Безопасность

В ущерб комфорту прибавить в безопасности: Как защитить персональные данные

13 марта 2021, 20:34
Фото: «Вести.ru»
13 марта 2021, 20:34 — Общественная служба новостей — ОСН

На фоне новостей о возможном масштабном сборе биометрических данных россиян, Общественная служба новостей решила разобраться, насколько надёжно в настоящее время персональные данные защищены и можем ли мы чувствовать себя в безопасности, представляя ту или иную информацию и быть уверенными в том, что эта информация не попадет в плохие руки. Об этом в эфире телевидения Общественной службы новостей рассказал руководитель компании по защите персональных данных P-Data Александр Ильин.

— Вот эта биометрия, она кого восхитила, кого возмутила, а кого ввела в недоумение. Мне показалось странным процентное соотношение тех, кто уже предоставил свои данные и цифры, к которой стремятся власти, чтобы собрать этим данные. При этом по вопросу безопасности пока никто не может ничего сказать. Хотя есть истории, как утекают данные компаний, банков, и как это все оказывается на черном рынке, и это можно купить и узнать о нас с вами все. Что с этим происходит сейчас? Может мы уже шагнули вперёд, но не знаем об этом, а власти знают.

— Действительно мы перешли в новую цифровую эру. Мы с вами в очень интересное время живём, потому что эта цифровизация, которая нас окружает, она пропитала уже все вокруг. И мы понимаем, что мы не можем остановить прогресс, не можем жить в данном веке, все растет и развивается. Но в то же время нельзя забывать о безопасности. Это является ключевым моментом, но об этом у нас, к сожалению, думают в последнюю очередь, когда уже что-то случается. Вы правильно заметили, что разрыв между людьми, которые уже предоставили свои данные и теми, что хотят получить власти, просто колоссальный. Но постепенно, в основном через банковский сектор, через приложение, которое специально разрабатывается для биометрии, будут сейчас пытаться получить эти данные. Будут, возможно, какие-то нюансы с порталом госуслуг, где, не сдавая биометрию, люди не смогут получить какую-то услугу. И таким образом будут стимулировать. Просто понимаете, мы придем к тому, что какие-то услуги просто невозможно будет оказать без сдачи биометрии. Так что хочешь комфорт — силы биометрию. С другой стороны, что ответить особо впечатлительным людям, которые против биометрии, так это что у всех сейчас есть смартфоны. И когда они входят по отпечатку пальцев, по Face ID — это же то же самое, все уже собрано.

— Специалисты сейчас говорят о синхронизации данных, насколько это хорошо и насколько это плохо? Получается, обращаясь в оно ведомство, мы можем получить одну информацию о человеке, обращаясь в другое — другую. Сейчас, получается, достаточно давали в социальные сети и узнаем все.

— Если вы рядовой гражданин, то в какое бы ведомство вы не обращались по поводу третьего лица, вам никакую информацию не предоставят. Но сейчас любой человек, имея смартфон и выход в интернет, может любую информацию о третьем лице получить.

— Получается, мы вообще никак не защищены? Ну, может моя бабушка.

— Вы правильно заметили, что защищены те, кто не ведёт активную социальную жизнь в сети. Но невозможно остановить прогресс, мы в это время живём и нужно просто знать правила, по которым нужно действовать. И лучше действовать загодя.

— Власти хотят собирать биометрические данные, насколько это будет безопасно мы не знаем. Но в той же Америке у ведомств есть такая опция, они нанимают хакеров, которые отслеживают других хакеров, проверяют систему, получится взломать или не получится. Я к тому, что может в принципе нельзя построить систему абсолютной безопасности, но можно её уже в процессе развивать.

— На 200% правда, невозможно построить такую систему и невозможно вплотную подойти к такому пределу, когда система защищена на 100%. Потому что любую программу пишут люди, а людям свойственно ошибаться. Поэтому, чтобы довести ее до нужного состояния, потребуется время и ни в коем случае нельзя делать этого в авральном режиме. Это нужно протестировать, потому что мы говорим о данных людей, это очень чувствительная информация. Например, банковский сектор, который давно представлен в IT, но даже там бывают утечки. То что говорить о новых системах?

