Rambler's Top100
Статьи ИКС № 05 2013
Лилия ПАВЛОВА  07 мая 2013

Качество сквозь призму безопасности

На фоне глобальной темы кибервойн обеспечение качества предоставляемых услуг связи может показаться «мелким жемчугом» в сравнении с «пустыми щами». Тем не менее собственно операторский бизнес напрямую зависит от этого качества – а на него, в свою очередь, влияет уровень информационной безопасности операторов.

Регулятор в игре

В этом году на конференции АДЭ «Обеспечение доверия и безопасности при использовании ИКТ» руководство Минкомсвязи, Россвязи и Роскомнадзора провело секционное заседание, где обсуждались вопросы обеспечения безопасности как неотъемлемой части повышения качества услуг связи. Правда, информационная безопасность здесь была скорее поводом еще и еще раз заявить о работе отраслевого ведомства в области качества услуг. Выделялись как давно известные на рынке механизмы обязательной сертификации средств связи на соответствие установленным требованиям и добровольной сертификации качества услуг, так и новое направление – прямое регулирование качества.

По словам Игоря Чурсина, заместителя руководителя Россвязи, уже разработано больше 100 нормативно-правовых актов (из них 10 приказов Минкомсвязи по правилам применения средств связи были зарегистрированы Минюстом в 2012 г.), а в настоящее время готовится проект нормативно-правового акта в части использования новых технологий. К слову, приступившие к строительству сетей LTE операторы очень надеются на регулятора, поскольку, как неоднократно подчеркнули на конференции представители МТС, сегодня в правилах применения средств связи государство не предъявляет требований к оборудованию LTE с точки зрения информационной безопасности сети.

На основе действующей с 2011 г. системы добровольной сертификации качества услуг «Связь-Эффективность» Минкомсвязь планирует учредить ежегодную отраслевую премию в области качества услуг. По словам И. Чурсина, разработанные Россвязью и АДЭ предложения уже переданы в Минкомсвязь. Предполагается, что премия будет присуждаться на конкурсной основе за внедрение эффективных методов управления качеством, распространение передового опыта в применении отечественных и международных стандартов по управлению качеством, развитие и совершенствование национального рынка инфокоммуникационных технологий и связи.

В направлении прямого регулирования Минкомсвязь планирует ввести в новую редакцию закона «О связи» раздел защиты интересов пользователей, где будет сказано о необходимости установления критериев качества оказываемых услуг. Кроме того, в 2012 г. Роскомнадзор разработал проект концепции создания системы контроля качества предоставляемых в России услуг связи, который сейчас находится на рассмотрении в министерстве (см. «Качество услуг будет на госконтроле»). По словам Олега Ковалева, заместителя начальника управления контроля и надзора в сфере связи Роскомнадзора, сейчас разрабатывается методика оценки качества услуги доступа в интернет – и особенно сложно оценить это качество в ситуации, когда пользователь безуспешно пробивается к зарубежному сайту. Тем не менее по всем наименованиям услуг связи, установленным постановлением правительства от 18 февраля 2005 г. №87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий», будут разработаны программы и методики измерения параметров качества. При этом, как заметил О. Ковалев, сегодня в лицензии операторов вносятся наименования услуг и лицензионные территории, но никакими нормативно-правовыми актами не определено, что в каждой точке лицензионной территории качество услуг связи должно быть одинаковым. Поэтому воздействовать на оператора в части улучшения качества весьма проблематично.

Включившись в прямое регулирование качества услуг, многие вопросы информационной безопасности государство оставляет операторам на саморегулирование. По словам К. Степаненко, директора Департамента регулирования радиочастот и сетей Минкомсвязи России, сейчас необходимо найти баланс между механизмами саморегулирования и государственного контроля качества услуг связи. Но готовы ли игроки рынка к самостоятельности? По мнению Дмитрия Соболева («Энвижн Груп»), интерес к саморегулированию в отрасли не очень высок: операторам гораздо удобнее работать с требованиями госрегулятора, нежели брать обязательства на себя. Тем не менее такой прецедент существует, он упоминался на конференции.

Банки и телекомы объединяются против фрода

Электронное мошенничество – общая проблема и банков, и операторов связи. Она их и объединила. По словам Артема Сычева (ЦБ РФ), сегодня остро встал вопрос гармонизации стандартов «Базовый уровень информационной безопасности операторов связи» с требованиями стандарта по ИБ в банковском секторе. И тому есть ряд причин.

