Банктік қосымшалардағы киберсталкинг мәселесі

Банктік қосымшалардағы киберсталкинг мәселесі

Мазмұны

Кіріспе

Қазақстанда әрбір банк ұйымының өз шоттарына онлайн режимінде қол жеткізе алатын пайдаланушыларға арналған өз қосымшалары бар.

Қосымшалар жыл сайын жаңартылып отырады, жаңа функционал қосылып, кейбір банктер техниканы ғана емес, сонымен қатар азық-түлікке тапсырыс беру және жеткізу мүмкіндігі, сондай-ақ инвестициялар, сақтандыру, аударымдар және т.б. сервистерін сату бойынша өз маркетплейсі бар жақсы қосымшаға айналады (пайдаланушыны бір экожүйе шеңберінде ұстап тұратын көптеген функциялары мен сервистері бар қосымша).

Бұл материалда біз банктік қосымшалардағы жеке тұлғалардың аударма функциясы туралы және ыңғайлылық сіздің құпиялылығыңыздың бұзылуына, сталкингке дейін, дәлірек айтқанда киберсталкингке қалай әкелуі мүмкін екендігі туралы талқылайтын боламыз, өйткені әрекет онлайн режимінде жүреде.

Қазақстан заңнамасындағы сталкинг

Сталкинг — бұл адамға жағымсыз, обсессивті назар аудару және оны қудалау. Психолог, «ИНГО. Әйелдерге арналған дағдарыс орталығы» атты тағылымдама бағдарламасының үйлестірушісі Хана Корчемнаяның түсіндіруі бойынша:

Көптеген сталкерлер кәдімгі дені сау және бәрін қатарынан аңдый бермейтін, бірақ оларға өзінің деңгейінде жауап бере алмайтын нақты адамдарды аңдыйды. Қудалаудың мысалдарына — адаммен байланысқа түсе алмайтынына қарамастан (әдетте обсессивті қоңыраулар мен хабарламалар), нақты өмірде немесе әлеуметтік желілерде бақылау, мұқият қарау, пәтерге кіруге тырысу әрекеттерін жатқызамыз.

Сонымен қатар, ықтимал сталкер банктік аударым жүйесін теріс пайдалануы мүмкін: «Онлайн ақша аударымдары — арқылы сталкердің қазіргі заманғы түрі: егер қудалаушы барлық әлеуметтік желілерде бұғатталса да, ол ақша аударымдары арқылы хабарлама қалдыра алады».

Қазақстанда заң бойынша сталкинг үшін жауапкершілік қарастырылмаған. Алайда, егер сізді қудалап жүрген адаммен таныс болсаңыз, оны ӘҚБтК-нің 73-бабы «Отбасы-тұрмыстық қатынастар саласындағы құқыққа қарсы әрекеттер» бойынша жауапкершілікке тартуға болады. Мысалы, қуғыншы-сіз қарым-қатынасты тоқтатуды шешкен бұрынғы жас жігітіңіз немесе күйеуіңіз болуы мүмкін.

Егер сіз қудалаушыны білмесеңіз, бірақ сізді қадағалайтын дәлелдер келтіре алсаңыз (бейнелер, куәгерлердің айғақтары, хат-хабарлардың скриншоттары), сіз 434-бап «Ұсақ бұзақылық» бойынша адамды жазалай аласыз. Ол жеке тұлғаларды қорлауды қамтиды.

Алайда Алматы қалалық адвокаттар алқасының адвокаты, Жанна Урабахованың сөзі бойынша:

Мен өз тәжірибемде Қазақстанда біреуді қорлап тигені үшін, нақ осы озбырлық қаққандар, тіпті Әкімшілік кодекс бойынша да жауапкершілікке тартылғаны жайлы ешқашан естіген емеспін, өкінішке орай, қудалау және озбырлықпен кездесу қауіп-қатер, ұрып-соғу, физикалық қырып-жою әрекеттері түріндегі елеулі бұзушылықтарға айналып кетпейінше, құқық қорғау органдары адамды жазалай алмайды.
Сталкинг: что делать и как защититься, если тебя преследуют?
Рассказываем, зачем люди сталкерят друг друга в социальных сетях и куда обращаться, если вы стали жертвой преследователя.

