О.Тимофеева: Мой печальный опыт в общении с мошенниками должен стать уроком севастопольцам

Начиналась история банально и скучно. Я была погружена в рабочие документы и машинально ответила на звонок. «Вас беспокоит оператор «Севэнерго», необходима поверка счётчика, когда Вам будет удобно, чтобы подошёл мастер?» - проговорил мягко женский голос. А, так как я сейчас занимаюсь проверкой счётчиков водоснабжения и газоснабжения, то тема у меня не вызвала настороженности, что называется «упала на благодатную почву».

Триггер сработал, произошло отключение критического восприятия. Разговор пошел по «стандартной схеме»: пришло смс с кодом — «продиктуйте», повторное смс с кодом — «подтвердите».

Секунда… И мякгий женский голос, став остервенело злым выдал матерную тираду, оповестив меня, что с моей помощью вскрыли мой личный кабинет на госуслугах.  А личный кабинет на госуслугах, если им человек пользуется, является, по сути, тем самым цифровым двойником, продвигаемым Министерством цифрового развития, связи и массовых коммуникаций.

Далее моя попытка войти на госуслуги блокируется. Первая реакция — ступор, полная растеренность. А вот второй звонок, на который я ответила, стал триггером обратного действия, максимально мобилизовав меня. Второй звонок был от якобы оператора сайта госуслуг. Объясняться не стала, но включилось состояние «иду на Вы».  Далее звонки уже делала я. Первый звонок адвокату, с которым моя семья сотрудничает почти уже двадцать лет. Далее полиция (номер телефона с официального сайта УМВД по городу Севастополю), МФЦ (номер телефона с официального сайта по городу Севастополю). Все последующие входящие звонки сбрасывала, не отвечая.

В определенный момент поняла, что я начала тестировать систему на предмет: определение рисков; отработка системы по локализации проблемы и оказания помощи человеку, который стал объектом мошеннических действий. Это позволило абстрагироваться и успокоиться, так как, выброс адреналина был мощный.

Я блокировала ситуацию в течении 2-х часов. Можно и нужно было быстрее.

Хронология событий

- Звонок от злоумышленников поступил в 14:41 и в 14:45 контроль над личным кабинетом на сайте госуслуг мной был утрачен; в 15:00 был звонок от «оператора портала госуслуги»; в 15:17 я дозвонилась в полицию.

- Около 16 часов я была в МФЦ на Острякова 15, получила талон на 16:30, в 16:45 контроль над личным кабинетом был возвращен.  За эти 2 часа на меня высыпалось штук 30 смс с просьбой подтвердить код доступа для получения кредита (смс не открывала, определяла тему по первой строчке сообщения). Скачали мои данные, порядка 14 документов: НДФЛ-2, Предпенсионное досье (полное описание трудовой деятьльности); имущественный пакет; информацию о самозанятости - две разовые подработки (участие в двух небольших грантах); свидетельство о расторжении брака.

- В 17:23 я была в отделении УМВД по Ленинскому району на Щербака 8. Чтобы заявление у меня приняли (запустили на территорию), мне потребовалось сделать очередной звонок в дежурную часть УМВД по городу Севастополю. К 18:12 передала написанное собственноручно Заявление о преступлении и Объяснение. Что не сделала? Не сфотографировала написанные и подписанные документы. Поэтому у меня нет гарантии, что мое Заявление пойдет в работу, а не будет выкинуто в корзину. 

Наблюдения и рекомендации:  Гражданин — пользователь портала Госуслуги

Самая простая рекомендация не предоставлять никому информацию. Тем более, не диктовать коды из смс. Но, увы, данная «азбучная» истина не всегда работает: человек может быть сосредоточен на другом вопросе, болен, быть чем-то расстроен, т. е. не контролировать события в моменте. - На второй день работы в Совете Федерации обратила внимание на то, что система внутреннего документаоборота и выход во внешний контур (интернет) имеют разные точки входа (расположены на разных компьютерах) и не пересекаются. Следовательно, по аналогии, пользователь госуслуг может организовать физическую изоляцию доступа к    своим данным на сайте посторонних лиц. Номер телефона, на который заведен доступ к сайту не должен быть публичным. Да, это неудобно, так как предполагает наличие, как минимум, дополнительной сим-карты, а для большего удобства дополнительного телефонного аппарата.

Портал Госуслуги

 Для взлома личного кабинета было достаточно двух введенных кодов из смс. Для возвращения контроля над своими данными: личное присутствие в МФЦ, с паспортом и СНИЛС (время, чтобы добраться в МФЦ, время, чтобы, получив талон дождаться очереди к оператору). А, если не рабочий день? А, если время еще или уже не рабочее? Т.е разработчиками портала не была предусмотрена процедура временной блокировки личного кабинета пользователя и, тем самым, обеспечение защиты данных. Соответственно, не была проделана работа по тестированию системы на выявление возможных рисков, связанных с безопасностью данных.   Почему подобные базовые требования безопасности не предусмотрены? В чем причина? - Почему при активном скачивании данных (не характерной активизации работы пользователя) не предусмотрена элементарная защита — блокирование доступа к содержимому личного кабинета до выяснения ситуации по существу.

