Все о добровольном сливе персональных данных, или Инструкция по выживанию в интернете
Технологии должны упрощать нашу жизнь, но, если задуматься, ощутимо ее усложняют. Благодаря интернету мы можем отправить срочный документ начальству, приглашение на вечеринку друзьям или даже обнаженное фото человеку с другого континента. Мы потребляем, распространяем и продуцируем терабайты информации. Постим что-то и преспокойненько живем дальше, забывая, что интернет не прощает ошибок. Попытки спрятать информацию, например, в хранилища провальны. Ничто не исчезает бесследно — каждый пользователь давно и по доброй воле стал донором персональных данных. Все личное в один клик может стать публичным. Звучит ужасно. Кому и зачем нужны наши персональные данные? Возможно ли информационную течь устранить?
Студент-третьекурсник направления «Информационная безопасность», являющийся членом Молодежной палаты Роскомнадзора Александр Кузьмин раскрывает всю правду, какой бы неприятной она ни казалась.
Почему данные утекают?
«Утечь» они могут в любой момент цикла: во время снятия, передачи, хранения. Некоторыми своими действиями мы сами отдаем персональную информацию мошенникам. Часть данных «сливается» корпорациями. Например, популярное приложение для определения номеров телефона «GetContact» через устройства пользователей собрало базу данных и выставило ее на продажу. Также причиной «утечки» могут быть атаки на безопасные сервисы, которыми пользуются люди, или работа с «зараженными» программами. Некоторые приложения, вызывающие у компьютера и смартфона сомнения, могут содержать в себе вирусы и втихую скачивать данные. Wi-Fi устройства могут быть средствами слежки, но также использоваться в мирных целях.
Отдельной категорией определим взлом серверов, за который отчасти несет ответственность компания-разработчик. Однако, если ситуация с «утечкой» приключилась, никто ущерб вам не компенсирует — доказать онлайн-преступление очень сложно. Сейчас в сфере информационной безопасности остро стоит юридический вопрос: как реагировать, если нормативная база еще не доработана? Прогресс движется настолько быстро, что за ним не успевают специалисты других отраслей. Поэтому возникают ситуации, в которых данные могут «утечь» безнаказанно или, наоборот, люди оказываются в местах не столь отдалённых из-за постов для социальной сети". Во многом на принятии судебных решений в подобных делах сказывается человеческий фактор».
Как мы помогаем рекламщикам?
Зачем нас подслушивает Google?
«Некоторым приложениям мы сами даем доступ к микрофону, записи в фоновом режиме, обработке голоса и речи. Существует предположение, что телефон подслушивает наши разговоры, затем предлагая актуальные товары и услуги. Я тоже замечал это, хотя многие эксперты утверждают, что это просто совпадение, так как ими было проведены довольно серьезные эксперименты. Google собирает огромное количество информации о пользователях, даже данные с фитнес-браслетов при условии использования Google fit. Он хранит их очень долгое время. Как человек дышит, куда ходит. Можно зайти и посмотреть в аккаунте данные лет за пять с момента создания аккаунта. Узнать, во сколько проснулся и чем занимался. Приложения определяют ваш домашний адрес, место работы и любимые магазины. А быть уверенными в том, что Google защищен от хакерских атак, нельзя.
Одним из вариантов, помогающих предотвратить прослушку, является предварительное прочтение пользовательского соглашения. Обычно мы этого не делаем, ставим галочку не глядя. А нужно, потому что зачастую там допускается передача информации третьим лицам на усмотрение разработчика. Также существуют приложения, которые запрашивают больше разрешений, чем нужно. Если обычный блокнот требует доступ к выходу в браузер, камере и прочим функциям — это разве не подозрительно? Насколько мне известно, „Google Play“ старается фильтровать приложения базы, но разработчики могут в любой момент изменить подход к продукту.
Не нужно скачивать файлы, если вы не доверяете их создателям. Даже если вы платите за приложение, гарантий нет. Рекомендую устанавливать приложения только из официальных магазинов „App Store“ и „Google Play“; своевременно обновлять операционную систему; внимательно относиться к запрашиваемым доступам мобильных приложений: ограничивать доступ к микрофону, камере, фотогалерее, геолокации и прочим моментам, если это не сказывается на работоспособности необходимых функций приложений».
Кому нужна наша биометрия?
«Биометрию сейчас все активно используют: смартфон распознает черты лица и отпечатки пальца. Конечно, не на банковском уровне, но все-таки. В работе с банковскими системами считывание лица является скорее дополнением к персональным данным, таким как номер карты и пароль. Наша биометрия пригодится для сбора аналитики, а также обучения нейросетей. Для того, чтобы выдрессировать программу думать за человека, нужно огромное количество данных, причем чистых. Но как именно оставленную нами биометрию используют, мы подлинно знать не можем. Само собой, применение этой технологии помогает защитить данные и упрощает использование некоторых приборов. Однако биометрия сопровождается ворохом нерешенных проблем. Поэтому я стараюсь никуда ее самостоятельно не отдавать, ведь если кому-то действительно нужно, сам соберет.