Келісімсіз аударымдар + хабарлама = құпиялылықты бұзу ма?

Аударма функциясын кез-келген банк қолдайды. Банк ішіндегі шоттарға, басқа банктердің шоттарына аударуға болады, сонымен қатар халықаралық аударымдар опциясы бар (әрине егер сіздің банкіңіз санкциялық тізімге кірмесе).

Кейбір банктарда аудармаға қосымша хабарлама қосу мүмкіндігі бар. Әдетте бұл функция белгілі бір ұйымның банк жүйесінде жұмыс істейді. Басқа банкке аудару кезінде, сіз қосымша хабарлама қоса алсаңыз да, аударымды алушы хабарламаны көруі екіталай. Мысалы, хабарламалар Kaspi Bank клиенттері арасындағы аударымдарда ғана қолжетімді, алайда Kaspi клиенті болып саналмайтын шотқа аудару кезінде хабарламаны бекітуге болмайды, тіпті хабарлама тіркелген жағдайда ақша аударымын алушыда көрсетілмейді.

Аударымдардың функционалы көптеген мақсаттарда қолданылады: мысалы, отбасы мүшесін немесе әріптесін туған күнімен немесе басқа да айтулы мерекемен құттықтау, түскі ас үшін қаражаттың бір бөлігін өтеу, материалдық көмек жолдау және т.б.

Алайда, кейбір адамдар бұл функцияны теріс пайдаланып, киберсталкингпен айналысуы мүмкін, яғни онлайн ортада жәбірленушіні обсессивті қудалау.

Сонымен, Kaspi қосымшасындағы ең аз аударым — 100 теңге, оған 50 таңбадан тұратын, Forte Bank-те — 70 таңбадан, Сбербанк-те — 40 таңбадан тұратын хабарламаны қосуға болады.

Киберсталкерлер, тіпті символдар санына осындай қатаң шектеулер болған жағдайда да, белгілі бір соманы аудару арқылы тітіркендіргіш хабарламалар түрінде банк клиенттерінің құпиялылығын бұзады, әдетте аударым ақша алушыға жету үшін рұқсат етілген ең аз аударымды жібереді.

Әдетте, бұл қажетсіз банктік аударымдарға киберсталкинг құрбаны мессенджерлерде, әлеуметтік желілерде және шын мәнінде телефонның параметрлерінде киберсталкерден хабарламалар мен қоңырауларды қабылдауды шектеу немесе бұғаттау туралы шешім қабылдағаннан кейін келеді. Бұл жағдайда киберсталкер киберсталкинг объектісі орналасқан әртүрлі банктік қосымшаларды қолдануға жүгінеді.

Қазақстанда ең танымал банк Kaspi bank болғандықтан, ең алдымен киберсталкерлер оның жеке тұлғаларға ақша аудару қызметіне жүгінеді.

Киберсталкерге кем дегенде 100 теңге аударып, хабарламаны тіркеу үшін жәбірленушінің телефон нөмірін немесе Kaspi Gold шотын білу қажет. Жәбірленушінің өз кезегінде:

  • жауап беруге (аударманы растау түрінде белгілі бір жауап хабарламаларын немесе бірнеше эмодзилерді таңдауға болады);
  • ақша жіберушіні қара тізімге енгізуге;
  • хабарламаларды қабылдаудан бас тарту бөлігінде хабарламаның функционалын шектеуге мүмкіндігі жоқ.

Қосымшада шотты бұғаттаудың мүмкін еместігін банктің өзі әлеуметтік желідегі клиенттерінің бірінің сұрағына жауап ретінде растады.

ВКонтакте желісіндегі KaspiГид пікірінің скриншоты

Банктік қызмет көрсету шартында және басқа да Kaspi құжаттарында аударым қызметі арқылы басқа тұлғалармен қарым-қатынас жасаудың этикалық принциптері көрсетілмеген, алайда Kaspi.kz банктің құпиялылық Саясатына сәйкес аударым мақсатын оқу және мобильді қосымшасының жеке деректерін өңдеу мүмкіндігі бар. Этикалық принциптер сонымен қатар Сбербанк, Forte Bank және т.б. банктерде көрсетілмеген немесе қарастырылмаған.

