BIS Journal №3(42)/2021

6 августа, 2021

«Проблема БД – это в первую очередь моральный вызов»

Большие данные сегодня собираются на разных уровнях и в интересах различных структур. Думаю, в первую очередь необходимо защищать всё то, что связано с персональными данными граждан. Ведь именно они в современной России позволяют криминальным элементам разного толка осуществлять мошеннические действия: красть деньги со счетов граждан, представляясь сотрудниками банка, брать на них кредиты, подделывать документы для сделок и многое другое. К сожалению, в этой сфере очень силён человеческий фактор — сами сотрудники оператора персональных данных продают данные, и этот теневой рынок в России развит.

О параметрах его развития можно судить, например, по данным исследования мирового рынка преступных киберуслуг, которое провела компания PositiveTechnologies в 2018 г. Например, стоимость целевой атаки на организацию в зависимости от сложности может составлять от 4500 долл., включая наём специалиста по взлому, аренду инфраструктуры и покупку соответствующих инструментов. Взлом сайта с получением полного контроля над веб-приложением обойдётся всего в 150 долл. Если войти в TOR и сделать запрос «Купить персональные данные», можно увидеть обилие предложений и сайтов, на которых эти данные продают. Купить фото документов человека — от 300 руб., а полное досье на персону стоит около 70–100 тыс. руб. Но технологии между тем двигаются дальше. Множество ботов в Telegram могут предоставить доступ к данным по украденным базам и утечкам (это и персональные данные в виде телефонов, паспортов, номеров машин, и слитые в сеть пароли, и многое другое) – и это уже отдельные не подконтрольные государству сервисы. Вопрос только в актуальности и достоверности этих данных.

 

ЧТО ДЕЛАТЬ?

Тут нужно и усиление мер защиты этих данных в самом операторе, и внедрение разных средств контроля, например систем класса DLP. В целом значимость таких систем в свете сегодняшней ситуации будет только повышаться. Однако сама по себе DLP-система обеспечить полную безопасность не сможет, это лишь один из «кирпичей» в вашей защите («стене») от утечек. Тут надо понимать специфику того, что защищаем, где защищаем, и тогда становится понятно, как надо защищать. По крайней мере, компании «ВС Лаб» удаётся подобрать и способы, и средства для защиты своих клиентов.

Например, связка DLP+OSINT (Open source intelligence — глубокий интеллектуальный поиск в Интернете) может показывать очень интересные результаты: выявлять потенциально неблагонадёжных сотрудников, обнаруживать и перехватывать каналы продаж персданных, выявлять способы хищения и взлома.

Кроме того, оператору необходимо отслеживать факт утечек данных в DarkWeb. Здесь также могут помочь наработки, связанные с технологиями OSINT. Приведу пример работы OSINT: система автоматически вытягивает с разных специфических форумов информацию о появившихся новых уязвимостях в распространённом ПО или популярном аппаратном обеспечении. Эта информация видна подразделениям заказчика, обеспечивающим защиту, и они тут же начинают придумывать способы устранения этих уязвимостей.

Второй пример с OSINT. Компания берёт на работу нового специалиста, получающего доступ к важной информации, и система сама проверяет его на наличие связей с различными сообществами и предоставляет данные в службу безопасности. Третий пример: DLP-система выявила круг общения некоторого специалиста, и если у него корпоративный телефонный номер, то по нему получаем списки людей, с кем этот человек активно созванивается сам и кто ему звонит. На основе этих данных OSINT может предоставить данные по коммуникациям человека, а также понять, от каких организаций поступают звонки. Например, если сотрудника беспокоят коллекторы, значит, у него финансовые проблемы, а стало быть, есть риски. Это очень простой кейс, но тем не менее весьма показательный.

Ещё один пример: DLP + система видеоаналитики. DLP не даст скопировать данные, а видеоаналитика покажет, когда сотрудник попытается сфотографировать эти данные с экрана компьютера или когда сотрудник будет совершать звонок кому-то по личному телефону с открытым окошком персданных в программе оператора.

