Популярні матеріали

18 жовтня 2017, 14:35

Інформаційна безпека під час застосування цифрових технологій

Сергій Збожинський
Сергій Збожинський «ALEXANDROV&PARTNERS» юрист, директор з інновацій

Після такого заголовку читач може очікувати матеріал на кшталт «не відкривайте підозрілі е-мейли, не заходьте на сумнівні сайти, не розкривайте персональні дані підозрілим особам, вигадуйте складні паролі та постійно їх змінюйте, використовуйте якісний антивірус тощо».

Так, все це насправді є важливим, проте враховуючи постійне масштабування інформаційних технологій майже в геометричній прогресії, таких рекомендацій вже недостатньо. На сьогодні перелічені вище стандартні рекомендації можуть бути корисними лише для фізичних осіб як поодиноких елементів чи простих користувачів ПК, які контактують з іншим світом, але їхня інформаційна інфраструктура не виходить за межі одного телефона, комп’ютера та принтера. Зовсім інша розмова, коли в компанії використовується 5, 10 або 20 комп’ютерів. Отже, розмова піде про корпоративну безпеку, але про неї трошки пізніше.

Чи відоме вам таке поняття як «цифровий слід»? Більше ніж 100 років тому відомий слідчий на Бейкер-стріт 221-б за відбитком чобота на землі або за плямою на жакеті міг розповісти про людину чимало цікавих фактів, її звички, звідки йде тощо. Сьогодні ми залишаємо сотні таких плям в інтернеті. Ще 15 років тому такі плями були зовсім не цікаві та не зрозумілі. Сьогодні з появою технологій Big data комп’ютери вміють розпізнавати ці плями, аналізувати, об’єднувати зі схожими, сортувати та розкладати по полицях. Цікаво, чи не так?

Я тут не один, тепер нас двоє

З моменту появи інтернету протягом багатьох років про нас накопичувалися гігабайти даних. Якщо до появи технологій Big data було незрозуміло, що робити з такою інформацією, то тепер люди навчили технологію збирати та аналізувати всі ці дані. Таким чином, компанії, які можуть дозволити собі обчислення таких масивів інформації, збирають на вас таку собі «справу». Історія ваших запитів у Google, переміщення, уподобання, переглянуті відео та перечитані новини – все це опрацьовується, зберігається та використовується для рекламування саме тих продуктів, які ви скоріш за все купите. Не вірите? Запитайте в інтернеті: «Що про мене знає Google?». Навіть трошки іронічно, що питати ви це будете саме у Goolge. Це інформація, яку ми залишаємо замість плати за використання сервісів (наприклад, тієї ж пошукової системи Google (чи будь-якої іншої) або навігатора). Проте більшу кількість інформації ми залишаємо в мережі добровільно та навіть із задоволенням. Фото в Instagram, Facebook, позначення геоданих та згадка про друзів на фотографіях дозволяє зрозуміти, де ви знаходитеся, з ким любите відпочивати, в яких місцях тощо.

Майже кожний мобільний додаток збирає та зберігає величезну кількість інформації про нас. До того ж ми дозволяємо це робити. Пам’ятаєте галочку, яку ми з вами вже автоматично ставимо навпроти «умови використання», щоб якнайшвидше перейти до користування додатком? Так, саме цією галочкою, ви дозволяєте зберігати, обробляти, використовувати та, можливо, навіть передавати вашу особисту інформацію.

Нещодавно в газеті The Guardian була опублікована стаття «I asked Tinder for my data. It sent me … of my deepest, darkest secrets». Користувачка мобільного додатку Tinder звернулася із запитом до компанії з вимогою надати персональну інформацію про неї, що зберігається в компанії (на це має право кожен громадянин європейського союзу, відповідно до закону про захист інформації). Ви ще тут? Добре, тоді увага. Tinder на запит користувача відправив 800 сторінок персональної інформації, яка збиралася протягом 4-х років! Там було все.

За словами авторки Джудит Дюпортейл, вона відчувала справжній сором за те, що вона там побачила: 800 сторінок листування з усіма користувачами, аналіз усіх вподобань, що вона поставила в Tinder, Facebook, Instagram (це були пов’язані акаунти), повний аналіз чоловіків, які б могли їй сподобатися та багато іншого. Це ще нічого, існує думка, що Facebook може пред’явити вам тисячі таких сторінок.

Вся зібрана інформація використовується для формування та пропозиції для вас приймете тих матеріалів, які вас зацікавлять. Окрім цього, така інформація впливає на те, які вакансії вам будуть доступні у LinkedIn та, взагалі, чи приймуть вас на роботу. HR-директори та керівництво дуже пильні до ваших сторінок у соціальних мережах.

Хто тут «великий брат»?

Таке поняття як «приватність» повільно, але впевнено розчиняється. Все більше вашої приватної інформації стає публічною. Ваш телефон можна сприймати як передавач, який зчитує та фіксує всі ваші рухи, які можуть використовувати, наприклад, силові структури. Нагадаю, все це абсолютно законно, адже ви поставили галочку та натиснули «прийняти».

Далі всіх у питанні контрою та збору інформації пішов Китай, де в тестовому режимі працює Система Соціального Рейтингу. Працює вона таким чином: кожен громадян має унікальний ідентифікатор, прив’язаний до його паспорта. Єдина централізована система отримує інформацію від органів державної влади (як ви сплачуєте квартплату, чи маєте судові справи, адміністративні правопорушення, чи сплачуєте податки, як сплачуєте відсотки за кредитом), взаємодіє з громадськістю (оплата паркування, успішність у навчанні, громадська активність тощо) та відстежує активність в інтернеті (що ви купуєте, які сайти відвідуєте, які коментарі залишаєте). Також активно заохочуються доноси громадян один на одного.