Жобаланған құпиялылық

Жалпы алғанда, клиенттер ағымдағы банктік қызметтерді ұсынуға келіседі және «зиянды» хабарламалар банктің емес, жеке тұлғалардың жеке мәселесі болып табылады. Алайда, банктер өздерінің қосымшаларының танымалдылығының өсуін және хабарламаларды жіберіп,қабылдау үшін байланыс мүмкіндіктерін ескере отырып, жобаланған құпиялылық (privacy by design) мәселелерімен айналысуы керек деп санаймын.

«Жобаланған құпиялылық» — бұл 90-шы жылдары,Ph.D., ақпарат және құпиялылықты қорғау мәселелері жөніндегі Уәкіл (Онтарио, Канада),ақпараттық және коммуникациялық технологиялардың және ауқымды желілік деректер жүйелерінің үнемі өсіп келе жатқан және жүйелік проблемаларына байланысты Энн Кавукиан (Ann Cavoukian) жасаған тұжырымдама.

«Жобаланған құпиялылық» болашақта құпиялылық, яғни жеке ақпаратты қорғау тек нормативтік-құқықтық актілердің сақталуымен қамтамасыз етілмейтіндігінен туындайды; керісінше, жеке ақпаратты қорғау кез-келген ұйымның жұмысындағы ең жоғары басымдықтардың бірі болуы керек (сонымен қатар «әдепкі ереже»).

«Жобаланған құпиялылық» қосымшалардың тұтас үштігін қамтиды: 1) ақпараттық жүйелер; 2) Іскерлік қатынастар практикасы; 3) құрылғылар, жабдықтар, құрылыстар және желілік инфрақұрылым.

«Жобаланған құпиялылық» принциптері жеке ақпараттың барлық түрлеріне, әсіресе медициналық немесе қаржылық деректер сияқты қатаң құпия мәліметтерге қолданылады. Деректерді қорғау дәрежесі, әдетте, олардың құпиялылық дәрежесіне сәйкес келуі керек.

«Жобаланған құпиялылықтың» мақсаттары — жеке ақпаратты қорғау және оны жеке бақылауды қамтамасыз ету, ал ұйымдар үшін — тұрақты бәсекелестік артықшылыққа қол жеткізу. Бұл мақсаттарға келесі жеті негізгі принциптерді қолдану арқылы қол жеткізуге болады*:

1. Салдарды жою ғана емес, алдын алу (проактивті) шаралары

Жүйенің құрылымына құпиялылықты енгізу белсенді болып, тек салдарды жою шараларымен шектелмеуі керек. Бұл тәсіл құпиялылықты бұзу жағдайларын олар пайда болғанға дейін болжайды және алдын алады. «Жобаланған құпиялылық» тәсілі қауіп факторларының пайда болуын күтпейді және туындаған проблемаларды шешуді ұсынбайды; керісінше, ол олардың пайда болуына жол бермеуге тырысады. Басқаша айтқанда, жеке ақпарат құпиялылықтың бұзылуы анықталғаннан кейін емес, жүйе іске қосылғанға дейін қорғалуы керек.

2. Әдепкі құпиялылық (Privacy by default)

Өздеріңіз білетіндей, әдепкі параметрлер көбінесе шешуші болып табылады (көптеген пайдаланушылар оларды ешқашан өзгертпейді). «Жобаланатын құпиялылық» дербес деректердің қандай да бір ақпараттық жүйеде немесе іскерлік қатынастарда автоматты түрде қорғалуына кепілдік бере отырып, жеке ақпаратты қорғаудың барынша жоғары дәрежесіне қол жеткізуге ұмтылады. Егер адам ешқандай шара қолданбаса да, оның жеке ақпараты қауіпсіз болып қалады. Жеке ақпаратты қорғау үшін жеке тұлғаның ешқандай әрекеті қажет емес — жүйе бастапқыда қажетті параметрлерді қамтиды.

