Правительство Южной Кореи объявило о внедрении новой модели идентификации абонентов: при покупке и активации SIM-карт операторы связи будут обязаны проводить верификацию личности по биометрическим данным лица. Мера направлена на снижение масштабов телефонного мошенничества и злоупотреблений с использованием украденных персональных данных, которые в стране уже стали системной проблемой.
Биометрическая верификация SIM-карт: как изменится процесс подключения
До сих пор при покупке SIM-карты в Южной Корее достаточно было предоставить удостоверение личности. Однако злоумышленники активно использовали похищенные или поддельные документы, регистрируя на них новые номера для проведения мошеннических операций. Теперь этот подход признан недостаточным.
Согласно заявлению Министерства науки и ИКТ Южной Кореи, процедура активации SIM-карты будет связана с мобильным приложением PASS, которое уже используется тремя крупнейшими операторами связи: SK Telecom, LG Uplus и Korea Telecom. Приложение выступает в роли платформы цифровой идентификации, где хранятся подтверждённые данные пользователей.
Роль приложения PASS в проверке личности абонентов
При оформлении нового номера покупателю потребуется пройти сканирование лица в приложении PASS. Система автоматически сравнит изображение с уже существующими биометрическими шаблонами и персональными данными, закреплёнными за учетной записью пользователя. Только в случае успешного совпадения SIM-карта будет активирована.
Таким образом, к классической проверке документов добавляется биометрический фактор, что существенно усложняет использование украденных персональных данных и снижает привлекательность рынка «серых» SIM-карт для криминальных группировок.
Мошенничество с SIM-картами и голосовой фишинг как ключевые угрозы
Одной из главных причин реформы стала многолетняя проблема голосового фишинга и телефонного мошенничества. Преступники массово регистрировали SIM-карты на чужие данные и использовали их для:
— проведения социально-инженерных атак по телефону;
— оформления финансовых операций и микрозаймов на третьих лиц;
— сокрытия своей личности и затруднения расследований.
По данным властей, только в 2024 году почти 92% всех фальшивых номеров были зарегистрированы через виртуальных операторов связи (MVNO), у которых традиционно менее строгие процедуры проверки клиентов. Это подчёркивает, что проблема заключается не только в утечке данных, но и в неоднородности требований к идентификации абонентов на телеком-рынке.
Массовые утечки данных как драйвер ужесточения требований
Решение о переходе к биометрической верификации принимается на фоне ряда крупных инцидентов информационной безопасности. Только в 2025 году в Южной Корее произошло две масштабные утечки, которые затронули, по оценкам властей, более половины населения страны — около 52 млн человек.
Крупнейший онлайн-ритейлер Coupang допустил утечку более 30 млн записей о пользователях. Инцидент имел не только технические, но и управленческие последствия: генеральный директор компании лишился своей должности.
Ранее в этом же году от атаки пострадал и телеком-гигант SK Telecom: хакеры получили доступ к данным примерно 23 млн абонентов. Расследование выявило серьёзные нарушения практик информационной безопасности, включая хранение критически важных учетных данных в открытом виде и наличие сервера, свободно доступного из интернета. В результате оператор был оштрафован на 100 млн долларов США и обязан выплатить компенсации всем пострадавшим: по 100 000 вон (около 67 долларов) на одного пользователя — частично в виде средств на счёте, частично в виде бонусных баллов для трат в магазинах.
Такая комбинация — массовые утечки персональных данных и недостаточно строгие процедуры идентификации при выдаче SIM-карт — создала благоприятные условия для преступников, что и стало триггером для ужесточения правил.
Преимущества и уязвимости биометрического подхода
Внедрение сканирования лица при покупке SIM-карты потенциально даёт несколько важных преимуществ для кибербезопасности и противодействия мошенничеству:
— снижает возможность массовой регистрации номеров по ворованным данным;
— усложняет анонимизацию преступников;
— повышает точность привязки номера к реальному человеку;
— помогает правоохранительным органам эффективнее расследовать инциденты.
Однако у биометрической идентификации есть и критические риски. Биометрия относится к категории особо чувствительных персональных данных. В случае утечки «сменить» лицо, в отличие от пароля или номера карты, невозможно. Это означает, что операторы связи и владельцы приложений обязаны обеспечить:
— хранение биометрических шаблонов в зашифрованном виде;
— жёсткое разграничение прав доступа и регулярный аудит;
— использование механизмов проверки «живости» лица (liveness detection), чтобы предотвратить подмену фото, видео или deepfake-изображениями;
— сочетание биометрии с другими факторами аутентификации, а не полную замену ими традиционных методов.
Роль виртуальных операторов и дальнейшее ужесточение регулирования
Статистика о том, что около 92% фейковых номеров в 2024 году было зарегистрировано через виртуальных операторов связи, указывает на необходимость выравнивания регуляторных требований на рынке. Вероятно, следующим шагом станет распространение биометрических требований на MVNO, внедрение единых стандартов KYC (Know Your Customer) и более жёстких санкций за нарушения в области защиты данных.
Для операторов это означает необходимость инвестиций в безопасную инфраструктуру биометрической верификации, усиление процессов информационной безопасности и регулярное прохождение независимых проверок и сертификаций.
Ситуация в Южной Корее демонстрирует устойчивый тренд: по мере роста масштаба утечек персональных данных и телефонного мошенничества государства переходят к более жёсткой, основанной на биометрии идентификации абонентов. Чтобы такие меры действительно повышали безопасность, а не создавали новые уязвимости, необходим комплексный подход: защита инфраструктуры операторов, грамотное управление данными, прозрачное регулирование и повышение цифровой грамотности пользователей. Бизнесу и частным лицам уже сейчас стоит пересмотреть свои практики защиты данных, внимательнее относиться к подозрительным звонкам и сообщениям, а также следить за тем, как меняются требования к идентификации в цифровых сервисах.
