Под колпаком у Грефа: Сбербанк шпионит за нами

  • Под колпаком у Грефа: Сбербанк шпионит за нами

Цифровая экосистема Сбербанка продолжает поглощать одну сферу за другой. Однако локомотив империи Германа Грефа – финансовые услуги, реализуемые, в основном, через мобильное приложение, которому можно всё и для которого клиенты – не более чем просто товар и цель для монетизации услуг. В чём главная опасность и как её избежать?

Ни для кого не секрет, что слежка за людьми с помощью мобильных приложений – это, во-первых, мировой, а не российский тренд, а во-вторых, это ровно в той же степени общемировая, а не только российская проблема. Безусловно, реализация современных услуг в "цифре" просто невозможна без широких полномочий таких приложений – от сервисов заказа такси и до программ для занятия спортом, совершения покупок и так далее.

Но в России есть игрок, который без всяких преувеличений является монополистом в сфере цифровых финансовых и иных услуг. И это не "Яндекс" и уж тем более не само государство в лице Госуслуг. Нет, это как бы государственный (но де-факто западный и частный) Сбербанк. Его мобильное приложение – краеугольный камень всей цифровой инфраструктуры, именно поэтому банк делает на нём огромные деньги даже в кризис.

Казалось бы, давайте порадуемся за наш главный банк. За его успехи, за большие прибыли, и скажем спасибо за удобство использования его сервисов. Но не спешите радоваться. Сама цифровая империя Сбербанка была бы невозможной, если бы у неё не было подпитки в виде наших персональных данных, наших действий и денег – будь то переводы, открытие счетов, оплаты ЖКХ, штрафов и оплаты за товары в магазинах.

Цифры говорят сами за себя

Посмотрите, как Сбербанк лихо "окучил" население в кризис. Несмотря на падение экономики из-за коронавируса во II квартале 2020 года банк умудрился заработать на комиссиях от перевода денег физическими лицами рекордные 16,2 млрд рублей (данные отчётности по РСБУ). Это на 52% больше, чем за этот же период прошлого года. А за первое полугодие комиссии принесли Сбербанку 31 млрд рублей. Как такое стало возможным?

На самом деле случилось то, о чём я и мои коллеги предупреждали ещё несколько месяцев назад. До 14 июня действовал так называемый банковский роуминг – Сбербанк взимал комиссии не только с наших платежей за ЖКХ или, скажем, штрафы ГИБДД, но и за переводы между банковскими счетами граждан из региона в регион. ЦБ во многом именно из-за этой политики банка запретил этот роуминг, однако учреждение Грефа выкрутилось из этой удавки.

Теперь Сбербанк, действительно, обнулил комиссии за переводы между регионами, но зато ввёл лимиты на переводы без комиссии и даже специальные тарифы, которые можно приобрести, чтобы "сэкономить" на таких переводах. До 50 тыс. рублей – без комиссии, а затем с каждого перевода придётся делиться. Глава ЦБ России Эльвира Набиуллина даже вознамерилась обратиться в Госдуму, чтобы приструнить Сбербанк, назвав его политику "недобросовестной". В кризис из-за коронавируса прибыли банка просели на 24%. И Греф, вне всяких сомнений, хотел отбить хоть часть потерь.

К мобильной платформе "Сбербанк Онлайн" это имеет самое прямое отношение, так как подавляющее большинство переводов и платежей вообще осуществляются именно через него, а не через банкоматы, где, кстати, Сбербанк тихой сапой уже ввёл постоянную комиссию ("подарок" для населения в кризис, не иначе). И тут мы подходим к самому интересному – принципам работы этого приложения и угрозам, исходящим от него.

Ему можно всё

Итак, к клиентам Сбербанка сейчас относятся бюджетники, получающие зарплату на карты "Мир" этого банка. Сбербанк обслуживает и социальную сферу – выплаты пенсий, социальных пособий. Всё это идёт через него. Наконец, это добровольная "розница" – миллионы жителей России. Люди устанавливают приложение "Сбербанк Онлайн", чтоб следить за счётом, получать уведомления о списаниях и поступлениях. В программе есть даже "цифровой помощник", который анализирует бюджет на месяц и не забывает посоветовать открыть депозит или выгодно взять кредит. Сам Герман Греф неоднократно говорил, что доволен работой алгоритмов искусственного интеллекта (ИИ) в приложении.