Отже, система отримує інформацію про громадянина за майже 160 тис. параметрами та більше ніж із 142 закладів. Після збору інформації система її аналізує та додає або віднімає бали від соціального рейтингу громадянина. Якщо у вас високий рейтинг, вам нададуть кредит на більшу суму та з меншими річними відсотками, запропонують знижку на авіаквитки, дозволять подавати до органів державної влади не повний пакет документів або дозволять взяти на прокат велосипед без застави. Якщо ж у вас низький рейтинг, вам відмовлять у кредиті взагалі, заборонять працювати на державній службі, перестануть продавати квитки на кращі місця у поїзді чи літаку тощо.

На кожного громадянина влада Китаю збирає терабайти інформації. Таким чином уповноважені посадові особи знають про своїх громадян більше, ніж самі китайці та їхні найближчі люди. Для юридичних осіб діє така ж система контролю. Проте якщо для юридичних осіб умови збільшення чи зменшення соціального кредиту чітко встановлені, то для фізичних осіб відсутні конкретно визначені критерії підвищення чи зниження рейтингу.

Повернемося з Китаю на батьківщину. Що ж у нас? Нічого подібного. Максимальний рівень інформаційного контролю в Україні – це сторічна технологія прослуховування телефонів. Хоча прослуховуванням це назвати не можна, скоріше витребуванням вже наявної інформації в оператора під час негласних слідчих дій. Також існують обшуки. В Україні дуже люблять обшуки: спочатку вилучити всі комп’ютери, сервери та накопичувачі, а потів вже розбиратися, що потрібно, а що ні.

Ми живемо у цифровому столітті, тому інформація – найцінніший товар. Особиста приватна інформація у будь-якому випадку буде просочуватися в інтернет. Окремо фізичним особам було б дуже важко захищати свою інформацію в інтернеті, тому ми довіряємо найважливіші дані великим корпораціям, які мають ресурси для зберігання та захисту такої інформації. Кожна велика інтернет-компанія, яка володіє та зберігає інформацію про вас, має величезні відділи для її обробки й захисту.

Сам собі лікар

Ще цікавіша історія з підприємствами – 99% компаній використовують в роботі інформаційні технології та діляться інформацією в інтернеті. Приблизно 80% компаній залежні у своїй діяльності від технологій. Майже 65% компаній мають активи у вигляді інтелектуальної власності. Ці показники наштовхують на думку, що компанії повинні бути впевнені в захисті інформації, втрата якої може нашкодити їхній діяльності. Натомість підприємці нехтують таким захистом.

Зараз найефективнішим та найнеймовірнішим сценарієм є перехід українських підприємств на офіційне програмне забезпечення. На мою думку, це могло б вирішити більшість проблемних питань інформаційної безпеки. Користування нелегальним програмним забезпеченням – це ракова пухлина наших підприємців. Не знаю чому, але українці не звикли платити за такі нематеріальні активи як програмне забезпечення, не вбачають у цьому сенсу. Однак саме тут приховується найбільше «вузьких» місць, саме тут найбільша діра в безпеці ваших персональних даних як в онлайн-, так і в офлайн-режимі. Ніхто не дає гарантію, що той комп’ютерний майстер, який встановив вам піратський Windows «авторської збірки», не встановив туди ж шпигунське програмне забезпечення, яке викладає в інтернет всю інформацію, що зберігається на комп’ютері (в тому числі бухгалтерію).

Якщо піти трошки далі, то для підприємств середніх розмірів вже непогано мати повноцінну стратегію інформаційної безпеки або відділ, який займатиметься підтримкою життєздатності інформаційної системи та слідкуватиме за безпекою та захищеністю інформації (нехай він і складатиметься з однієї особи). Якщо у вас станеться витік інформації, компанія втратить через це кошти, а ще гірше – клієнтів або репутацію, знайти та покарати винних є справою дуже не з легких. Як позитивний аспект можна вказати на наявність та роботу української Кіберполіції, яка насправді виконує свою роботу. Проте їх компетенція досить звужена, а ресурси обмежені, тому повністю розраховувати на неї не варто.

Не такий страшний хакер, як його малюють

Підсумовуючи, можна сказати, що наші з вами цифрові копії знаходяться на долоні віртуального світу. Це той світ, де студент КПІ на другому році навчання може дізнатися про вас більше, ніж ваш чоловік або дружина. Таку можливість частково ми самі йому надаємо. Це той світ, де персональні дані – товар (кожному, мабуть, приходили СМС з номерами таксі, варто лише один раз потрапити в цю базу даних і вже ніколи не спекатися набридливої реклами). Той світ, де рекрутери спочатку дивляться сторінку претендента у Facebook, а потім резюме.

У такій ситуації буде справедливо сказати: дивіться перший абзац – це все, що ми можемо самостійно зробити для збереження власної інформаційної безпеки. Проте, шановний читачу, перед тим як бігти одягати шапочку з фольги, пригадайте, що ми не в Китаї, великі корпорації відповідальні за ваші персональні дані, а за пост у Facebook або за полювання на покемонів у церкві в нашій країні вас не посадять за ґрати. Для інших випадків – качайте «Тоr».

Для підприємців зовсім інша порада: ваша інформаційна безпека – у ваших руках. Інформація, що знаходиться та обертається на підприємстві, має велику цінність, тому не пошкодуйте часу та ресурсів на побудову власної стратегії інформаційної безпеки або найміть тих, хто зможе зробити це за вас. Однак у такому випадку необхідно приділити достатньо уваги врегулюванню договірних відносин із зовнішніми спеціалістами.

P.S. Тепер заборона російських сервісів вже не виглядає безглуздо. Чи не так? 

0
0

Додати коментар

Відмінити Опублікувати