Русская течь: как быть с защитой персональных данных
Новости о той или иной утечке появляются регулярно. На минувшей неделе глава "Ростелекома" Михаил Осеевский даже признал: личные данные всех россиян уже попали в сеть. Вопросы защиты персональных данных при этом интересуют и специалистов по кибербезу, и государство, но не самих владельцев этих данных. О том, не поздно ли плакать по утекшим данным, есть ли шансы перекрыть кран утечкам и кто в них виноват, рассуждает управляющий директор Positive Technologies Алексей Новиков
Данные не предмет для хранения
Цифра нас окружает. С 2000-х годов стали массово появляться цифровые сервисы. Развитие Web 2.0, мобильные приложения и появление различных цифровых экосистем от ведущих IT-гигантов (а потом и государства) требовали от пользователя ввода своих персональных данных, а то и самостоятельного обогащения их до максимального уровня: помните, как на заре появления "ВКонтакте" тогдашним неофитам создания своих цифровых образов предлагалось делиться с общественностью даже информацией о семейном положении, родственных связях и прочими данными? Просто находка для современного мастера по OSINT.
Данные в соцсетях большинство из нас быстро почистило, да и разработчики со временем существенно сократили количество и содержание "видимых" полей, однако общая тенденция к "разбрасыванию" своих данных то там, то тут осталась. Сначала по запросу оставляли электронную почту и ФИО, потом телефон (а вслед за ним и второй — резервный), потом данные банковской карты. Чем дальше в "диджитальный лес", тем толще были партизаны: пошли в ход уже рабочие телефоны, адреса дач, СНИЛС, ИНН, данные водительских прав и регистрации машины (чтобы посмотреть штрафы с камер и т.д.).
Все это нужно не самым известным государственным цифровым сервисам. В разных сочетаниях эти данные о любом человеке разбросаны в самых разных местах: некоторые разрешили браузерам запомнить данные своих банковских карт, кто-то, пользуясь цифровыми коммерческими сервисами, сохранил в личных кабинетах данные водительских прав. А что такого? Удобно же. А уж то, в каких базах данных хранятся и обрабатываются номера телефонов, e-mail, даты рождения, ФИО и вовсе не упомнить: попробуйте пересчитать, сколько за все время вы оформили карт лояльности и у кого есть эти данные на вас? Уверен, не хватит не только своих пальцев рук, но и пальцев рук с ногами всего семейства. Сегодня среднестатистический человек с трудом вспоминает, куда и какие данные он "отнес".
Продаются. Недорого. Отдам даром
С развитием цифровых сервисов, естественно, стали происходить и инциденты. Один из самых частых их результатов — утечки персональных данных пользователей в том или ином объеме: больше чем в половине случаев всех атак на организации, и более чем в 70% случаев кибератак на физлиц киберпреступники
Именно они же самый
Кстати, тут-то появляется и некоторое дополнительное "окно для бизнеса" у преступников: если разрозненные данные, которые не являются значимыми по своему объему, пересобрать и обогатить из разных утечек, уже можно говорить о некоем ценовом предложении. Например, дешевле всего продается (но уже продается, а не раздается) стандартный набор персональных данных — ФИО, телефон, e-mail и дата рождения — из компаний сферы услуг, торговли, онлайн-сервисов и образования. Стоимость продаваемых данных начинает расти, когда появляются дополнительные сведения о человеке: например, паспортные данные, данные водительского удостоверения или страхового полиса, сведения о финансовых счетах и банковских картах, биометрические данные. Предложения о продаже данных среднего ценового диапазона до $10 000 чаще встречаются среди утечек из IT-компаний, финансовых организаций, госучреждений, медицинских организаций.
"Утек" паспорт — поменяю. А если глаз?