Во-первых, если раньше все банки использовали телеком лишь как промежуточное звено, без операторских ИБ-сервисов, то сегодня операторы предоставляют банковскому сектору широкий спектр услуг, в том числе информационной безопасности. Во-вторых, банкам стало понятно, что противостоять атакам фродстеров без телекома они не могут, и по рекомендации ЦБ РФ в договорах на обслуживание начали требовать от оператора соблюдения требований банковского стандарта по информационной безопасности. В-третьих, выяснилось, что принятые в рамках рекомендаций МСЭ-Т требования «Базового уровня информационной безопасности» перекликаются с рядом позиций банковского стандарта. Наконец, стало очевидно, что проблема фрода в равной степени характерна как для банков, так и для операторов связи, причем в своих схемах хищения одни и те же люди используют как банковские, так и операторские системы. «Чтобы правоохранительные органы могли детально разобрать цепочку хищений, необходима договоренность оператора и банка об обмене информацией, а для этого должны быть доверительные отношения, – уверен А. Сычев. – При этом мы должны обмениваться информацией, не нарушая законодательства, не нарушая тайну связи или банковскую тайну». 

По словам Д. Соболева, фродстеры сегодня активно обмениваются опытом, а «безопасники» банков и телекомов пересекаются мало и редко обсуждают общие проблемы. 

Гармонизация стандартов позволит избежать коллизий, возникающих при реализации совместных проектов, и выработать группу единых стандартов, которые детально описывали бы средства, методы и механизмы безопасности, используемые при их реализации. Для этого потребуется согласовать термины и определения в стандартах, определить общий набор требований, договориться о механизмах взаимопризнания и разработать единую систему противодействия мошенничеству. Первой о готовности к этому процессу заявила компания МТС, в нынешнем году завершившая сертификацию на соответствие требованиям базового уровня ИБ.

Защита вне закона

Для операторов связи в последние год-два настоящей головной болью стала проблема фрода, в основе которого лежат спам-рассылки. По данным «МегаФона», в 2012 г. в сети оператора прошло около 9 млрд SMS-рассылок коммерческого и мошеннического характера. Большинство из них (68%) – рекламные рассылки, особого вреда абонентам не несущие, разве что раздражение. Но около трети – это мошеннические SMS (11% – «выигрыши», 10% – «из банка», 6% – «открытки», 3% – «кошельки», 2% – «мама, я в беде»), которые наносят реальный ущерб как абонентам, так и оператору. По оценкам аналитиков, потери операторов от фрода составляют около 2% выручки. При этом использование технических средств его предотвращения вступает в противоречие с существующим законодательством.

Операторы на практике уже столкнулись с проблемой, когда, заблокировав источник мошеннической SMS-рассылки, они проигрывают судебное разбирательство, поскольку в соответствии с законом «О внесении изменений в Федеральный закон “О защите детей от информации, причиняющей вред их здоровью и развитию”» блокировать можно только источники распространения трех зол – детской порнографии, наркотиков и суицида. По мнению Сергея Прадедова, заместителя вице-президента по безопасности МТС, закон был принят поспешно, причем вместо детальной проработки технических элементов его реализации отраслевое министерство сфокусировалось на общественных обсуждениях. В результате требования по взаимодействию и фильтрации трафика операторы связи получили в самый последний момент. Впрочем, они уже сами к тому времени построили необходимую инфраструктуру и своевременно начали блокировать незаконный контент.

Но проблемы операторов связаны не с техническими, а с законодательными аспектами. По словам Сергея Размахнина, начальника отдела предотвращения мошенничества Департамента информационной безопасности МТС, есть типы фрода, с которым оператор самостоятельно справиться не может: нужна помощь правоохранительных органов, совместная работа с другими операторами, необходимо внести изменения в законодательную базу.

По словам Дениса Дронова (Поволжский филиал «МегаФона»), в 2012 г. в компании была внедрена автоматизированная система антиспама, которая в режиме 24х7 анализирует трафик по шаблонам, фразам, словам, всплескам и технически может блокировать весь SMS-спам. Но проблема начинается уже с того, что понятия «SMS-спам» не существует ни в одном законе. Поэтому предлагается, во-первых, внести этот термин в законы «О связи» и «О рекламе»; во-вторых, предусмотреть запрет на распространение недобросовестной и ненадлежащей рекламы; в-третьих, закрепить законодательно право оператора связи ограничивать распространение SMS-спама.

Похоже, что госрегулятору, возглавившему поход за качеством услуг, потребуется найти ответ на целый ряд поставленных операторами вопросов обеспечения нормативно-правовой базы в области информационной безопасности. Иначе цель похода может оказаться недостижимой.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!