Департамент телекоммуникаций (DoT) Индии выпустил директиву, обязывающую поставщиков коммуникационных услуг на основе приложений гарантировать, что их платформы не могут использоваться без активной SIM-карты, привязанной к мобильному номеру пользователя. Это требование закреплено поправкой к Правилам телекоммуникаций (кибербезопасность телекоммуникаций) 2024 года. Согласно распоряжению, провайдеры услуг обязаны обеспечить соблюдение новых норм в течение 90 дней.
Под действие новых правил подпадают приложения, использующие индийский мобильный номер для уникальной идентификации пользователей, технически обозначаемые как Субъекты-пользователи телекоммуникационного идентификатора (TIUE). В список конкретных приложений, упомянутых в директиве, вошли WhatsApp, Telegram, Snapchat, Signal, Arattai, Sharechat, Josh и JioChat. Подобные меры, включающие привязку к SIM-карте и автоматический выход из системы, ранее уже были применены к банковским приложениям и сервисам мгновенных платежей, использующим Единый платежный интерфейс (UPI) Индии.
Директива вводит два ключевых технических требования, первое из которых касается привязки к SIM-карте (SIM Binding). Приложения должны быть непрерывно связаны с SIM-картой, установленной в устройстве. Если активная SIM-карта извлекается из смартфона, использование приложения должно стать технически невозможным. Это исключает работу учетных записей на устройствах, где отсутствует верифицированный номер телефона.
Второе требование регламентирует лимиты веб-сессий. Экземпляры веб-сервисов, такие как десктопные версии мессенджеров, должны принудительно завершать сеанс каждые шесть часов. Для продолжения использования сервиса пользователям придется повторно привязывать свое устройство, сканируя QR-код. Эта мера направлена на предотвращение длительного несанкционированного доступа к аккаунтам через компьютеры.
В заявлении, опубликованном в понедельник, DoT объяснил, что данные меры необходимы для устранения уязвимостей, используемых злоумышленниками для трансграничного мошенничества. В настоящее время аккаунты продолжают функционировать даже если связанная с ними SIM-карта извлечена, деактивирована или перемещена за границу. Длительные веб-сессии позволяют мошенникам управлять учетными записями удаленно, находясь далеко от оригинального устройства или SIM-карты, что осложняет отслеживание преступников.
Власти перечислили конкретные угрозы, ставшие причиной ужесточения правил. К ним относятся анонимные мошенничества, удаленные аферы с «цифровым арестом», звонки от лиц, выдающих себя за государственных служащих, фишинг, кибермошенничество, а также махинации с инвестициями и кредитами. Также упоминаются операции с подставными счетами (счетами «мулов»). Существующая лазейка, когда сессия, аутентифицированная в Индии, может действовать из-за рубежа без повторной проверки, препятствует эффективному расследованию преступлений.
Стратегическая цель нововведений заключается в обеспечении отслеживаемости: каждый активный аккаунт и веб-сессия должны быть привязаны к SIM-карте, прошедшей процедуру «Знай своего клиента» (KYC). Необходимость частого повторного подключения создает препятствия для преступников, вынуждая их доказывать контроль над устройством «снова и снова». Это должно сократить количество атак с захватом аккаунтов и случаев неправомерного удаленного управления.
Параллельно с новыми правилами создается платформа проверки мобильных номеров (Mobile Number Validation — MNV). Ее цель — борьба с подставными счетами и кражей личных данных, вызванными непроверенными связями между номерами и цифровыми сервисами. Платформа позволит поставщикам услуг через децентрализованную, конфиденциальную систему проверять, действительно ли мобильный номер принадлежит указанному лицу. Запросы на платформе MNV смогут размещать как TIUE, так и государственные агентства.
На данный момент крупные игроки рынка, такие как WhatsApp и Signal, не ответили на запросы о комментариях относительно новой директивы. Внедрение указанных технических ограничений потребует от компаний существенной перестройки архитектуры безопасности своих приложений в установленный трехмесячный срок.
Изображение носит иллюстративный характер
Под действие новых правил подпадают приложения, использующие индийский мобильный номер для уникальной идентификации пользователей, технически обозначаемые как Субъекты-пользователи телекоммуникационного идентификатора (TIUE). В список конкретных приложений, упомянутых в директиве, вошли WhatsApp, Telegram, Snapchat, Signal, Arattai, Sharechat, Josh и JioChat. Подобные меры, включающие привязку к SIM-карте и автоматический выход из системы, ранее уже были применены к банковским приложениям и сервисам мгновенных платежей, использующим Единый платежный интерфейс (UPI) Индии.
Директива вводит два ключевых технических требования, первое из которых касается привязки к SIM-карте (SIM Binding). Приложения должны быть непрерывно связаны с SIM-картой, установленной в устройстве. Если активная SIM-карта извлекается из смартфона, использование приложения должно стать технически невозможным. Это исключает работу учетных записей на устройствах, где отсутствует верифицированный номер телефона.
Второе требование регламентирует лимиты веб-сессий. Экземпляры веб-сервисов, такие как десктопные версии мессенджеров, должны принудительно завершать сеанс каждые шесть часов. Для продолжения использования сервиса пользователям придется повторно привязывать свое устройство, сканируя QR-код. Эта мера направлена на предотвращение длительного несанкционированного доступа к аккаунтам через компьютеры.
В заявлении, опубликованном в понедельник, DoT объяснил, что данные меры необходимы для устранения уязвимостей, используемых злоумышленниками для трансграничного мошенничества. В настоящее время аккаунты продолжают функционировать даже если связанная с ними SIM-карта извлечена, деактивирована или перемещена за границу. Длительные веб-сессии позволяют мошенникам управлять учетными записями удаленно, находясь далеко от оригинального устройства или SIM-карты, что осложняет отслеживание преступников.
Власти перечислили конкретные угрозы, ставшие причиной ужесточения правил. К ним относятся анонимные мошенничества, удаленные аферы с «цифровым арестом», звонки от лиц, выдающих себя за государственных служащих, фишинг, кибермошенничество, а также махинации с инвестициями и кредитами. Также упоминаются операции с подставными счетами (счетами «мулов»). Существующая лазейка, когда сессия, аутентифицированная в Индии, может действовать из-за рубежа без повторной проверки, препятствует эффективному расследованию преступлений.
Стратегическая цель нововведений заключается в обеспечении отслеживаемости: каждый активный аккаунт и веб-сессия должны быть привязаны к SIM-карте, прошедшей процедуру «Знай своего клиента» (KYC). Необходимость частого повторного подключения создает препятствия для преступников, вынуждая их доказывать контроль над устройством «снова и снова». Это должно сократить количество атак с захватом аккаунтов и случаев неправомерного удаленного управления.
Параллельно с новыми правилами создается платформа проверки мобильных номеров (Mobile Number Validation — MNV). Ее цель — борьба с подставными счетами и кражей личных данных, вызванными непроверенными связями между номерами и цифровыми сервисами. Платформа позволит поставщикам услуг через децентрализованную, конфиденциальную систему проверять, действительно ли мобильный номер принадлежит указанному лицу. Запросы на платформе MNV смогут размещать как TIUE, так и государственные агентства.
На данный момент крупные игроки рынка, такие как WhatsApp и Signal, не ответили на запросы о комментариях относительно новой директивы. Внедрение указанных технических ограничений потребует от компаний существенной перестройки архитектуры безопасности своих приложений в установленный трехмесячный срок.