Помню свою реакцию, когда случилась первая утечка моих персональных данных (сервис, откуда утекло, уже и не вспомню, а вот ощущения все еще помню): удивление, растерянность и непонимание, что делать дальше. Потом была вторая утечка, потом третья-пятая-десятая, потом появились различные сервисы (типа
Вопросы типа "А правда, что взломали сервис Х и оттуда утекли все данные? А там же мои паспортные данные… Мне надо бежать и его срочно менять?" от знакомых с разным уровнем знаний о личной кибербезопасности прилетают очень часто. И чаще всего в ответ хочется задать встречный вопрос: "А вы уверены, что после смены паспорта данные снова не утекут спустя пару месяцев?" Ладно — паспорт, телефон, банк, почту, да даже адрес места жительства — гипотетически можно поменять (сложно, но все же можно). А что делать с биометрическими данными, которые сейчас ради того, чтобы можно было, скажем, оплатить покупку улыбкой, собирают все большее число сервисов? Рано или поздно и эти данные окажутся в сети. А лицо каждый раз после очередной утечки не поменяешь…
Я со временем привык к историям о том, что каждую неделю откуда-то что-то утекает. И сейчас, анализируя различные утечки, я сам о себе могу составить довольно детальный образ: какие книги читаю, сколько баллов "Спасибо" накопил, сколько у меня детей и в какие учебные заведения они ходят, где живу, сколько денег трачу на еду. Уже даже просто энтузиасты (далеко не специалисты по кибербезу) стали делать различные "интересные" и очень удобные сервисы на базе утечек. Вспомните хотя бы известный
Неперсональность персональных данных
Ни для кого не секрет, что большинство сервисов собирают информацию о своих пользователях. И ладно, если бы они собирали только ту информацию, которую пользователь явно указал. Но ведь аккумулируются значительно бóльшие объемы данных: активности, интересы, посещенные сайты, информация об устройствах, история серфинга в интернете и многое другое. Движение крупных компаний в сторону создания экосистем и платформ, использование ИИ и персонализация цифровых сервисов толкают компании к созданию BigData пользовательских данных. Безусловно, принимаются все возможные меры для защиты данных. Критические данные шифруются, например номера банковских карт. Хотя после очередной утечки
Еще компании любят этими данными обмениваться — часто со своими подрядчиками, которые разрабатывают различные прорывные и бизнесовые системы. Да, при этом данные обезличиваются почти всегда, ведь таковы лучшие практики защиты персональных данных. В жизни же это условие нарушается практически всегда: каждая третья кибератака в этом году была направлена на подрядчика, через которого впоследствии атаковали более крупные компании. А главное, в таких атаках на доверенных подрядчиков, опять же, утекали данные, к которым они имели доступ по "долгу службы". При этом сторонний наблюдатель чаще всего уверен, что утекло из той самой, крупной и известной, компании (кто там следит за подрядчиками, на самом-то деле?).
При этом сейчас активно внедряют механизмы токенизации и отсутствия единой точки хранения данных. Казалось бы, это должно сделать хранение данных более безопасным. На деле же это очень сильно усложняет расследование инцидентов и понимание источника утечки и, как выясняется, совершенно не мешает киберпреступникам собрать весь массив данных. В интернете можно найти данные любого пользователя (более того, данные россиян, судя по всему,
Защита, регулируемая рынком
На уровне государства более 15 лет назад даже принят ФЗ-152 "О персональных данных" (и их защите), а сейчас очень активно обсуждается введение оборотных штрафов за утечки персональных данных. Но если изучить предмет вопроса (ту самую неперсональность персональных данных), то напрашивается логичный вопрос: а не опоздали ли уже все эти меры? Особенно с учетом того, что мир киберпреступности активно изучает новую рабочую идею: собрать компиляцию из публичных данных и заняться шантажом компаний, которые могут получить оборотные штрафы. Речь даже не о репутации таких компаний. Доказать практически (на уровне расследования), что на самом деле утечки не было, — очень сложно, трудоемко и требует высочайшего уровня компетенций от ИБ-специалистов. Сделать это смогут буквально три-четыре команды в стране — истины ради, их на все кейсы просто не хватит.
Что делать, спросите вы? Наиболее удачный механизм в этом случае нам предлагает классика рыночных отношений: у клиента (потребителя) цифровых сервисов должен сформироваться строгий запрос на защищенность сервисов и его данных, обрабатываемых этими сервисами. Когда защищенность станет конкурентным преимуществом, основанием для выбора в пользу, скажем, одного из нескольких сервисов доставки еды, условия работы с данными и их сохранность поменяется сама собой.
Уже сейчас пользователь может оценить любой сервис с точки зрения его работы над своей защищенностью: а были ли у него инциденты с кибератаками? Как компания на них реагировала: отрицала или откровенно рассказывала, что предпринято для устранения инцидента, его последствий, чтобы избежать его повторения? Проводит ли компания публичный поиск уязвимостей и сценариев кибератак, в ходе которых могут утечь данные? Такой поиск, и правда, может быть публичным — информация о нем может быть легко найдена, например, на отечественных площадках баг баунти (Вug Вounty, программы по поиску уязвимостей).
Пока ответы на эти вопросы можно найти буквально у единиц компаний. Но до тех пор, пока мы не начнем их задавать, наши данные так и будут не нашими.