Кейс Snowflake — урок или просто сенсация? Станет ли гособлако «чёрным лебедем» для бизнеса и граждан России?

BIS Journal №3(54)2024

17 июля, 2024

Кейс Snowflake — урок или просто сенсация? Станет ли гособлако «чёрным лебедем» для бизнеса и граждан России?

СНЕЖИНКИ РАСТАЯЛИ. И ПРОТЕКЛИ

Для представления о масштабе проблемы — немного рекламы.

«Искусственный интеллект для общения с вашими данными. Генеративный ИИ, машинное обучение, потоковые или неструктурированные данные, создание приложений и Python, управление и непрерывность бизнеса... Всё это проще выполнять в облаке данных ИИ. Snowflake обеспечивает простоту использования, мгновенную эластичность и низкую совокупную стоимость владения».   

Это лишь малая часть возможностей компании из США, которая занимается облачным хранением, вычислениями и анализом данных. Она создана в 2012 г., офисы открыты в 40 странах. В клиентах Snowflake — более 9,8 тыс. компаний, включая мировые корпорации Adobe, AT&T, HP, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha и др. 

Чем ещё знаменит этот облачный сервис? Тем, что кибератака на него может войти в историю как самая крупная утечка данных в мире. В июне этого года стало известно, что клиенты «Снежинки» уже потеряли терабайты конфиденциальных сведений: Ticketmaster — 560 млн записей, Santander — 30 млн, Advance Auto Parts — 380 млн, LendingTree и её дочерняя структура QuoteWizard — 190 млн. Эксперты нашли в списке 165 пострадавших, среди них — фармацевтические гиганты, финансовые компании, службы доставки еды… И список продолжает пополняться. 

Исследователи из компании по кибербезопасности Mandiant отслеживают группу, стоящую за хакерской кампанией, получившей название UNC5537. Предполагается, что злоумышленники, основная цель которых — получение выкупа, попали в корпоративную среду Snowflake по цепочке поставщиков, используя учётные данные для входа, украденные ранее у клиентов. 

Несмотря на предупреждения регуляторов США и Австралии, которые нашли прямые доказательства утечки, Snowflake продолжает утверждать, что сбой в ИТ-системах незначительный, а потенциальная утечка затронула ограниченное количество учётных записей. 

 

ЯРКАЯ ПАРАЛЛЕЛЬ

История со Snowflake — яркий пример риска концентрации данных в руках одного провайдера. Похожих примеров, только в иных масштабах, достаточно и в России. Здесь можно вспомнить и уже забытую февральскую утечку данных, содержавшую 500 млн строк данных о россиянах, подробности о которой не стал раскрывать Роскомнадзор. И более мелкие, но не менее чувствительные утечки из сервисов доставок и различных ИТ-систем. Несмотря на аргументированные доводы экспертов сервиса разведки утечек данных и мониторинга даркнета DLBI о подлинности данных, на момент подписания номера утечка в московской ИТ-структуре традиционно была названа «компиляцией». 

 

ЗНАЮТ ВСЕ!

Об опасности хранения персональных данных в одной, пусть даже и хорошо защищённой структуре, давно говорят российские эксперты. В 2023 г. глава Минцифры Максут Шадаев неоднократно заявлял, что ведомство перешло от стратегии сбора максимального количества данных на «Госуслугах» и концентрации больших данных в одном месте к реализации распределённого подхода хранения информации. Минцифры планирует создание ведомственной онлайн-витрины, данные в которую будут загружаться непосредственно из баз ведомств по запросу пользователя. 

О риске концентраций данных у неподнадзорных компаний в июне 2024 г. говорил замглавы Департамента ИИ Банка России Андрей Выборнов. «На рынке есть организации, которые не являются поднадзорными Банку России, но от которых существенным образом зависит функционирование в целом финансового рынка и банковского сектора экономики», — отметил спикер на конференции «Информационная безопасность финансовых организаций в текущих условиях: ГОСТ Р 57580, анализ уязвимостей, защита персональных данных». — Это могут быть облачные провайдеры, ЦОДД, разработчики ПО, ИТ-провайдеры». Представитель регулятора отметил, что на решение этой сложной задачи уйдёт полтора-два года. 