— Тот факт, что мы живём в масштабной цифровизации, не многие могут утрамбовать в голове. Что поможет?

— Мне кажется, нужно просто проводить просветительскую работу с людьми, которая поможет объяснить все риски. Их сложно, этих людей, обвинить в чем-то, потому что они даже не подозревают обо всех рисках.

— Сколько лет мы уже говорим, что не должно существовать пароля 12345 или qwerty, но все равно они есть. Это какая-то лень, безответственность. Здесь же не поможет просветительская работа.

— Здесь медаль с двух сторон: с одной стороны удобство, с другой — безопасность. И вот эти люди выбирают удобство, потому что не осознают всех рисков. Когда мы говорим, что людям надо как-то больше защищать свою приватную жизнь, то мы говорим, что людям станет более некомфортно пользоваться этими паролями.

— Что касается приватности. Всех оглушило замедление работы Твиттера на территории России. Как вы это оцениваете?

— У нас есть законодательство РФ и все компании, представляющие услуги на этой территории, обязаны из соблюдать. Если их не соблюдают, к ним применяются какие-то меры. Здесь можно по-разному реагировать, но Твиттер просто игнорировал те требования, которые к нему предъявлял Роскомнадзор, по своевременному удалению запрещённого контента и были применены меры.

— Есть заявления, что Твиттер чистил платформу и удалял контент, за который Роскомнадзор сейчас его наказывает. Но даже если так, то что произошло потом, замедление работы других сервисов — это последствия или не связанные события?

— Очень сложно сейчас проанализировать и сказать, потому что маршрутизация происходит через одни сервера. Но я предполагаю, что это это было совпадение. Но я не сотрудник Роскомнадзора, я не знаю, на каких серверах проходила блокировка и компетентно ответить, что произошло, не могу.

— Хорошо, но перспектива появления отечественного интернета возможна? Как вы к этому относитесь?

— В целом это возможно, но мы опять приходим к вопросу безопасности. Потому что если мы говорим про суверенный интернет, то он должен строиться на тех мощностях, которые разработаны в РФ. И хранение, и обработка — все на российских мощностях, на российском оборудовании. К сожалению, у нас сейчас не тот уровень развития технического оборудования, чтобы реализовать такой проект. А привлечь иностранное оборудование мы не можем. Нам не хватает практики, потому что зарубежные компании на рынке уже десятки лет занимаются разработкой своего ПО, принимают участие в международных выставках, где происходит постоянное тестирование. А мы пытаемся стартовать с абсолютно неподготовленной основы, без базы и без опыта. Двигаться в этом направлении надо, но резкие движения не предпринимать.

— Несколько лет назад мне в интервью рассказали, что чтобы обеспечить передачу и хранение данных, точки концентрации данных не должны находиться в одной стране. Если они разбросаны по миру, это даёт больше безопасности.

— Да, это так, если мы говорим про интернет в целом. А если мы говорим про российский суверенный интернет, то серверов на территории РФ будет достаточно. Это будет интронет — внутренняя сеть.

— Как у Китая?

— Это можно сравнить с сетью какой-нибудь компании.

— А у Китая была эта подготовленная почва?

— Безусловно, Китай — один из лидеров такой техники. Если посмотреть производителей такой техники — это как раз Китай. У них есть производственные мощности. Но если мы хотим создать независимый интернет, то можем рассчитывать только на себя.

— Социальные сети, мессенджеры. Я правильно понимаю, что там приватности нет и гулко с этим смириться?

— Когда мы говорим про мессенджеры, нужно понимать о чем мы говорим. Есть приватность, а есть анонимность. В чем разница? Приватность, это мессенджер гарантирует, что никто не узнает о чем вы общаетесь. А анонимность, что никто не узнает кто с кем общается. Вот Телеграм неплохой мессенджер в плане приватности. Но это в плане секретных чатов.

