Интернет

Правило «нетелефонного разговора»: как уберечь личные данные от утечки

0 17098

Эпидемия COVID-19 выявила неспособность ряда популярных западных сервисов обеспечить безопасность данных пользователей.

Меры по борьбе с распространением коронавируса внесли существенные коррективы в повседневную жизнь миллиардов людей. Сотрудники многих компаний были вынуждены перейти в режим удаленной работы, а школьники и студенты — на дистанционное обучение.

Сложившаяся ситуация стала мощным драйвером развития цифровой отрасли. Но в то же самое время возросшая онлайн-активность обнажила неспособность ряда западных IT-компаний обеспечить безопасность личных данных своих пользователей.

Так, американская компания Zoom, оказывающая услуги видео-конференц-связи (ВКС), заявила, что на фоне борьбы с коронавирусом количество пользователей сервиса выросло с 10 до 200 миллионов человек в день.

Эксперты прогнозировали и дальнейший рост популярности сервиса Zoom, если бы не одно весьма неприятное обстоятельство: из-за проблем с безопасностью сервиса в открытый доступ в Сеть утекло несколько тысяч записей видеоконференций. Среди них были как частные беседы, так и конференции различных компаний.

Генеральный директор Zoom Эрик Юань позже признался, что компания оказалась не готова к столь резкому росту числа пользователей. Выяснилось, что Zoom присваивает видеозвонкам открытые идентификаторы (PMI) и не шифрует подключение. Утечки личных данных пользователей никогда нельзя считать безобидными и неважными.

© pixabay.com

Злоумышленники, обладая такой информацией, могут, например, похищать деньги с банковских счетов граждан. Кроме того, использование незащищенных онлайн-сервисов глобальными корпорациями и государственными структурами угрожает расцветом промышленного шпионажа, крупными коммерческими убытками и испорченной репутацией.

Коммерческие IT-компании, как правило, сначала предлагают функционал, который востребован на рынке, а уже после они занимаются его безопасностью. Так, на мой взгляд, действуют все публичные сервисы: сначала дают возможности, а потом наталкиваются на риски, — рассказал в интервью «Ридусу» первый вице-президент компании Infowatch Рустэм Хайретдинов.

По словам эксперта, происходящее сегодня с Zoom и другими интернет-сервисами — это ошибки не специалистов, занимающихся защитой данных, а разработчиков, поскольку вопросы безопасности должны решаться на этапе создания продукта.

«Получается, что разработчики накосячили, а потом экстренно обращаются к специалистам по безопасности, которые должны все починить в самые кратчайшие сроки. Есть целое направление безопасности, которое называется Application security. Оно как раз не о том, как ловить хакеров, а о том, как находить и исправлять недостатки до того, как ими воспользуются хакеры. Однако практически никто не стремится исправлять недостатки на этапе разработки продукта. Два года назад аналогичные проблемы были с мобильными приложениями. Массово их ломали, массово через них занимались мошенничеством. Потом взялись всем миром и починили. Сейчас количество атак на мобильные приложения резко упало. Теперь пришло время таких приложений, как Zoom», — пояснил Хайретдинов.

Решать вопросы безопасности — занятие весьма трудоемкое, а число программистов ограничено. Скажем, нашли вы дыру. Однако количество программистов у вас ограничено. Увеличивать штат — нерентабельно. И чем ваши программисты займутся? Они будут затыкать старые дыры или писать новые фичи, способные составить конкуренцию на рынке? Конечно, программисты займутся вторым. В общем, такая расстановка приоритетов. С точки зрения бизнеса лучше завоевывать новые рынки, привлекать новых клиентов, чем заниматься обеспечением безопасности старых пользователей, — полагает Рустэм Хайретдинов.

Тем более те же видеоконференции — услуга бесплатная. «Зачем беспокоиться о приватности пользователей, если ты им, по сути, ничего не должен? Так устроен бизнес. Сначала мы бежим за возможностями, а потом думаем о рисках. Иначе не было бы предпринимательства, если бы все думали только о рисках», — добавил собеседник «Ридуса».

© pixabay.com

Единственный способ избежать утечки важных персональных данных — это помнить о правиле «нетелефонного разговора». Не стоит сообщать в Сети информацию, если вы не хотите, чтобы данная информация стала достоянием широкой общественности, считает Хайретдинов.

Если данные уже утекли, то призвать IT-компанию к ответу почти невозможно. «Во-первых, иностранные компании работают вне российской юрисдикции, — рассуждает собеседник „Ридуса“. — Во-вторых, на многих сервисах есть пользовательские соглашения, которые снимают с компаний ответственность».

В случае с Zoom, мне кажется, шансов нет. Если только американцы не подадут коллективный иск. Это еще может сработать. Однажды американцы пожаловались в суд на компанию Apple по поводу принудительной деградации производительности старых смартфонов. Им удалось отсудить по 400 долларов на человека. Но это, замечу, американские пользователи, американская компания и американская юрисдикция. Россия, конечно, могла бы заставить иностранные корпорации регистрироваться на своей территории. Тогда и у нас была бы возможность призвать к ответу ту или иную компанию, — сказал Рустэм Хайретдинов.

«На мой взгляд, будет лучше, если мы сосредоточимся на развитии собственных аналогичных сервисов. У нас есть похожие сервисы, и у них сейчас есть прекрасные шансы занять неплохие позиции на отечественном рынке», — заключил эксперт.