 

«ЗАКОН ОБ ОБОРОТНЫХ ШТРАФАХ»

На фоне громких утечек продолжается активное обсуждение так называемого Закона об оборотных штрафах. Он включает в себя два законопроекта — № 502104-8 «О внесении изменений в Кодекс РФ об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)» и № 502113-8 «О внесении изменений в Уголовный кодекс РФ (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)». 

Эти законопроекты об ужесточении административной и уголовной ответственности за утечки персданных были приняты Госдумой в январе 2024 г. в первом чтении. Они предлагают ввести оборотные штрафы за повторные утечки персональных данных в размере не менее 15 млн руб. и не более 500 млн руб. в отношении юридических лиц. По мнению противников оборотных штрафов, такие суммы могут разорить бизнес и станут поводом для шантажа со стороны хакеров, готовых получить меньший выкуп, чем размер штрафа. 

Председатель парламентского комитета по информационной политике Александр Хинштейн заявил во время ПМЭФ-2024, что Госдума примет закон об оборотных штрафах для компаний, которые допустили утечку персональных данных граждан. «Да, мы рассчитываем эту инициативу принять. Коллеги из Минцифры и других заинтересованных ведомств совместно с нами подготовили редакцию второго чтения — она сейчас находится на проработке в ГПУ президента. И наша задача в текущем году эту норму во втором и в третьем чтении принять», — сказал депутат (цитата по «Интерфаксу»). По его мнению, основная дискуссия, если и развернётся, коснётся смягчения ответственности. «Думаю, что у нас есть компромиссные решения, которые устроят всех. Решения, которые, с одной стороны, не станут лазейкой для ухода от ответственности и возможности откупиться нарушителю. А с другой стороны, действительно позволят участникам рынка, которые вкладываются в информационную безопасность, снижать масштабы ответственности», — так сказал парламентарий. 

 

АБД ПРОТИВ

Второй момент, который подтверждается кейсом Snowflake, — это вопросы безопасности ИИ и работа с большими данными. В апреле компания представила модель генеративного ИИ Arctic LLM, оптимизированную для корпоративных нагрузок. Также Snowflake активно продвигает технологии ИИ для управления большими массивами данных. Как их могут использовать хакеры, пока неизвестно. Но и в этой части кейса можно провести параллель с российской действительностью. 

Минцифры России уже заявляло о планах по созданию «государственной фабрики больших данных», где будут накапливаться и формироваться датасеты, основой для которых станут уже имеющаяся у государства информация и сведения, поступающие от бизнеса. Законопроект № 992331-7, вносящий изменения в ФЗ «О персональных данных» в части уточнения порядка обработки персональных данных, был принят в первом чтении в феврале 2021 г. и до настоящего времени дорабатывается. В очередной раз он стоял в повестке дня Госдумы в июне 2024 г., однако поправки к законопроекту об обезличенных персональных данных, предложенные ко второму чтению А. Хинштейном, вызвали критику профессионального сообщества. Рассмотрение документа было вновь отложено. 

По сведениям «Коммерсанта» и русского издания Forbes, Ассоциация больших данных (VK, «Яндекс», «Сбер», «Т-Банк», ВТБ, «большая четвёрка» операторов связи и др.) выступила против передачи клиентских персональных данных в государственную информационную систему. Появление такой системы и описанный порядок работы с ней чреваты рисками концентрации и кибербезопасности, противоречат поручениям президента, программе «Цифровая экономика» и Национальной стратегии развития ИИ до 2030 г. Принятие проекта в таком виде может задержать развитие технологий ИИ. 

Доступ к ГИС получат только государственные и муниципальные органы, и компании из специального перечня, следует из законопроекта. Согласия граждан на передачу данных не потребуется. По сути, авторы поправок предлагают «передавать коммерческие данные государству», считают представители АБД и просят привлечь к работе над документом Банк России. В свою очередь, регулятор затруднился оценить прозрачность механизма «госозера данных» и его безопасность, пока нет уточняющих актов. 

Остаётся ждать и надеяться, что государство и бизнес найдут решения, устраивающие все стороны, и учтут интересы граждан, персональные данные которых становятся разменной монетой для государства, бизнеса и злоумышленников. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс
16.01.2025
Управляй киберрисками, защищая DNS. Компания Servicepipe обновила продукт Secure DNS Hosting
15.01.2025
Минцифры, вендоры и эксперты обсуждают будущее отечественного «опенсорса»
15.01.2025
От «Яндекса» до Rutube. Кто упал из-за январского нарушения связности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных