Мнение / июнь 2019
Финансовый секторГосударственное управлениеОбразование

Насколько надежно облачные сервисы хранят персональные данные

Алексей Айларов:"Разработчики уделяют большое внимание вопросу безопасности, и хранение информации на серверах, находящихся вне стен офиса, не представляет угрозы для бизнеса".
© ComNews
24.06.2019

С каждым годом увеличивается число компаний, применяющих облачные технологии: согласно исследованию IDG, 77% предприятий в мире используют как минимум одно приложение в облаке или хранят таким образом часть данных. О том, насколько надежно облачные сервисы хранят персональные данные, рассказал Алексей Айларов, СЕО и сооснователь Voximplant.

Тренд во многом коснулся и сферы коммуникаций, именно для взаимодействия с клиентами бизнес все чаще использует платформы, созданные сторонними разработчиками. В последние пару лет особенно популярным стали UCaaS-решения – Unified Communications as a Service – все коммуникации как сервис.

Какие существуют персональные данные в сфере USaaS?

Первое - информация о компании. Это данные, предоставляемые бизнесом телеком-оператору при приобретении номера для обзвонов. Требования разнятся в зависимости от страны: например, в США не нужно никаких документов, в Германии требуется подтверждение адреса проживания должностного лица, заключающего контракт, в России необходим договор. Второе - звонки, проходящие через коммуникационную платформу. Если кейс не предполагает анализа речи, третья сторона не узнает, что обсуждали собеседники. Однако если требуется распознавание голоса, к процессу подключаются сторонние ресурсы, которые получают доступ к содержанию разговора. В основном эту функцию осуществляют сервисы Яндекса и Google, в которых  данные транскрибируются и возвращаются на платформу в виде текстовых блоков, а они затем передаются клиенту. Третье - информация о потребителях, загружаемая в сервисы для автоматизированных обзвонов. Например, пара "ФИО – контактный телефон", чтобы робот мог поприветствовать пользователя по имени при звонке. Конечно, все хранится внутри инфраструктуры и доступ к ней может получить узкий круг лиц. В основном это служба поддержки — в ситуациях, когда происходит разрешение какого-то спора.

Как защищены данные в облаке?

Когда инфраструктура компании строится в облаке или в нескольких облаках, количество точек, через которые проходят данные, увеличивается: свой провайдер, дата-центры, поставщики облачных решений и т. д. На первый взгляд, это повышает вероятность утечек, но это не совсем так.

Единственный, кто знает, какие данные хранятся на том или ином удаленном сервере — это их владелец. Для сотрудников дата-центров это просто "железка" с какой-то информацией. Более того, у них нет к этой информации никакого доступа, кроме физического – они могут лишь буквально ударить молотком. Пароль же сообщает только сам клиент, если требуется что-то починить или решить возникшую проблему.

Это можно сравнить с on-premise-решениями: например, в банке есть ряд сотрудников с доступом к данным, расположенным на внутреннем сервере. В большинстве случаев они не обращаются к этой информации и используют ключи только по необходимости. В таких крайних ситуациях вся ответственность за возможную утечку данных будет лежать именно на этих сотрудниках.

Если же говорить про несанкционированное внешнее вмешательство — взлом маловероятен. Абсолютное большинство злоумышленников не будет нанимать супер-хакеров и платить им огромные суммы, чтобы украсть базу клиентов и обзванивать, продавая что-то. Это экономически нецелесообразно.

Если персональные данные так надежно хранятся, как личные номера попадают к спамерам?

Этот вопрос имеет две стороны. Во-первых, речь идет о неаккуратном обращении пользователей с персональной информацией: далеко не все читают условия соглашения, заполняя многочисленные анкеты при оформления подписок и покупок, при просмотре фильмов и т.д. Относительно недавно люди начали бережнее относиться к данным о себе, но при желании всегда можно собрать информацию.

Второй момент — это несовершенства в законодательстве, оставляющие лазейки для недобросовестных предпринимателей. В Евросоюзе, например, эту проблему постарались решить введением Общего регламента по защите данных (GDPR). Однако стоит понимать, что всегда есть и неявные цели подобных инициатив. Вероятно, европейцы таким образом стремятся ограничить контроль американских корпораций над их цифровой жизнью. Но вопрос, чего они хотят этим добиться, кого от чего защитить, остается открытым. Беспокойство о пользователях – не самое правдоподобное обоснование.

Что же касается легальных массовых обзвонов с использованием коммуникационной платформы, компания-инициатор должна иметь письменное согласие от всего массива пользователей. Потребитель всегда может обратиться в надзорный орган, который пройдет по всей цепочке и выяснит, действительно ли была поставлена галочка напротив слова "разрешаю" или данные использовались без его согласия.

Безопасно ли давать доступ к персональным данным роботам?

Перейдем от темы спама к более интересным кейсам. Сейчас активно обсуждается машинное обучение для распознавания голоса. Оно строится на том, что машина анализирует огромное количество голосовых примеров и учится правильно распознавать речь. В теории обучение должно происходить на обезличенных голосах. Насколько за этим следят – вопрос риторический. И вопрос скорее не к тем, кто слушает записи и помогает роботу (осуществляет разметку), а к тем, кто отправляет данные на анализ. Именно от последних зависит, как будут нарезаны записи и сможет ли человек, прослушав их, получить какую-то конфиденциальную информацию.

Что касается применения "умных" технологий на практике — возьмем для примера голосовую идентификацию в банках — как ни странно, к персональным данным это имеет слабое отношение. В банке хранится цифровой отпечаток, который, во-первых, нельзя расшифровать без ключа-алгоритма, во-вторых, нельзя сопоставить с реальным ФИО – идентификация происходит по голосу с поступившего звонка. То есть, при звонке запись голоса пользователя кодируется, и получившийся отпечаток сравнивается с тем, что находится в хранилище банка.

Так, риски, если они и есть, связаны с деятельностью людей, сопровождающих процессы обучения и работы машины, а не с самим фактом передачи персональной информации роботу.

Переходя к выводам

Отвечая на главный вопрос статьи — насколько надежно облачные сервисы хранят персональные данные, подытожим: разработчики уделяют большое внимание вопросу безопасности, и хранение информации на серверах, находящихся вне стен офиса, не представляет угрозы для бизнеса. В то же время, законодательство и общая культура обращения с личными данными далеко не совершенны, что оставляет место для инцидентов с утечкой сведений.