Сбербанк обслуживает и социальную сферу – выплаты пенсий, социальных пособий. Фото: Alexander Zemlianichenko Jr/Xinhua/Globallookpress

Но стоит присмотреть ближе, как становится понятно, что алгоритм этот никакой не искусственный, а человеческий. И "питается" он нашими с вами действиями. Для начала посмотрим на список разрешений в смартфоне для этой программы. Приложению можно практически всё – посмотрите на структуру.

Операции с аудио:

– Запись аудио

Геолокация:

– Определение примерного и точного местоположения

Камера:

– Фото- и видеосъёмка

Контакты:

– Просмотр контактов

– Поиск аккаунтов на устройстве

Память:

– Изменение/удаление данных носителей (внутренняя память, карта памяти и даже запись на USB-накопитель)

– Просмотр данных носителя

Телефон:

– Осуществление телефонных вызовов

– Получение данных о статусе телефона (включая серийные номера моделей, IMEI и данные о телефонах, с которыми установлено соединение)

Прочее:

– Неограниченный доступ в интернет, просмотр сетевых и беспроводных подключений, изменение сетевых настроек, использование сканера отпечатков пальцев (если есть на устройстве), закрытие других приложений, автозапуск при включении.

Фото: скриншот разрешений приложения "Сбербанк Онлайн" в операционной системе Android

Если некоторые приложения, например, спрашивают разрешение у пользователя по пунктам, то устанавливая "Сбербанк Онлайн", пользователь разрешает почти всё и сразу. ИИ-программы сразу начинают следить, например, за активностью в интернете и даже поисковыми запросами. "Цифровой помощник" же выдаст сжатую рекомендацию – взять кредит, оформить подписку на онлайн-кинотеатр Okko, аффилированный со Сбербанком, и многое другое. Такие рекомендации могут быть как в виде подсказок в самой программе, так и в виде push-уведомлений, когда они являются перед вашим взором вообще в любой неподходящий для этого момент.

При этом мы должны понимать, что все эти рекомендации – лишь внешняя сторона. Внутренняя – это сбор приложением массива статистики использования, а затем классификация в системе, чтобы советник не предлагал взять кредит в 100 тыс. рублей тому, кто его не выплатит априори, и наоборот.

Сбербанк знает, где вы бываете, куда ездите и что там делаете. Анализирует покупки в этих местах. Алгоритм способен выявить закономерности в переводах денежных сумм и ровно так же определить "нехарактерные" переводы и платежи. Вы прозрачны и раскрыты. Естественно, составляется ваш цифровой профиль в банке. По идее он включает в себя даже базы с информацией о том, с какими людьми вы чаще всего контактируете.

Фото: скриншот разрешений приложения "Сбербанк Онлайн" в операционной системе Android

Вы на это подписывались, когда заводили карту? И да и нет. Давали согласие на обработку ваших персональных данных, но договор с банком на самом деле никак не регулирует использование этих данных, Сбербанк делает с ними всё, что пожелает – хранит, передаёт своим партнёрам, если пожелает, и так далее. И, конечно, интегрирует эти данные в свою экосистему, а не только в сервисы по финансовым услугам.

Критики скажут, что без такого набора функционала приложение просто не сможет работать правильно или работать вообще. Отчасти это правда. "Сбербанк Онлайн" должен быть "убийцей" других приложений, чтобы никто не мешал его работе и любая программа могла быть закрыта по его команде. Приложение также должно уметь звонить, чтобы вы могли связаться с банком прямо из его интерфейса, а считывание контактов сделано для того, чтобы быстро переводить деньги по тем из них, кто является клиентом банка. Удобство и ничего более. Разве что "дыры" для DoS-атак могли остаться.

Фото: скриншот разрешений приложения "Сбербанк Онлайн" в операционной системе Android

Отдельно скажу, что Сбербанк отличается от других банков тем, что сделал ставку именно на мобильное приложение. Стандартом приложений для финансовых услуг до сих пор являются версии для компьютеров – так называемые desktop-версии. Мобильное приложение, как правило, второстепенно и обладает неполным функционалом. У Сбербанка же всё наоборот. Desktop-версия, такое ощущение, не нужна вообще никому. А вот мобильным "Сбербанком Онлайн" пользуются абсолютно все. Поэтому приложение так сильно "заточено" под сбор именно телефонных данных, запись разговоров, звонки, имеет доступ к контактам и геолокации. Последнее для desktop-версии вообще было бы неинтересным, гораздо полезнее отслеживать передвижение смартфона, чем место постоянного нахождения компьютера, верно?

