В рамках прямых эфиров Kaktus.media говорим об опасностях, которые нас подстерегают в интернете. Точнее о том, что у нас могут украсть в интернете. Поможет нам разобраться в этом Влад Ткачев, директор по IT-аудиту консалтинговой фирмы Baker Tilly.
— Влад, что у нас могут украсть в интернете?
— Да абсолютно все, что есть в интернете. При этом даже не сколько то, что вы размещаете, а то, что размещают те компании, которым вы доверили сбор данных о вас.
Если, предположим, завтра Министерство образования либо другое министерство опубликует онлайн какие-то сведения об учениках, об их оценках и инициативах, то эта информация рано или поздно может стать достоянием общественности.
Причем без согласия тех людей, которые дали эту информацию, позволили собрать министерству. То есть вся информация, которая есть в интернете, потенциально может стать доступной неограниченному количеству людей. Что-то из этого мы можем найти через Google, Яндекс. Что-то находится в закрытых базах. Это так называемый Deep Web, то есть глубинный интернет. И чтобы получить доступ к какой-то информации, нужно быть членом этого профессионального сообщества и иметь логин и пароль доступа.
Но с долей вероятности любой желающий рано или поздно получит доступ к этой информации по той или иной причине. Самая частая причина – забытый пароль или пароль, который родитель (мы с вами для примера взяли информацию о школьнике) где-то опубликовал. И этот пароль могут использовать для доступа к этой чувствительной, секретной, закрытой информации.
— Зачем родители будут публиковать такой пароль?
— Может, родители не опубликовали, но, признаемся честно, у большинства пользователей в интернете один пароль на все случаи жизни. Самый любимый, самый сложный, но он его использует абсолютно везде и всегда.
Человек придумал себе хороший, криптостойкий, взломостойкий пароль, но он один.
И что же происходит? Сейчас база паролей, которые когда-либо были придуманы пользователями, существует, она опубликована и содержит порядка миллиарда учетных записей.
То есть, например, человек занимается спортом, скачал фитнес-приложение на телефон, часы, у него либо какой-то фитнес-трекер. И чтобы зарегистрироваться в этом приложении, он использовал тот свой самый любимый пароль, который он использует и на «Фейсбуке», и на портале школы, и на госуслугах… Где угодно.
И вот разработчик этого фитнес-приложения был взломан, и его база пользователей попала в руки взломщиков, а потом продавалась в Даркнете, в Торе, так называемом, и стала достоянием общественности.
Сейчас большинство исследователей безопасности в первую очередь смотрят в эти самые списки. И эта база пополняется чуть ли не ежедневно, потому что множество мелких сервисов, не знаю, сайт пиццерии какой-нибудь, сайт парикмахерской, ну что-то такое мелкое, плохо защищенное, их постоянно взламывают, и все это попадает в Даркнет.
— То есть это не миф, что нужно придумывать сложный пароль и что пароли должны быть разными?
— Конечно. Взломщики же не будут перебирать вручную. Есть специальные приложения, которые это будут делать. Но современные системы не дают подобрать чужой пароль.
Google, Facebook, VK, да кто угодно, любой сервис запрещает вам перебирать больше, чем три либо пять значений подряд. Вы раз, два, три попробовали, он вам говорит: извините, что-то пошло не так, либо подтвердите свою идентичность через почту, через телефон, либо мы вас блокируем на полчаса, на час…То есть сейчас перебрать тысячу, десять тысяч значений почти нереально.
Поэтому подбор пароля — это немножко устаревшая методика. Но предположение пароля — это актуальная методика.
— Как это — предположить пароль?
— В той самой базе есть ваш пароль, который вы давным-давно поменяли, он нигде больше не используется, но пароль содержит способ вашего мышления. Как вы придумали этот пароль? Какие ассоциации вы используете для того, чтобы пароль создать? Исходя из этого можно предположить, каким может быть ваш следующий пароль, потому что ваш паттерн мышления — он почти не изменился. И тогда вариантов пароля будет уже не миллионы, а 10-20 предположительных паролей, которые вы могли бы использовать.
— Влад, год назад мы с вами говорили об информационной безопасности. И снова говорим. Как меняются тенденции как в ошибках, так и в защите нас с точки зрения информационной безопасности, поведения в интернете.
