Почему наши данные и без роскомнадзоровых указов уже давно не в безопасности

29 марта 2021, 18:08

После обнародования Роскомнадзором инициативы о регистрации пользователей в соцсетях по паспорту все уж было подумали, что пробито очередное дно. Общественность, конечно, возмутилась. А эксперты это возмущение подогрели, заявив, что такая модель обеспечения безопасности пользователей может привести к риску злоупотреблений со стороны правоохранительных органов, и точно станет отличной мишенью для мошенников. Инициативу быстренько откатили, мол, меры были избыточными, скорректируем. Теперь при регистрации в соцсетях паспортные данные вводить не придется. Поправки предусматривают, что согласие может быть дано двумя способами: непосредственно оператору данных или с использованием информационной системы Роскомнадзора. Второй способ преимуществ имеет мало. Порядок предоставления согласия предусматривает регистрацию и обработку персональных данных, содержащихся в единой системе идентификации и аутентификации (ЕСИА). А в ней, любая рабочая учетная запись (с доступом к большинству госуслуг, ради которых мы и регистрируемся в системе), требует доступа к паспортным данным в том числе. Но цель у всего этого, конечно, вполне очевидная и очень даже благая: ведомство пытается идентифицировать пользователей, чтобы исключить возможные злоупотребления. Но аргумент ли это для нас? «Такой способ вряд ли станет пользоваться популярностью у наших граждан, поскольку многие станут вполне обосновано бояться, что предоставляемые ими сведения могут быть в будущем использованы против них, – считает Почетный адвокат России и заведующий Бюро адвокатов Никита ФИЛИППОВ. - Вполне нелогично это и с точки зрения самой нормы закона. В тех же поправках, например, прямо предусмотрено, что для отказа от ранее данного согласия на публичное распространение, достаточно указать фамилию, имя, отчество (при наличии), а также контактную информацию (номер телефона, адрес электронной почты или почтовый адрес). Получается, что для отказа от согласия потребуются одни идентификационные метки, а для дачи согласия – другие. И конечно справедливы мнения экспертов, которые видят в инициативе риски утечек. Например, сейчас совершается множество хищений с использованием системы социальной инженерии. Если мошенники будут знать еще и паспортные данные, адрес проживания, то количество пострадавших значительно увеличится. Есть риск того, что эта информация будет использована и для совершения других преступлений». Тем не менее опасения эти разделяют не все. Депутат Госдумы Антон Горелкин, например, назвал разговоры о том, что ЕИС станет новой целью мошенников-хакеров смешными. По его словам, в даркнете базы данных пользователей любых сотовых операторов и банков «с куда более ценной информацией, чем будет собирать ЕИС», продаются уже давно. А откуда они берутся-то эти даркнетовские (и не только) базы? Разве они появляются не из-за взломов систем мошенниками-хакерами или сливов недобросовестных сотрудников из всех структур, включая правоохранительные органы? Наши данные не в безопасности уже давно Утечки баз данных через интернет, в том числе и из социальных сетей (даже без регистрации по паспорту), происходят постоянно. В 2016 и 2017, например, в результате утечки Вконтакте, в Сети оказались данные учетных записей более 100 миллионов пользователей. В 2019 множество электронных торговых площадок выложили в открытый доступ свыше 2 миллионов записей с номерами паспортов, СНИЛС и сведениями о трудоустройстве участников закупок. В том же году из-за утечек из государственных информационных систем доступными стали записи реестра субсидий федерального бюджета Минфина, реестра отчётов некоммерческих организаций Минюста, реестра обращений граждан на портале Роструда «Электронный Инспектор», информационной системы «Правовые акты ФАС России», портала торгов по госимуществу ФАС, портала управления многоквартирными домами Москвы, московского портала закупок и портала государственного и муниципального заказа федерального казначейства. Осенью того же 2019 заявлялось об утечке учетных записей по кредиткам Сбербанка, затронувшей как минимум 200 его клиентов. СМИ заявляли о 60 миллионах. В 2020 году, как сообщается в исследовании компании-разработчика в сфере информационной безопасности организации «InfoWatch», в открытый доступ утекли около 100 миллионов записей персональных данных и