Матрица наоборот: почему наши данные стали так часто красть и что с этим делать
Личные данные — новое золото. Но далеко не все «форты Ноксы» надежно охраняются. Мы все чаще слышим о сливе клиентских баз, содержащих щепетильную информацию. Почему так происходит и как надежно защитить нашу личную жизнь в эпоху хакеров и бигдаты? Разбирается колумнист «360».
В ставшей современной классикой ленте «Матрица» есть известная сцена: герой просыпается в прозрачном «гробу», открывает крышку и оказывается в огромном хранилище, где в таких же слотах находятся десятки миллионов одурманенных людей.
Этот мрачный прогноз пока не воплотился, хотя своеобразную матрицу наоборот уже построили: в корпоративных базах данных хранятся сотни миллионов записей, являющихся нашими цифровыми близнецами, подчас беззащитными перед преступниками новой формации.
Два слива
Наш «двойник» из БД не обладает разумом, но может рассказать очень многое о нас: от имени и фамилии до всех известных адресов проживания, месте работы, количестве неоплаченных штрафов и взятых кредитов. Поэтому личные данные не могут обрабатываться без личного согласия человека и в идеале хранятся в особо защищенных участках сетевой инфраструктуры получившей их организации.
Реальность всегда отличается от ожиданий: на прошлой неделе по медиа и соцсетям раскатами грома прошли две новости, связанные общей темой.
Сначала из Сбербанка был, предположительно, украден большой массив записей клиентской базы, потом появились новости об аналогичном похищении данных абонентской базы «Билайна». Эти две корпорации играют важнейшую роль в жизни россиян — сложно даже представить, какое количество людей ежедневно пользуется картой крупнейшего банка страны или черно-желтой симкой.
Если анонимные Telegram-каналы распространяли алармистские сообщения о десятках миллионов похищенных учетных записей, то пресс-службы «Сбера» и «Билайна» успокаивали: из банка утекли данные только о кредитных картах 200 человек, а оператор рассказал, что большая часть похищенной информации устарела.
Истина, как всегда, где-то посередине. Конечно, можно было бы погрузиться в пучины даркнета и попытаться точно выяснить, что же за архивы оказались в руках киберпреступников, но операция такой сложности требует мощной команды экспертов по сетевой безопасности и хакеров.
Пока же нам известно, что и банк, и оператор приняли экстренные меры по борьбе с утечками данных. В частности, служба безопасности «Сбера» сообщила, что похититель найден: — им оказался 27-летний юноша, возглавлявший один из отделов бизнес-подразделения.
Но самое страшное в другом. Пожалуйста, перед чтением следующего предложения сделайте глубокий вдох и выдох, потому что развидеть вы уже не сможете. На самом деле наши данные, вероятно, уже давно похищены. Причем из мест, которые не попадают в новости.
Протечка неизбежна
Скандальные сливы — лишь капля в мрачном океане украденных архивов, которые продаются на закрытых хакерских форумах.
С началом цифровизации сбор данных стал одним из самых эффективных инструментов работы крупных бизнесов, а затем и более мелких. Данные дают возможность разбить ранее безликую массу покупателей на таргет-группы, понять, какие сервисы и услуги будут интересны конкретному клиенту. Наконец, помогают оповестить его о сезоне распродажи или выгодных условиях по кредиту.
Передача личных данных совершается только после получения согласия на их обработку, но с каждым годом оно становится все формальнее. Наконец, появляется все больше желающих выманить из своих клиентов хоть какие-то сведения.
Для подписки на систему бонусов автору текста предлагали назвать Ф. И. О. и номер телефона даже в пиццерии и салоне оптики. В магазинах, кафе, кинотеатрах нередко предлагают заполнить довольно подробную анкету — за нее вы также получите бонусную карту, но также и еще одного цифрового доппельгангера.
Что это означает на практике? Объем личных данных в мире и конкретно в России стремительно растет. Если раньше поток информации тек по нескольким магистральным «трубам», то сейчас ближайшая аналогия — разветвленная и крайне запутанная канализационная система мегаполиса.
Наивно надеяться, что она не будет периодически протекать. На миллионы мирно гудящих серверов найдется один, который будет либо взломан, либо использован для несанкционированного доступа.
Конечно, большие корпорации будут наращивать инструментарий цифровой обороны, но современный человек с десятками бонусных карт, набором кредиток, симок и онлайн-аккаунтов по определению засвечен в таком количестве мест, что было бы желание — и его личные данные найдет даже не слишком умелый хакер.
Удар на опережение
Телефонным и сетевым мошенникам кропотливо собранные корпоративными пчелками базы данных дают все необходимое для обмана ничего не подозревающих людей.
Тут уж у кого какая фантазия: раньше любители чужих денег притворялись родственниками, которым срочно понадобились деньги, или друзьями, которые по ошибке перевели какую-то сумму и теперь хотят вернуть ее обратно.
Теперь они все чаще выдают себя за сотрудников банков и других финансовых организаций. Их главная цель — заставить жертву совершить ошибку и получить доступ к деньгам на чужом счете. Только этим летом Центробанк зафиксировал 2,5 тысячи подозрительных номеров, и это наверняка лишь вершина айсберга.
Для этих людей пиратские базы личных данных являются настоящим Клондайком и важным инструментом вроде отмычки, которой пользуются воры старой закалки. Поэтому надо сделать все возможное, чтобы ограничить нелегальный доступ к чувствительным сведениям о человеке. Как это провернуть? Тут есть большой простор для законодательной мысли — хорошо бы ограничить список тех, кто может работать с приватной информацией. Впрочем, разработка грамотного законопроекта может занять время. На сегодня самым доступным способом борьбы со сливами данных выглядит их обесценивание в глазах потенциальных покупателей пиратской базы данных.
Если мошенник сможет достать ваш телефон и даже номер карты, но у банка будет открыта постоянная и быстрая линия связи (допустим, чат) исключительно для проверки таких звонков, то проблема решится сама собой. Кроме того, как можно большее число людей должно быть информировано о методах работы преступников и том, какими сведениями можно делиться с незнакомым человеком, даже если он якобы представляет ту или иную организацию.
Пожалуй, это самый принципиальный вопрос — если появятся эффективные способы нейтрализации самых распространенных схем мошенничества с использованием личных данных, то и страха из-за неизбежных сливов станет гораздо меньше.
Мнение автора может не совпадать с позицией редакции.