— В прошлый раз мы говорили про государственные органы. За прошедший год ничего не изменилось. Правда, есть инициатива, которая пока не получила своего подтверждения, цифровой кодекс. Вы недавно с Таттуу Мамбеталиевой обсуждали цифровой кодекс. Мы ждем, когда это появится, потому что это на самом деле мы считаем началом большого пути. Если этот кодекс будет принят в том виде, в котором я его видел, и не будет существенных изменений от наших депутатов, то документ реально может сильно изменить всю нашу систему, связанную с защитой данных.
Но пока ничего не поменялось: как не было ответственности за нарушение требований информационной безопасности, так их и нет. Те нормы, которые у нас появились, не исполняются. Следственные органы не знают, что с этим делать. Сами потенциальные жертвы, то есть мы с вами, граждане, мы даже не знаем, что нас могут защищать какие-то еще дополнительные нормы в Уголовном кодексе. Руководители организаций, которые обязаны защищать наши с вами данные, тоже ничем не руководствуются, у них нет ответственности.
Да, есть какое-то понимание, что мы должны защищать персональные данные, но это никак не защищается.
У частных организаций чуть-чуть другая ситуация. У них данные — это актив, который позволяет зарабатывать деньги. То есть как финансовые активы, как здания, сооружения, автомобили, станки и все остальное. Информация — это такой же актив, которым нужно правильно управлять, нужно правильно оценивать риски, потому что на кону стоит если не целиком бизнес, то репутация. А репутация в частном секторе очень важна. Никто не будет работать с компанией, которая допускает утечки данных, особенно если это крупная компания.
У государственных органов нет репутации. Какая бы плохая организация ни была, каким бы плохим ни было бы то или иное министерство, мы все равно вынуждены работать с этим министерством, пользоваться именно этими услугами, которые оно окажет. И у этих министерств нет ответственности, нет репутации, нет ничего, что бы их обязывало как-то серьезно относиться к этому вопросу. Они это делают только потому, что в том или ином государственном органе есть специалист, который понимает важность информационной безопасности, и он в рамках исполнения своих обязанностей пытается что-то изменить. Но у него нет ресурсов, у него нет средств, у него ограниченный бюджет, и, соответственно, у него мало что может получиться хорошо.
— И что делать нам, потенциальным жертвам, в такой ситуации?
— Нам? Только молиться. Потому что мы реально зависим от государственных органов, мы уже им эти данные отдали, они уже ими распоряжаются. Есть какие-то ключевые ведомства типа ГРС, «Инфокома», там объективно хорошо, то есть информационная безопасность там на хорошем уровне. Но эти данные они обязаны передавать по месту требования. Любое министерство, любой государственный орган может у них запрашивать сведения по гражданам.
Если вы пользуетесь приложением «Тундук», именно веб-версией, там можно увидеть, кто и когда к вашим данным обращался. Учет, я проверял, ведется корректно. Но если этот запрос сделает прокуратура, либо МВД, либо ГКНБ, то, скорее всего, такие записи не останутся, и мы даже не узнаем, что кто-то нами интересовался. Но это мы говорим про нормативные запросы, происходящие в рамках взаимодействия между двумя государственными органами. Но если это частная инициатива какого-то специалиста, у которого по служебной необходимости есть доступ к этим данным, то это совершенно не факт, что будет запись о том, что кто-то ваши данные просматривал. Потому что, опять же, нет требований. Не написано нигде, как оно должно работать на самом деле.
— Смотрите, Влад, какие-то свои данные мы уже отдали, биометрические данные мы сдали. Но давайте определимся: что именно мы не должны сообщать никаким структурам, ни частным, ни государственным, если они у нас запрашивают, ни при каких обстоятельствах.
— Вопрос сложный. На самом деле нужно чуть-чуть его переформулировать.
Вообще никакие данные о себе вы никому не обязаны сообщать. Все. На этом точка.
То есть любые сведения о вас являются вашей собственностью, только вы ими распоряжаетесь. Можете по своему желанию сообщить какие-то сведения, но для конкретных целей, для получения услуги.
Школа — хороший пример. В процессе обучения ребенка школа обязана оперировать его данными. Она должна знать, как зовут ребенка, как зовут его родителей, где они живут, какие у них контакты, диагноз, если он есть. После окончания оказания вот этой самой образовательной услуги (школьник закончил школу, получил аттестат) сведения о нем должны быть удалены либо обезличены. И вот это та самая точка, которая у нас не соблюдается. У нас все данные собираются раз и навечно. Эти данные где-то хранятся, непонятно, кто к ним имеет доступ.
Поэтому, отвечая на ваш вопрос, предоставлять любые данные можно. И все зависит от того, какая услуга вам оказывается. Это вы сами решаете, хотите вы предоставлять эти данные третьей организации либо не хотите.