Сегодня нередко поднимается вопрос о соотношении моральных и технических аспектов в сфере применения DLP-систем. Здесь, на мой взгляд, работают два основных тезиса. Первый: у злоумышленников нет морали. Второй: DLP-система – это «кибер-/автоматизированная мораль» сотрудника организации. По-моему, это намного надёжнее, чем просто вера в человека.

DLP и другие умные системы — это правильный и достаточно надёжный способ контролировать мораль сотрудника. Даже если для этого сотрудникам, например, современного банка, придётся работать весь день под прицелом видеокамер и всяких умных систем, которые фиксируют и анализируют движение его глаз, рук, произнесённые слова и сопутствующие интонации и т. д. И только потому, что у преступников нет морали, офис или подразделения крупного банка или иной организации, работающей с персональными данными, должен быть под усиленным контролем. Ибо утечка данных может нанести слишком большой вред.

Конечно, можно попробовать посмотреть на проблему с другой стороны –это борьба с незаконным бизнесом на персональных данных в DarkNet. В самом деле, есть же возможности снизить степень воздействия криминала на общество в офлайне! По аналогии можно предположить, что подобные действия могут привести к снижению воздействия киберпреступности на общество. Правда, «серебряной пули» в этой части пока не существует. Сегодня мы можем только взять в качестве аксиомы тезис: чем меньше у злоумышленников товара для продажи, тем лучше. Значит, чем будут лучше защищены данные, тем меньше будет утечек, а значит, меньше товара на чёрном рынке. Если же мы понимаем каналы распространения утечек или каналы взлома, то нам проще это пресечь или взять под контроль.

Другой вариант снизить порог утечек — это проводить обезличивание данных, но тут, как говорится, дьявол кроется в деталях: стандарты обезличивания у всех свои.

С общих позиций, разработка универсального решения не является чем-то невозможным, это всего лишь вопрос затраты определённых сил и средств и определённых компромиссов. Кроме того, нужно понимать, что даже при появлении такого универсального подхода всё равно придётся защищать каждый узел передачи данных, а это вновь – деньги и люди. К тому же нужно вовремя остановиться: если довести ситуацию до того, что обмен данными между системой анонимизации/обезличивания и базами данных будет осуществляться в каком-то закрытом контуре, это наложит ограничения на скорость обработки данных, а значит, на скорость и качество оказания услуги потребителю, то есть принесёт вред бизнесу. А это уже явный перегиб. Надо искать компромиссы. Причём не только в технической части.

Надо отдавать себе отчёт в том, что все серьёзные подвижки в этом плане будут «оплачиваться» редуцированием того, что сегодня называется цифровым суверенитетом человека. Дело в том, что в современном мире нет никакой приватности: она иллюзорна. Как только в ваших руках появился смартфон и вы начали активно с ним работать, забудьте о приватности – ваши данные видят все (банки, сотовые операторы, государство и т. д.). Моё мнение: если из-за потери приватности я буду в безопасности (во всех смыслах) и мои данные будет обрабатывать только государство и с помощью тех компаний, которым я разрешу это делать, то я не вижу в этом ничего страшного. «Цифровая слежка», кстати, может быть полезна и для самого гражданина, как, например, в случае подтверждения алиби человека на основе геоданных его мобильного телефона. Примеров, когда «цифровая слежка» работает в интересах общества и конкретного человека, множество.

В государстве должен быть найден баланс между безопасностью и анонимностью. Насколько я понимаю, в правительстве и правоохранительных органах всегда обсуждается нахождение именно этого баланса. С одной стороны, никто не будет требовать отмены видеонаблюдения на улицах, ведь это вопросы безопасности нас самих и наших близких. С другой стороны, правоохранительные органы всегда хотят ужесточить свои требования, увеличить своё влияние и возможности. Но предъявлять на каждой интернет-сессии свой паспорт — это уже нелепо. Если система определяет, что у человека недобрые намерения, — это хорошо. А если по моему лицу можно узнать мои паспортные данные и привязку к банковской карте — это плохо.

Мы живём в интересное время: бурное развитие технологий обусловливает появление множества моральных вызовов. И именно нам с этими вызовами нужно внимательно разбираться. Простых решений здесь нет, а с течением времени указанные проблемы будут лишь усугубляться. Нужно работать над формулировкой некоторого общественного договора – достигать консенсуса между государством и человеком.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных