Игра без дублера: как сделать утечки личных данных бесполезными
Государство серьезно озабочено сохранностью персональных данных граждан. Утечка персональной информации ведет к прямому и косвенному ущербу в различных отраслях экономики — с 1 сентября электронные ресурсы будут обязаны задавать гражданам отдельный прямой вопрос о согласии на передачу их данных. О перспективных методах защиты персональных данных на государственных и частных порталах и в соцсетях — в материале «Известий».
С весны текущего года в России заработал закон, запрещающий свободное распространение личной информации граждан операторами персональных данных, к которым относятся государственные сервисы и другие ресурсы, в том числе соцсети. Отныне россияне сами решают, с какими площадками и как долго они готовы делиться самым сокровенным. Но длинные «простыни» текста мелким шрифтом, под которым пользователь часто автоматически ставит согласие, едва ли оздоровили ситуацию с хаотичным оборотом личной информации. Поэтому с 1 сентября интернет-ресурсы обязаны задавать отдельный прямой вопрос — согласны ли пользователи делиться данными о себе.
«Закамуфлировать этот момент, как многие делали раньше, не получится», — сказал депутат Госдумы Антон Горелкин.
Напомним, к персональным данным относятся анкетные данные (ФИО, дата и место рождения, адрес регистрации), номер мобильного телефона, электронная почта, аккаунт в соцсетях, паспортные данные, СНИЛС, сведения о детях, близких родственниках, зарплате, судимостях, биометрические данные и изображение, позволяющее идентифицировать человека.
Новое золото
Настоящим Клондайком личной информации можно назвать государственные сервисы, например «Госуслуги», где хранятся не только реквизиты документов, но загружены и их фотокопии. Как ранее писали «Известия», в стране участились случаи взлома аккаунтов главного портала государственных услуг, в даркнете цена на странички с данными пользователей колеблется от 4 до 40 рублей за штуку оптом.
— Данные с сервисов государственных услуг представляют большой интерес для криминального мира, так как позволяют от вашего имени оформить кредит, купить недвижимость криминальным путем, — рассказал «Известиям» руководитель компании «Код безопасности» Андрей Голов. — Кибермошенники давно научились монетизировать эти данные — уже есть прецеденты с подделкой электронной цифровой подписи, зафиксированы кражи баз данных о лицах, получивших микрозаймы.
Ключевая сверхзадача — найти инструмент, позволяющий стопроцентно идентифицировать человека, обращающегося за услугой удаленно. По мнению Голова, государство в курсе проблемы и работает в этом направлении.
— Например, электронный паспорт создается не просто так — этот инструмент будет завершающим элементом в конструкции идентификации, аутентификации и авторизации, — говорит Голов.
Основной проблемой при использовании цифровых технологий населением он считает обучение и сам процесс вхождения новой методики в жизнь.
— Ведь в стране нашей проживает 150 млн людей, и каждый рубль, вложенный в технологию, превращается в девятизначное число.
Не слишком ли быстро
Особенно активны в развитии комфортных и быстрых способов оплаты представители бизнеса. В спешке разработчики нередко пренебрегают требованиями безопасности. Большие споры возникают у экспертов по поводу удаленной идентификации по голосу — существует вероятность использования злоумышленниками ботов, имитирующих речь конкретного человека. В мире уже случалось, когда подобные махинации становились инструментом хищения больших сумм.
— У нас за технологию безопасности отвечают спецслужбы — поэтому определение безопасности той или иной технологии должны давать не диванные эксперты, а специалисты. Есть требования, сформулированные регулятором, и должна быть специальная сертификация. Пример из практики: мы занимались технологией удаленного кредитования (в начале прошлого десятилетия). Одним из инструментов интерфейса системы были планшеты Wacom — они широко используются сегодня за границей, например, в гостиницах — можно расписаться прямо пером по тачпаду. Это у них приравнивается к обычной подписи. Мы думали над ...огичным подходом для ряда банков. Иными словами, хотели сделать из каллиграфической подписи уникальный криптографический ключ. Идея вроде бы шикарная — читаешь документ, ставишь подпись, и она словно вклеивается в документ, не нужно ничего распечатывать. Но проект не прошел. В спецслужбе нам объяснили, что криптографическая стойкость такой подписи низка. А там люди знают, о чем говорят, — рассказывает Голов.
Между тем Голов оценивает рынок банковских клиентов в России как один из самых развитых в мире.
Кто есть кто
Еще одна точка риска — удаленные финансовые операции, в частности открытие кредитных линий в один клик. «Известия» неоднократно писали о проблемах, возникающих при получении кредита дистанционным способом, — злоумышленникам неоднократно удавалось оформлять займы и делать покупки в долг по чужим данным, из-за чего у настоящих владельцев документов возникала масса сложностей. Банки неохотно восстанавливают справедливость. Нужны ли, в принцип, такие чрезмерные упрощения протоколов безопасности?
— Работа по ограничению таких рискованных услуг, насколько мне известно, ведется, — говорит Андрей Голов. — Но активные действия начинаются у нас тогда, когда подобные инциденты достигают критической массы. Только когда уровень мошенничества начинает зашкаливать, начинают принимать законы. Так было, например, с электронной цифровой подписью — ограничивать сделки с помощью этого инструмента начали только после того, как мошенники сумели с помощью ЭЦП продать несколько квартир.
Одними из первых электронные паспорта смогут оформить москвичи — уже с 1 декабря текущего года. По всей России — не позднее 1 июля 2023 года. Для того чтобы получить паспорт с электронным носителем, понадобится сдать биометрические данные (изображение лица, отпечатки двух пальцев рук), установить мобильное приложение, которое можно использовать вместо бумажного документа в случаях, установленных подзаконными актами. После оформления смарт-карты бумажный паспорт станет недействительным.
Госинструкция
В конце августа портал «Госуслуги» в новом разделе дал 14 советов о том, как защититься от мошенников. Рекомендуется не сообщать персональные данные платежных инструментов и SMS-пароли для трансакций, завести отдельную карту для покупок. Портал советует заходить в личный кабинет исключительно через защищенные каналы Wi-Fi, пользоваться двухфазной идентификацией, уведомлениями обо всех финансовых операциях и поставить на смартфоны специальные приложения, отсеивающие спам-звонки, а также антивирусные программы из официальных магазинов приложений.