платежной информации россиян. И вот тут возникает вполне закономерный вопрос, а у нас, простите, конфиденциальность вообще есть? «Стоит понимать, что «слежка» за персональными данными граждан не нова ни для России, ни для мира, – говорит руководитель программы Цифровая экономика ИМЭБ РУДН, кандидат экономических наук Софья ГЛАВИНА. – Мы уже давно живем в интернет-пространстве, которое не предполагает анонимности. Сегодня для того, чтобы зайти в Сеть, мы все равно так или иначе предоставляем свои паспортные данные (оформляя доступ в интернет или покупая SIM-карту). Естественно, что существуют методы «обхода», но с каждым годом их все сложнее и сложнее реализовать. В США вот вообще не требуется разрешения суда для слежки в социальных сетях: у сотрудников ЦРУ есть прямой доступ к телефонным звонкам, переписке, банковским операциям. У нас же куда большей проблемой является скорее то, что компании-операторы передают и продают информацию о нашем пользовательском поведении третьим лицам. Именно на этих алгоритмах построена современная таргетированная реклама, и Россия тут не исключение. Именно поэтому вопрос о конфиденциальности в наших реалиях в принципе мало стоит». Зато стоит вопрос о том, как наши данные утекают. Интересный факт: почти половина инцидентов с утечками происходит умышленно. Виновниками в таком случае становятся сотрудники компаний и государственных служб. Они просто пытаются заработать. Как и хакеры, взламывающие базы данных, и те, кто все это покупает. А в группе риска тем временем все мы: и пользователи банковских карт, и получатели медицинских услуг, и владельцы недвижимости и пенсионных накоплений, и много кто еще. Благами цивилизации ведь все пользуются, правда? Эксперты уже давно называют слишком быструю цифровизацию причиной роста большинства утечек. Все государственные услуги, медицина, покупки и так далее переходят в интернет, а вместе с ними возникают и дыры в защите организаций. «Тенденция концентрации огромного количества персональных данных наших граждан в крупных информационных системах провоцирует повышение интереса получения доступа к таким системам у злоумышленников, – уверена эксперт по защите персональных данных компании Василиса СКИДАН. – Это ставит под угрозу обеспечение конфиденциальности обрабатываемой информации. Чтобы нивелировать риски компрометации, нужно внедрять организационные и технические меры обеспечения информационной безопасности. Иначе в распоряжении у недобросовестных лиц могут оказаться исчерпывающие сведения. Наиболее критичной представляется утечка данных, содержащих чувствительную информацию (не только паспортные данные, но также любые другие сведения, имеющиеся в системе). А в случае утечки информации из баз, привязанных к аккаунтам в социальных сетях, злоумышленники могут автоматически получить доступ к этим самым аккаунтам и воспользоваться ими в собственных целях, в том числе неправомерных (мошенничество, распространение клеветы и т.д.), что может, во-первых, подорвать репутацию настоящего владельца аккаунта, а во-вторых, привести к нарушению тайны частной жизни и личной переписки сразу нескольких пользователей». Кстати, о «чувствительной информации». Не так давно «Газета.ru» публиковала отчет международной антивирусной компании ESET, авторы которого включили угрозу утечки личных данных через цифровые секс-игрушки в тренды кибербезопасности 2021 года. Как такое возможно? Все дело в том, что такие устройства управляются через Bluetooth Low Energy (BLE) из приложения, установленного на смартфон. Таким образом цифровые игрушки для самоудовлетворения можно взломать через Bluetooth, домашнюю сеть Wi-Fi или подключенный к ней сервер. Сделав это, можно получить доступ к персональным данным, включая изображения, сексуальные предпочтения, пароли и даже видео. И разумеется, потеря этих данных, как и любых других, утекших в Сеть каким угодно способом, может привести не только к надоедливым телефонным звонкам, но и, как уже было сказано, к шантажу, угрозам, завладением денежными средствами и дальше по списку. Скажете, ну надо же бороться с этим. Надо. Но способ борьбы на всех уровнях существует всего один: для пользователей – быть аккуратней и соблюдать цифровую гигиену. Для соцсетей, приложений и других компьютерных технологий и ПО – совершенствовать защиту данных. Практика тем временем показывает, что риски есть всегда. А вот конфиденциальности, увы, все-таки нет.