Если объяснять на пальцах, то для шифрования некоторой информации используется ключ. В случае его компрометации я создаю новый. Биометрия также является ключом. Если ее „украли“, то это конец. Новое лицо ты себе придумать не сможешь, оно одно на всю жизнь. Все это должно проверяться и тестироваться. Вряд ли по фотографии мошенники начнут списывать деньги с вашего банковского счета, но не все, что сейчас внедряется в разработки, абсолютно безопасно».
Как работают мошенники?
«Например, рассылают людям фишинговые письма и прочие штуки, а пользователи отдают свои логины и пароли. Для повышения качества атаки прибегают к методам социальной инженерии, которая популярна наравне с использованием вредоносного программного обеспечения. Она может проявляться в разных форматах, предположим, уже упомянутых поддельных сайтах. Причем социальная инженерия — самый простой и действенный способ, ведь в любой автоматизированной системе есть одно слабое звено. Это человек. Мы сами отдаем свои номера карт, пароли, логины.
Самый банальный пример, с которым сталкивался каждый: кто-то из друзей во „ВКонтакте“ просит проголосовать, для чего нужно перейти по какой-то сторонней ссылке с привычной авторизацией во „ВКонтакте“. Ты заходишь и голосуешь, тем самым отдавая свои данные злоумышленникам. Через два дня твою страницу блокируют, потому что сайт оказался фишинговым, аккаунт друга — взломанным. Таким методом можно охватить огромное количество людей. Даже если из тысячи человек купится только 10%, то это уже сотня».
Как себя застраховать?
«Информация везде, ее очень много. Безопасники занимаются ее защитой, равно как и защитой людей от нее. Допустим, хакерские атаки могут стать источником распространения фейков, тем самым формируя неверное общественное мнение. Безопасники защищают пользователей и от этого, дополнительно информируя население о том, как нужно вести себя с информацией: на что можно нажать, откуда без последствий скачать. Допустим, пересылать с помощью мессенджеров банковские данные — плохая идея. Нельзя быть уверенным в том, что не подцепишь вирус в сети или не станешь жертвой атаки. Лучше важную персональную информацию на смартфоне не хранить, а в сеть выкладывать с умом. Интернет-мошенничеству больше всего подвержены дети и пенсионеры, которые не осознают, куда уходят данные.
С вредоносным программным обеспечением помогают бороться антивирусы, но от фишинговых атак никто не застрахован. Обнаружить «утечку» непросто, потому что большая часть уходящих куда-то данных не персонифицирована. Информация используется только для статистики, для настройки рекламы. Целенаправленно взламывать кого-то очень дорого! Какой смысл работать именно над аккаунтами Васи Пупкина из 4 подъезда? С известных личностей можно еще что-то поиметь, это другой вопрос. А в случае с Васей — неоправданная трата ресурсов. Люди, способные взломать что-либо, далеко не глупы. Они очень много знают, имеют опыт и работают для получения выгоды»
Как найти виноватых?
«Вряд ли у вас получится выиграть процесс по мошенничеству в сети. Как доказать, что данные были похищены, а не выложены вами в сеть? Никто не получал компенсации за „сливы“, виновных сложно найти чисто физически. Взлом с целью шантажа — несанкционированный доступ, то есть преступление с уже имеющимися статьями Уголовного кодекса. Правда, концов тоже не найти. По горячим следам найти мошенника возможно. Обычно они воруют по 100 рублей. А пойдет ли потерпевший писать заявление? На автобус потратит больше денег, а на ситуацию — нервов, да и будут ли правоохранительные органы заниматься „делом 100 рублей“? Вряд ли, пока не наберется критическая масса заявлений.
При этом, в теневом сегменте интернета можно найти скомпрометированные банковские карты, на которых лежат внушительные суммы. Они стоят очень дешево, тысячи рублей, потому что проблема появляется при обналичивании. Хорошо, ты украл. А что дальше? Большинство сетевых злоумышленников ловится полицией именно в реальном мире, когда приходит снимать деньги. Вычислить мошенника целенаправленно сложно, а такую лажу после преступления заметить реально. Несмотря на это, процесс по силам и времени затратный, раскрываемость низкая. Безнаказанность, некоторая простота подталкивает людей заниматься мошенничеством в интернете — ограбить человека психологически проще дистанционно, чем в реальной жизни. Обезопасить себя, конечно, можно. Отключить смартфон, утопить его и уехать в лес».