Почему это опасно?

Проблемы безопасности для пользователей можно разделить на две группы. Первая – это утечки баз данных из самого банка, а также отсутствие ответственности за это. Вторая группа – это собираемость данных самим приложением. Если первое не зависит от клиента вообще никак, то на второе повлиять, в принципе, возможно.

В 2019 году из Сбербанка дважды происходили масштабные утечки данных. Во время одной из них на чёрном рынке оказалась база по крайней мере 60 млн клиентов кредитных карт. Там были и номера телефонов, паспортные данные, кредитные истории, состояние личного счёта. Тогда нам сообщили, что утечка произошла вовсе не из-за какого-то взлома, а потому что один из сотрудников якобы банально обиделся на своего начальника и в отместку вынес из банка эту базу. Если уж клиенты добровольно передают свои данные банку, то он обязан их защищать. Однако заставить банк это делать надлежащим образом может только ответственность, а её нет.

За это должны нести ответственность как те, кто украл, так и те, кто ненадлежащим образом хранил данные. Но тут непростая история, потому что сложно создавать такие законы, сложно потом за этим следить, все ведь скрывают свои утечки. Если бы в начале октября 2019 года Сбербанк нашёл утечку быстрее, чем другие, то мы могли бы о ней и не узнать,

– пояснил Царьграду управляющий партнёр компании "Ашманов и партнёры", один из крупнейших специалистов в сфере IT в России Игорь Ашманов.

Схожее мнение высказал Царьграду и эксперт по информационной безопасности комитета ТПП России по финансовым рынкам Тимур Аитов.

Эта проблема существует в том виде, что наказать ту организацию, которая халатно хранила персональные данные, по нашему законодательству практически невозможно. Можно наказать того, кто обеспечил неправомерный доступ, того, кто украл, взломал, можно наказать хакера. А вот наказать того, кто неправильно хранил – нет. Я не слышал, чтобы кого-то наказывали в организациях после утечек осенью 2019 года,

– сказал он.

Что касается самих собираемых данных, то нет никаких сомнений в том, что Сбербанк делает это вообще, что называется, без тормозов. И эти базы данных уже гораздо шире и полнее, чем данные сотовых операторов, так как касаются самой чувствительной сферы – биометрии и финансовой информации. Особый риск представляет новый вид данных – вычисляемых.

Эти данные вы ниоткуда не взяли, а сами вычислили. И вот как раз использование таких чувствительных данных нужно ограничить, потому что тут главное не их сбор, а именно применение – для рекламы, для дискриминации на работе и так далее,

– отметил Игорь Ашманов.

Речь идёт о тех данных, которые вычисляются на основе переданных банку. То есть это те параметры, которые определяет для себя ИИ Сбербанка, делающий вывод о том, бедны вы или богаты, насколько платежеспособны, какая у вас работа и от чего вы зависите в своей жизни. Вы же не говорили этого банку, он вычислил это сам.

При этом едва ли вы сможете остановить "Сбербанк Онлайн". Даже если запретить приложению какие-то разрешения, то далеко не факт, что программа не будет заниматься этим в фоновом режиме.

В большинстве приложений всегда есть такой опросник: разрешить ли доступ к камере, к геотаргетингу. Если человек не задумывается, то он со всем соглашается. Но даже если вы укажете "нет", запретите доступ к микрофону или иным функциям смартфона, то нет никакой гарантии, что приложение не начнёт за вами следить,

– заметил Тимур Аитов.

Простейший принцип монетизации таких алгоритмов – это контекстная реклама. То есть стоит вам в поиске искать, например, утюг, как этот запрос будет обработан ИИ того же Сбербанка, и вы можете получить обилие рекламы на тему покупки утюга. От себя скажу, что однажды, произнеся в телефонном разговоре фразу "отремонтировать машину", я затем получил в браузере контекстную рекламу разных автосервисов. Причём мне рекламировали ремонт именно определённой марки машины. И ведь я не вводил такого запроса, я просто говорил об этом по телефону.

Как с этим бороться?