Второй момент, на какой период вы эти данные предоставляете. То есть смысл именно в этом: вы предоставляете почти любой свод информации о себе на конкретный период, на период оказания услуги либо чего-то еще. После оказания услуги данные должны быть удалены.
Даже если держатель этих самых данных говорит вам, что я их удалю, как мы это проверим? Никак.
Сейчас у нас разрабатывается новый проект закона о защите персональных данных. И вот там эти нормы уже будут прописаны (если депутаты не внесут изменения). Но этого тоже мало. У нас же строгость кыргызских законов компенсируется необязательностью их исполнения.
Поэтому должна быть еще ответственность. И должен быть этот самый кнут в лице агентства по защите персональных данных.
— Этой девушке в регистратуре, мы сейчас даже не о медицине, я говорю: как я могу узнать, что мои данные были удалены? Я представляю ее выражение лица, потому что забивать-то мои данные ее, может быть, и научили с грехом пополам…
— Процесс по-другому должен быть построен. Эта девочка на ресепшене должна только принимать данные. Дальше они попадают в информационную систему. И вот там-то за ними надзор осуществляет совершенно другое лицо — так называемый офицер по защите персональных данных.
Это специальная должность, которая прописана в новом законе, которая должна быть во всех организациях, которые оперируют данными больше чем 10 тысяч единиц. 10 тысяч записей у граждан Кыргызской Республики собрали, так наймите специалиста по защите персональных данных, который будет осуществлять контроль, надзор и управление режимом обеспечения наших с вами прав.
Есть разница между офицером по информационной безопасности и офицером по защите персональных данных. Офицер по информационной безопасности, он как бы играет на стороне руководства. Его задача — защитить данные компании от внешних и внутренних угроз. У офицера по защите персональных данных другая роль. Его задача — защитить наши с вами данные от этой самой организации, которая их собрала.
И вот, продолжая ответ на вопрос, процесс удаления уже должен инициировать этот самый офицер. И когда вы придете к этой девочке и спросите, что с вашими данными, максимум, что она может вам сказать, что ваши данные были удалены 15-го числа такого-то года.
— А из интернета можно удалить что-то безвозвратно? Почему ко мне часто приходят люди, которые просят какую-то старую новость удалить. Я пытаюсь им объяснить, что интернет так не работает. Что дело даже не в том, что мы так не работаем. Вот вы, как специалист, ответьте: возможно ли удалить так, чтобы не осталось цифрового следа?
— Невозможно. На самом деле вся информация, которая попадает в публичное пространство, в интернет, моментально копируется дополнительными ресурсами.
Тот же самый Google ищет какие-то элементы контента, чтобы сохранить уже не в вашей, а в своей базе.
Классическая история, когда Cambridge Analytica использовала доступную информацию для изучения поведения избирателей. Они же не открывали «Фейсбук» и смотрели, что там происходит. Нет, они скопировали данные себе. И потом уже, собрав этот массив данных, анализировали. Удалили ли они потом эти данные? Скорее всего нет. Но эту историю мы знаем, потому что был скандал.
А сколько таких компаний, которые собирают сведения из интернета для своих каких-то непонятных либо понятных целей, мы даже представить не можем. Это открытая информация, и ее может скопировать любой.
Есть и другой момент. Знаете про эффект Барбры Стрейзанд?
— Про Барбру Стрейзанд знаю, про эффект нет.
— Это отдельный интернет-феномен. Барбре не понравилась какая-то ее фотография, и она потребовала ее удалить. Удалить из интернета! В ответ сообщества со всего мира начали умножать количество публикаций. И сейчас, если вы зададите этот вопрос, увидите миллиарды этих самых фотографий. То есть это дало абсолютно обратный эффект.
— А можно как-то снизить узнаваемость? Чтобы поисковик не так активно выдавал какую-то информацию?
— Алгоритмы работают как раз по принципу популярности. Если что-то заинтересовало группу в интернете, эта информация будет постоянно на поверхности.
— Влад, вы проводите аудиты компаний. Как меняется техническая безопасность, IT-безопасность наших компаний?
— Мы прямо видим улучшение. Мы тут с 2017 года, тогда было все очень печально.
А сейчас лучшие мировые практики эффективно внедряются у нас, и с каждым годом ситуация все лучше и лучше.
— Мы, поколение, сформировавшееся в доцифровую эпоху, сейчас воспитываем поколение цифровое. И нередко мы не задумываемся о цифровой безопасности своего ребенка.