3. Кіріктірілген құпиялылық (embedded privacy)

Жеке деректерді қорғау кез-келген ақпараттық жүйенің немесе іскерлік қатынастардың архитектурасының ажырамас бөлігі болуы керек. Бұл постфактум жүйесіне енгізілген қандай да бір қосымша компоненті емес. Нәтижесінде құпиялылық жүйенің негізіне айналады. Басқаша айтқанда, жеке ақпаратты қорғау жүйенің функционалдығын толығымен сақтайтын құрылымның ажырамас бөлігі болып табылады.

4. Оң сомамен толық функционалдылық (positive sum game)

«Жобаланған құпиялылық» барлық заңды мүдделер мен мақсаттарды «жеңіске жету» әдісімен ескеруге тырысады, яғни нәтиженің оң мөлшерін алу. Қажетсіз ымыралар жасалатын нөлдік тәсіл әлде қайда ескірген. «Жобаланған құпиялылық» жеке ақпаратты қорғауға қарсы жүйенің қауіпсіздігін нығайту, екеуін де қамтамасыз етуге болатындығын көрсету сияқты жалған дихотомияға сылтау іздемейді.

5. Жеке ақпаратты жинау, сақтау, өңдеу және жоюдың бүкіл циклі бойында қорғау

Құпиялылық, деректерді жинау басталғанға дейін жүйеге енгізілуі керек. Сонымен қатар, бұл қорғаныс деректерді сақтау мен өңдеудің бүкіл цикліне сенімді түрде таралуы керек; басқаша айтқанда, деректердің қауіпсіздігі жүйені іске қосқан сәттен бастап, жүйенің тоқтатылғанына дейін құпиялылық үшін өте маңызды. Бұл деректердің сенімді сақталуына, ал оларды пайдалану аяқталғаннан кейін — сенімді және уақтылы жойылуына кепілдік береді. Осылайша, «Жобаланған құпиялылық» бүкіл цикл бойында деректердің толық қауіпсіздігін қамтамасыз етеді.

6. Қол жетімділік және шынайылық

«Жобаланған құпиялылық» барлық мүдделі тараптарға бизнес түріне немесе технологияға қарамастан, жүйе мәлімделген принциптер мен мақсаттарға сәйкес жұмыс істейтініне кепілдік беруге тырысады (мұны тәуелсіз тексеру растауы керек). «Жобаланатын құпиялылықтың» барлық компоненттері мен операциялары пайдаланушылар үшін де, сервистің осы түрін қамтамасыз етушілер үшін де шынайы және қолжетімді болып қалады. Басқаша айтқанда, сенсеңіз да, тексеру жайлы ұмытпаған жөн.

7. Пайдаланушының құпиялылығын құрметтеу: жүйе пайдаланушыға бағытталған болуы керек

«Жобаланған құпиялылық» әзірлеушілерден және жүйелік операторлардан, ең алдымен, жеке пайдаланушылардың мүдделерін сақтауды талап етеді. Бұған жеке ақпаратты әдепкі бойынша қорғау, жеке ақпаратты жинау туралы уақтылы хабарлау, пайдаланушыға ыңғайлы және түсінікті түрде таңдау еркіндігін беру сияқты шаралар арқылы қол жеткізіледі. Басқаша айтқанда, жүйе пайдаланушыға бағытталуы керек.

* Dr. Sagi Leizerov and Ekaterina Shangina, Ernst & Young LLP; and Dr. Alexa Stoyanov, IPC аударма құпиялылығының терминологиясына бейімделуді 2017 жылы Сергей Воронкевич аударған.

Өзгерістер:

1) ақпараттық қауіпсіздіктің аттас қағидатымен шатаспау үшін «жекешелеп» деп аударылған «құпиялылық» терминінің мәтінге қайта оралуы (ISO 27001 қараңыз);

2) transparency термині сөзбе — сөз «шынайылық» ретінде аударылған (аударманың бірінші нұсқасында — ашықтық);

3) privacy by default термині «әдепкі құпиялылық» деп аударылған.