МФЦ

- На мой вопрос сотруднику, к которому я дозвонилась: «Что делать?». Был ответ : «Взять паспорт и подойти в ближайшее отделение МФЦ». Уже на месте оказалось, что также необходим СНИЛС. Процедура блокировки доступа отсутствует, а для запуска процедуры восстановления необходимы оба документа. Сотрудник мог спокойно, на основании формальных признаков (отсутствие требуемого документа) завершить работу со мной. Но позволил мне найти копию документа, сопоставить с информацией имеющейся в базе и запустить процедуру восстановления контроля над личным кабинетом. Подчеркну, к алгоритмам работы программы (требованиям активизации процедур), сотрудники МФЦ не имеют отношения, это парафия Минцифры со всеми имеющимися косяками и минусами. - Время. Время часто становится одним из важных факторов процесса. Поэтому в ситуации ЧП, отработка должна происходить по режиму «ЧП». Не может быть общей очереди ожидания к опературу для ликвидации проникновения в ситуации взлома системы и воровства данных.  Организационно на уровне МФЦ подобную «очередность» можно предусмотреть. Но подобная мера  не станет системным решением проблемы.

Полиция

- Если на уровне взаимодействия органов государственной власти (всех существующих подсистем) реализована прозрачная цифровая среда (а, именно, данный вопрос для Минцифры должен быть приоритетным), то звонок гражданина в полицию должен приводить к моментальной блокировке доступа данных на портале Госуслуг. Так как скачивание подобной персональной информации информации является прямым преступлением против личности.

Вывод очевиден: тема цирового двойника активно продвигается Министерством цифрового развития, связи и массовых коммуникаций. Но прежде, чем что-то продвигать, необходимо предусмотреть максимальный набор способов защиты информации.

Тем более, «цифра» активно заходит во все сферы нашей жизни. В образовании активно продвигается портал «СФЕРУМ» (это тема отдельного разговора). В эту систему активно заводят наших детей, осуществляя прямое давление на родителей на предмет обеспечения доступа ребенка к системе (предлог обеспечение учебного процесса). Или трек на обработку медицинских данных - «цифровой портрет состояния здоровья человека».  Где гарантия, что подобные системы также отвечают требованиям безопасности, прошли тестирование, получили требуемые сертификаты? Что звонок и пара кодов из смс не приведут к утечке информации, которая напрямую связана с жизнью, здоровьем, безопасностью семьи конкретного человека - гражданина Российской Федерации?

В 2021 году Советом при Президенте Российской Федерации по развитию гражданского общества и правам человека (СПЧ) был представлен доклад на тему: «Цифровая трансформация и защита прав граждан в цифровом пространстве». В докладе проанализированы угрозы, риски, предложены рекомендации и механизмы исключения и минимизации цифровых манипуляций с персональными данными граждан, требования по обеспечению защиты персональной информации. На основании изложенного материала, каждый может сам сделать вывод о том, выработаны ли за последнии три года на государственном уровне механизмы сдержек для Большой Цифры. 

В происшествии, которое произошло со мной в пятницу 11 октября 2024г, существует ряд моментов, которые «вываливаются» из классической мошеннической схемы. Следовательно, можно предположить, что организаторы преследовали другие цели, несвязанные с обеспечением доступа к финансовым ресурсам «клиента».  Так, во-первых, когда меня обматерили и сообщили о взломе моих данных, триумф и остервенение слишком зашкаливали (сложно передать, это нужно слышать, присутствовало личное отношение); во-вторых, набор скаченных документов - ряд документов не нужен для реализации мошенничества с финансами. Присутствует еще один факт в цепочке событий. Месяц назад 12 сентября 2024 на меня также была осуществлена попытка давления, но другим способом. Так как, ситуация имела частный случай я описала её для своих товарищей, не размещая информацию в открытом доступе. Для полноты картины приведу описание и этого события.

Копилка историй или пост из телеги:

У меня позавчера была "развлекуха", но было крайне невесело. Познакомилась с новой ципсошной формой обработки граждан. Кратко и по сути. С аккаунта председателя ЗС пришло голосовое сообщение (это был его голос) о том, что его приглашали в фсб и ознакомили со списком действующих и бывших депутатов, которые могут быть связаны с иногентом (которого не поименовали) и что будет звонить сотрудник, просьба ответить на звонок. Звонок состоялся. Сразу сказала, что по телефону ни на какие вопросы не отвечаю и прошу назначить встречу в конторе. На момент, когда говорила была абсолютно уверена, что говорю с сотрудником наших органов. Да,  допускала провокацию, но политическую. Но моя просьба пригласить меня для беседы вызвала шквал плохо контролирумой агрессии. Типа: "не я буду выбирать формы общения, а то быстро перейду из разряда опрашиваемых в разряд обвиняемых". На гневную тираду ответила "поступайте в соответствии с должностной инструкцией" и сбросила звонок, заблокировав аккаунт в телеге (привыкла созваниваться через телегу и даже на этот признак не обратила внимание). И даже после этого разговора  продолжала считать, что это некая политическая провокация со стороны моих оппонентов. А вот когда пошли гневные выпады в мой адрес "председателя ЗС", то только тогда проверила аккаунт, с которого шли сообщения. Поняла, что он подставной. Сфотографировала переписку и председателю ЗС отправила с припиской: "распорядитесь этой информацией так, как сочтёте нужным". Нас ловят на нашем уважение к закону, ответственности за свои действия. А нейросетки западники прокачали неплохо. Первое голосовое сообщение было голосом и интонациями человека, которого я знаю не только по его публичным выступлениям. Нужно знать, что подобные  формы уже используют. (14 сентября 2024г).

Остается наблюдать и ждать развития событий.

Моим согражданам  хочу пожелать быть собранными и не допускать вражеских поползновений в отношении себя, своих близких, своей страны.

Ольга Тимофеева, Член Совета Федерации ФС РФ 2014-2019гг.

Фото обложки: пресс-служба Совета Федерации ФС РФ