверенных чатах, так как это весьма доступный и быстрый способ получить нужную информацию. Кроме того, участились случаи пересылки полученной информации участников чата третьим лицам, и проверить факт такой передачи очень сложно. Вводимые государством ограничения позволят гражданам обезопасить конфиденциальные данные и перевести взаимодействие с государственными или частными организациями в более защищенные каналы взаимодействия. Рекомендуем использовать простое правило "интернет-гигиены" и не публиковать сведения о банковских операциях в чатах социальных сетей и мессенджерах вне зависимости от страны их происхождения. Исключение составляют приложения, разработанные для хранения и обработки такой информации, где за конфиденциальность информации несут ответственность их владельцы. К ним относятся приложения банков и финансовых организаций, государственных и муниципальных услуг", - прокомментировал Максим Карчевский.
Директор по развитию компании iTPROTECT Андрей Мишуков рассказал, что закон об ограничении использования иностранных мессенджеров по своей сути не нацелен на снижение риска утечки данных от хакерских атак или повышение уровня безопасности банковской тайны и персональных данных при передаче через мессенджеры. "Этот закон глобально преследует две основных цели, - поясняет он. - Во-первых, ограничение в получении больших данных о финансовых транзакциях граждан России иностранными государствами. Во-вторых, внесение ясности в правовое поле по использованию финансовыми организациями России и организациями с госучастием каналов взаимодействия с клиентами (гражданами) и средств доставки сообщений, содержащих банковскую тайну и персональные данные. Реализация первой цели затруднит возможность экономической оценки уже введенных санкций со стороны недружественных государств. Реализуя вторую цель, государство описывает невозможность использования иностранных средств доставки сообщений, содержащих высокочувствительные данные для экономики страны в целом и для граждан в частности. Например, на текущий момент банки используют мессенджеры для информирования клиентов с их согласия, но при этом от Роскомнадзора могут ускользать нарушения в обработке персональных данных".
Независимый эксперт ИТ и телеком-рынка Вадим Плесский сообщил, что информация, передаваемая через сторонние сервисы других компаний, по определению не может считаться защищенной. "Для защиты информации необходимо обеспечить ее передачу внутри защищенного контура. Например, если клиент банка общается в чате со службой поддержки банка, то информация передается по зашифрованному каналу непосредственно на сервер банка. В данном случае мы предполагаем, что мобильное приложение и серверная часть разработаны непосредственно банком или его подрядчиком и размещены в корпоративном ЦОДе. Использование иностранных мессенджеров для передачи платежных документов, персональных данных граждан и информации о переводе денежных средств - это странно, непонятно, кому вообще могло прийти такое в голову. Но так как вводятся явные ограничения на такие операции, можно предположить, что ранее кто-то так делал, и регуляторика необходима для прекращения такой сомнительной практики", - объясняет Вадим Плесский.
Он говорит, что использование российских мессенджеров для передачи платежных документов и другой информации вполне возможно - при условии установки мессенджера в корпоративный контур компании или госучреждения. "При таком сценарии тот же банк получает контроль над информационными потоками и может обеспечить их защиту. Проведение банковских операций будет в этом случае безопасным. Следует заметить, что китайский мессенджер WeChat, через который осуществляются финансовые транзакции, является китайским продуктом, а не американским или европейским. Поэтому использование российского мессенджера для проведения финансовых транзакций российскими пользователями российского банка - это логичное и правильное решение", - считает эксперт.
Юлия Мельникова