— Интересно, что ещё никто не сумел вскрыть эту технологию.

— Ну здесь проще принять социальную инженерию, и влезть не в канал, в устройство и получить доступ к чату.

— А как с анонимностью в Телеграме?

— Ну, аккаунт в Телеграме всегда привязан к телефону и по сути по этому телефону вас всегда можно вычислить. Если бы привязки не было, можно было бы говорить об анонимности.

— Я правильно понимаю, что анонимностью ни один мессенджер не обладает?

— Есть несколько мессенджеров. Там не нужно указывать номер телефона, а достаточно придумать логин и этого будет достаточно для того, чтобы анонимно общаться с другими пользователями.

— Регистрируясь в мессенджерах мы оставляем телефон и почту.

— Почта указывается для восстановления.

— Но она все равно фигурирует.

— Если вы ее указали, то да. Вы можете ее не указывать. Если мы сильно переживаем о безопасности, то лучше почту не указывать. Потому что если попробуют вас взломать, то восстановят доступ как раз через эту почту. Потому если вы переживаете, что забудете пароль, то всегда всем повторяю, что лучше забыть аккаунт, похоронить и завести новый, чем создать такой прецедент. Лучше всего во всех соцсетях ставить двойную аутентификацию. Что это значит — если вы вводите пароль от учётной записи, то ещё вы должны ввести код, который знаете только вы. Таким образом злоумышленник его знать не будет. Потому очень советую всегда ставить двойную аутентификацию.

— А вот в целом я повторно понимаю, что вся информация, которую мы публиковали в социальных сетях, она теперь общедоступная?

— Да, есть такое определение, что все, что попало в интернет, попало туда навсегда. Безусловно, она общедоступна, она останется в кэшах поисковых систем. Сейчас у всех социальных сетей есть такая функция, запросить всю информацию, которая есть у них на вас. И вы можете ее подкорректировать.

— А если был удален аккаунт?

— Какое то время это хранится, потом очищается, удаляется, потому что место не безгранично, нет смысла хранить удаленные записи.

— А если попытаться влезть в эту информацию? Ну вот я удалила страницу, прошел месяц. В течение этого месяца злоумышленники могут попытаться его взломать?

— Нужно смотреть на соглашения с конкретными социальными сетями, сколько времени она хранится и можно ли ее восстановить. Владельцы соцсетей могут не удалить ее на серверах, но ни вы, ни злоумышленники ее восстановить уже не сможете.

— Подобрались мы к самому интересному повороту нашего разговора. Это номер телефона, сим карты.

— Да, сейчас номер телефона является таким идентификатором нас, по сути, во всем интернет-пространстве. Потому что что бы вы ни регистрировали, вы вводите номер телефона. И вот в один момент вы просыпаетесь, а там “нет сети”, карта недоступна. И вы понимаете, что в этот момент вы теряете все. Так вот, эта история достаточно распространенная и чтобы ее избежать, достаточно сделать несколько шагов. Нужно написать заявление оператору сотовой связи, что вы разрешаете перевыпуск сим карты при личном присутствии, в определенном салоне сотовой связи и категорически запрещается делать это кому-либо по любым доверенностям. Эта пометка ставится в вашем деле, как клиента и в дальнейшем такая мошенническая схема уже не работает.

Ещё один момент, что сим карта находится постоянно в телефоне и украв его можно очень быстро восстановить все доступы. Чтобы этого избежать, тоже есть небольшой лайфхак. Сейчас большинство смартфонов имеет так называемую электронную сим карту. Вы также обращаетесь к оператору с просьбой перевыпустить вашу пластиковую сим карту на E-SIM. Тогда у вас в слоте нет физической сим карты, но она есть в вашем телефоне. И физически не невозможно выкрасть.

Если у вас нет такой функции в смартфоне, то просто поставьте PIN код на карту. Это не пароль телефона, это код, который вводите, когда переставляете сим карту. Тогда, когда вы перезагружаете телефон, вам нужно ввести ещё один код. Вы теряете в удобстве, но очень сильно прибавляете в безопасности.