Тимур Аитов посоветовал радикальные меры – удалить приложение "Сбербанк Онлайн" или же не пользоваться им постоянно. По его словам, программу можно установить, чтобы активировать какие-либо сервисы, но постоянно держать её включённой в смартфоне, работающей в фоне, не стоит. С этим трудно не согласиться. Программа с таким обширным спектром разрешений к тому же быстрее сажает аккумулятор. Она запускается поверх других приложений и постоянно "жрёт" трафик, а также передаёт информацию о геопозиции и так далее на серверы Сбербанка. Оно вам нужно? И если да, то зачем, в случае, когда вам просто нужно перевести деньги?

Переводы денег через Сбербанк, например, доступны через смс-сообщения. Другими услугами можно воспользоваться разово, установив приложение. И другой вопрос, если оно вам необходимо каждый день по много раз. Хотя такое – скорее исключение из правил.

Никто не мешает Сбербанку продавать ваши данные партнёрам, хранить их как угодно и вычислять на их основе что угодно. Фото: Olga Zinovskaya/Shutterstock

Почти в каждом смартфоне под управлением Android в настройках есть перечень приложений, которым разрешено работать в фоновом режиме. Я рекомендую удалить из этого списка "Сбербанк Онлайн". Конечно, это не гарантирует, что оно перестанет собирать информацию в фоне, но некоторые его права всё-таки могут быть ограничены самой операционной системой, и вы, опять же, сэкономите батарейку.

Что же касается вопроса борьбы с тем, что делает Сбербанк с вашими данными, то тут сделать почти ничего нельзя. Игорь Ашманов считает, что заставить такие организации надёжно хранить данные может только принятие закона об ответственности за утечки в отношении тех, кто хранит информацию. Законодательно можно ограничить сроки её хранения, способы обработки и передачи чувствительных данных – биометрии, финансовой информации и медицинских данных.

Пока что, увы, мы живём в мире цифровой вседозволенности Сбербанка и других цифровых корпораций. Наши данные – это товар. По-хорошему, никто не мешает Сбербанку продавать ваши данные партнёрам, хранить их как угодно и вычислять на их основе что угодно. Я напомню, что цифровая экосистема Сбербанка сейчас прирастает не только интернет-магазинами, но и сервисами вроде DocDoc, который в июне 2020 года был переформатирован в телемедицинский проект "СберЗдоровье". С его помощью можно не только записаться на приём к врачу, получить онлайн-консультацию, но и купить безрецептурные лекарства, дистанционная продажа которых у нас теперь разрешена.

10 июля стало известно, что благодаря сбору с нас биометрии Сбербанк будет запускать сервис, работающий по принципу "посмотри и плати". Совместно с американской платёжной системой Visa будет запущена биометрическая система оплаты: покупатели в одном из московских кафе смогут оплатить покупки при помощи взгляда в камеру. Тут я уже молчу, что к биометрии жителей России теоретически может иметь доступ американская Visa, а вовсе не Национальная система платёжных карт (НСПК). И я понимаю почему. НСПК просто не пользуется такое число клиентов, как Visa, экономически сотрудничать с российским платёжным сервисом нецелесообразно, а вот с американским – выгодно. Для активации услуги необходимо зарегистрировать биометрию лица в приложении "Сбербанк Онлайн".

Наконец, 10 июля стало известно о прорыве Сбербанка в финансовом сегменте. В России частично перестанет работать платёжная система PayPal. Зато ровно в этот же день запускается SberPay. Новая система от Сбербанка позволит оплачивать покупки онлайн и в обычных магазинах, но для её использования обязательно будет нужно мобильное приложение банка.

Всё это значит, что Сбербанк становится практически монопольным владельцем чувствительной "триады" – медицинских сведений, финансовой информации и биометрии. И все дороги снова ведут в цифровые сервисы и в "Сбербанк Онлайн". Ловушка захлопывается.

Царьград.ТВПервый Русский
Смотреть запрещенный
Канал Царьграда можно тут:
На сайте, Яндекс.Эфир, ВКонтакте

Ссылки по теме:

Госуслуги без Сбербанка: Кому Греф перешёл дорогу

Сбербанк хранит тайны от клиентов. Ради собственной прибыли

"Дерут в три шкуры": разоблачение Сбербанка и шпионского ПО Грефа прозвучало в прямом эфире

Обсудить
Читать комментарии
"Творят что хотят": Отец Андрей Ткачёв ответил депутату Госдумы Юрий Пронько: В России огромный спрос на наличные – нас ждёт деноминация рубля?
Новости партнёров
Загрузка...

Подписаться на уведомления, чтобы не пропустить важные события

Подписаться Напомнить позже
регистрация