Ресейлік мәнмәтін

Ресейде алушының келісімінсіз аудармалар мәселесі туралы ой туындады. 2018 жылдың маусымында Ресейдің Орталық Банкі «Ақша аударымдарын жүзеге асыру ережелері туралы» ережеге өзгерістер жобасын жария талқылау үшін жариялады. Құжат, егер аударым кезінде «банк шотының нөмірін бір мәнді белгілеуге мүмкіндік беретін идентификатор» пайдаланылған жағдайда, банктердің клиенттерден шотқа ақша аударуға келісім сұратуға міндеттілігін белгілеуді көздейді.

РБК газетінің Ресей Орталық банкіне сілтеме жасап хабарлауынша, түзетулер, мысалы, идентификатор ретінде тек телефон нөмірі пайдаланылса, интернет және мобильді қосымшалар арқылы клиенттердің шоттарына олардың келісімінсіз ақша аудару жағдайларын жоюға бағытталған. Банктер, жаңа ережеге сәйкес, егер нөмір идентификатор ретінде пайдаланылса, клиенттен қаражатты салуға рұқсат сұрауы керек.

Абонент для перевода не доступен
ЦБ предложил обязать банки спрашивать у клиентов согласие на зачисление на их счет денег, переводимых по номеру сотового телефона. Переводы без такого согласия несут риски, например для чиновников, согласны эксперты

banki.ru ақпараттық агенттікте пайдаланушылар бұл сұрақты Сбербанкке қойды. Мысалы, пайдаланушылардың бірі қосымшаның мессенджерлерден айырмашылығы пайдаланушыны бұғаттау функциясы жоқ деп шағымданды. Басқа пікір қалдырушылар пост авторын қолдап, олар да тітіркендіргіш хабарламалар, соның ішінде қауіптер алады деп шағымданды, бірақ олар нөмірді өзгерте алмайды, өйткені олар оны ұзақ уақыт пайдаланады. Көптеген қызметтердегі абоненттік нөмір тіркелгіге кіру үшін логин рөлін атқаратындығын немесе екі факторлы аутентификацияда қолданылатындығын ескере отырып, қазіргі әлемде жаңа нөмірге көшу проблемалы болып табылады. Сбербанк өкілі бұл сұрау Сбербанктің онлайн-әзірлеушілеріне жіберілгенін айтты, бірақ олар басқа адамға қосымша хабарламамен ақша жіберуге тыйым сала алмайды.

Қорытынды

Банк қосымшаларының функциялары барған сайын кеңейе түскен және қосымшалардың өздері супер қосымшаларға айналған жағдайда, осы қосымшаларды пайдаланушылардың құпиялылығын қорғау мәселесі бірінші орынға қойылуы керек. Жақсы қосымшаны пайдаланған кезде пайдаланушы ыңғайсыздықты, стрессті, қуғын-сүргін сезімін және киберқылмыскерлердің қауіпті хабарламалары мен осалдығын сезінбеуі керек. Банктер, әлеуметтік желілер мен мессенджерлер сияқты, деректердің құпиялылығын сақтай отырып, пайдаланушылар арасындағы байланыс құралдарын реттеуге белсенді қатысуы керек. Қалай реттеуге болатыны — төменде ұсыныстарда көрсетілген.

Ұсынымдар

Банк ұйымдарына пайдаланушының құпиялылығын осындай ретке келтіру мүмкіндігін көздеу ұсынылады:

  • пайдаланушыларды қара тізімге енгізу;
  • бейтаныс пайдаланушылардан ақша аударымдарын алудан бас тарту (ақ тізім деп аталады);
  • ақша аударымдарын алудан бас тарту (телефон нөмірі немесе шот нөмірі бойынша);
  • ақша аударымдарына хабарламалар алуды шектеу. Пайдаланушының құпиялылығының тиісті параметрлері аударымды жібермес бұрын жіберушіге хабарлама түрінде көрсетіледі.

Image from nextonline.net

Сізге сонымен қатар ұнауы мүмкін

Онлайн-платформа дегеніміз не және ол неге деректермен бөліседі?
Қытай және Орталық Азия: ынтымақтастық па әлде бақылау ма?