— Я вижу тенденцию, что у многих родителей первая реакция для разрешения конфликта с ребенком — дать ему в руки гаджет. И меня пугает, что человек становится зависимым от цифрового устройства. И мы еще не знаем, каким вырастет это поколение. Но, судя по тому, что это будет новый опыт, не факт, что он нам понравится, потому что это будут другие люди, которые вырастут совершенно в другой парадигме.
— Но у меня вопрос немножко другой: когда ребенок перестанет просто потреблять контент, он начнет его генерировать, то есть участвовать в дискуссиях, оставлять комментарии, фотографироваться… Вот как его защитить?
— Рисков много. Однозначного решения вопроса пока нет. Многие законодатели уже говорят о регистрации через родителя. Но это еще страшнее, поскольку мы будем публиковать свои семейные связи, давать какие-то сведения о себе в изначально анонимном пространстве. Предлагается контролировать интернет, но это технически невозможная задача. Единственный ответ — вовлеченность родителей в воспитание своего ребенка. Если родитель дает планшет, смартфон как средство самозанятости ребенка, то у меня плохие новости для таких родителей.
Смартфон, конечно, полезен, позволяет найти множество образовательного контента. Там можно книжки читать, рисовать. Но нужно, чтобы направлял именно взрослый, чтобы у ребенка изначально сформировался паттерн, что планшет это образовательный, воспитательный инструмент.
— И теперь об анонимности давайте поговорим.
— Интернет изначально предполагался анонимным: люди использовали никнеймы, не было систем регистрации, логинов, паролей… В Кыргызстане был «Дизель-форум» — первое время он был абсолютно анонимным. Любой желающий мог просто оставить комментарий под любым сообщением, написав любой ник, причем даже тот, который использовал другой человек. Но интернет тогда был компактным, там было очень мало людей. И изначально интернет предназначался не для всех, а только для, скажем так, либо обеспеченных, либо занятых в исследовательской работе.
Затем интернет стал доступнее, теперь уже здесь все, в том числе не очень адекватные люди. И начал появляться не совсем правильный контент, скажем так. Этот контент начали удалять, но это плохо работает. Потому что ни наше министерство, ни Роскомнадзор, ни ФБР, ни ЦРУ, они не настолько всесильны, чтобы весь интернет контролировать.
И вот тут самый эффективный подход показала, как ни странно, Северная Корея ( у которой интернета как такового нет, есть внутренняя сеть), которая работает по «белым спискам», то есть говорит, что разрешено. И вот на первых порах, мне кажется, это может спасти. То есть родитель использует программное обеспечение, которое позволяет настроить для ребенка «чистый» интернет. Но, опять же, это ответственность каждого родителя, потому что этим государство заниматься не будет. Если начнут за нас решать, что нам можно, что нельзя, то это цензура.
— Давайте в конце нашего разговора еще раз проговорим, что не нужно сообщать о себе публично, как защитить себя и свои данные в интернете.
— Если просто и коротко: ничего нельзя сообщать о себе в интернете. То есть вся информация, которую вы публикуете прямо сейчас, через год, через пять, через десять лет может выйти вам боком. Мы видим это, когда действия, которые человек совершал в 90-х, в 80-х годах, внезапно всплывают сейчас. И человеку с позиции современности пытаются вменить какое-то этическое правонарушение, которое он допустил в 70-х, условно говоря, годах. Мы не знаем, как будет развиваться общество.
Но сейчас мы видим эту тенденцию, что все наши слова обращаются против нас, потому что стало доступно хранить эту информацию, которую мы публиковали в начале 2000-х годов.
— А если все-таки такой подход не устраивает?
— Если вы медийный человек и поддерживаете публичность, то хотя бы не постите документы, активы и какую-то актуальную информацию. Не публикуйте никогда сведения о своем жилище. Никогда не публикуйте документы. Любые документы: проездные билеты, посадочные талоны, паспорта, свидетельство о рождении и все остальное.
Интернет – это место, где нельзя доверять никому. Потому что вы не видите человека, вы не знаете, кто там находится, по другую сторону экрана. Даже если это видеозвонок. Подделать внешность человека и его голос – это уже не проблема. Вот в 2023 году в британской компании руководитель подразделения, исходя из требований материнской компании, перевел 14 миллионов фунтов стерлингов в какой-то банк в Венгрии.
Когда провели расследование, выяснилось – дипфейк.
Ну и будьте готовы, что если вы ведете публичную жизнь, то эта публичная жизнь может выйти вам боком.