Данные не предмет для хранения
Цифра нас окружает. С 2000-х годов стали массово появляться цифровые сервисы. Развитие Web 2.0, мобильные приложения и появление различных цифровых экосистем от ведущих IT-гигантов (а потом и государства) требовали от пользователя ввода своих персональных данных, а то и самостоятельного обогащения их до максимального уровня: помните, как на заре появления «ВКонтакте» тогдашним неофитам создания своих цифровых образов предлагалось делиться с общественностью даже информацией о семейном положении, родственных связях и прочими данными? Просто находка для современного мастера по OSINT.
Данные в соцсетях большинство из нас быстро почистило, да и разработчики со временем существенно сократили количество и содержание «видимых» полей, однако общая тенденция к «разбрасыванию» своих данных то там, то тут осталась. Сначала по запросу оставляли электронную почту и ФИО, потом телефон (а вслед за ним и второй — резервный), потом данные банковской карты. Чем дальше в «диджитальный лес», тем толще были партизаны: пошли в ход уже рабочие телефоны, адреса дач, СНИЛС, ИНН, данные водительских прав и регистрации машины (чтобы посмотреть штрафы с камер и т.д.).
Все это нужно не самым известным государственным цифровым сервисам. В разных сочетаниях эти данные о любом человеке разбросаны в самых разных местах: некоторые разрешили браузерам запомнить данные своих банковских карт, кто-то, пользуясь цифровыми коммерческими сервисами, сохранил в личных кабинетах данные водительских прав. А что такого? Удобно же. А уж то, в каких базах данных хранятся и обрабатываются номера телефонов, e-mail, даты рождения, ФИО и вовсе не упомнить: попробуйте пересчитать, сколько за все время вы оформили карт лояльности и у кого есть эти данные на вас? Уверен, не хватит не только своих пальцев рук, но и пальцев рук с ногами всего семейства. Сегодня среднестатистический человек с трудом вспоминает, куда и какие данные он «отнес».
Продаются. Недорого. Отдам даром
С развитием цифровых сервисов, естественно, стали происходить и инциденты. Один из самых частых их результатов — утечки персональных данных пользователей в том или ином объеме: больше чем в половине случаев всех атак на организации, и более чем в 70% случаев кибератак на физлиц киберпреступники нацелены именно на кражу данных. И чаще всего, безусловно, «текут» именно персональные данные.
Именно они же самый популярный объект купли-продажи среди киберпреступников в дарквебе — доля объявлений, связанных с их продажей (или даже бесплатной раздачей), составляет 83%, а стоимость данных в дарквебе сейчас редко превышает $1000. Причем бесплатных предложений практически в два раза больше продажи. Так что если мы с вами склонны оставлять данные где попало, в принципе, не так уж высоко их оценивая, киберпреступники делают примерно то же самое — делятся друг с другом информацией о нас с вами совершенно безвозмездно.
Кстати, тут-то появляется и некоторое дополнительное «окно для бизнеса» у преступников: если разрозненные данные, которые не являются значимыми по своему объему, пересобрать и обогатить из разных утечек, уже можно говорить о некоем ценовом предложении. Например, дешевле всего продается (но уже продается, а не раздается) стандартный набор персональных данных — ФИО, телефон, e-mail и дата рождения — из компаний сферы услуг, торговли, онлайн-сервисов и образования. Стоимость продаваемых данных начинает расти, когда появляются дополнительные сведения о человеке: например, паспортные данные, данные водительского удостоверения или страхового полиса, сведения о финансовых счетах и банковских картах, биометрические данные. Предложения о продаже данных среднего ценового диапазона до $10 000 чаще встречаются среди утечек из IT-компаний, финансовых организаций, госучреждений, медицинских организаций.
«Утек» паспорт — поменяю. А если глаз?
Помню свою реакцию, когда случилась первая утечка моих персональных данных (сервис, откуда утекло, уже и не вспомню, а вот ощущения все еще помню): удивление, растерянность и непонимание, что делать дальше. Потом была вторая утечка, потом третья-пятая-десятая, потом появились различные сервисы (типа Have I Been Pwned?), где можно в открытом доступе посмотреть свои собственные (да и не только свои) пароли, собранные из утечек разных лет и с разных сервисов.
Вопросы типа «А правда, что взломали сервис Х и оттуда утекли все данные? А там же мои паспортные данные… Мне надо бежать и его срочно менять?» от знакомых с разным уровнем знаний о личной кибербезопасности прилетают очень часто. И чаще всего в ответ хочется задать встречный вопрос: «А вы уверены, что после смены паспорта данные снова не утекут спустя пару месяцев?» Ладно — паспорт, телефон, банк, почту, да даже адрес места жительства — гипотетически можно поменять (сложно, но все же можно). А что делать с биометрическими данными, которые сейчас ради того, чтобы можно было, скажем, оплатить покупку улыбкой, собирают все большее число сервисов? Рано или поздно и эти данные окажутся в сети. А лицо каждый раз после очередной утечки не поменяешь…
Я со временем привык к историям о том, что каждую неделю откуда-то что-то утекает. И сейчас, анализируя различные утечки, я сам о себе могу составить довольно детальный образ: какие книги читаю, сколько баллов «Спасибо» накопил, сколько у меня детей и в какие учебные заведения они ходят, где живу, сколько денег трачу на еду. Уже даже просто энтузиасты (далеко не специалисты по кибербезу) стали делать различные «интересные» и очень удобные сервисы на базе утечек. Вспомните хотя бы известный сайт, красиво визуализирующий данные о сумме заказов по результатам утечки из «Яндекс Еды»: полтора клика, и получаешь полный набор аналитики по отдельной персоне — ФИО, точки присутствия, общий уровень дохода, предпочтения в еде. Забавно? Да. Но мошенникам, фокусирующимся именно на социальной инженерии, такие данные позволяют продолжать успешно втираться в доверие отдельным гражданам. Отмечу, речь идет об абсолютно открытом и бесплатном доступе к этой информации. А ведь этот сервис со временем еще и обогатился более чувствительными персональными данными.
Неперсональность персональных данных
Ни для кого не секрет, что большинство сервисов собирают информацию о своих пользователях. И ладно, если бы они собирали только ту информацию, которую пользователь явно указал. Но ведь аккумулируются значительно бóльшие объемы данных: активности, интересы, посещенные сайты, информация об устройствах, история серфинга в интернете и многое другое. Движение крупных компаний в сторону создания экосистем и платформ, использование ИИ и персонализация цифровых сервисов толкают компании к созданию BigData пользовательских данных. Безусловно, принимаются все возможные меры для защиты данных. Критические данные шифруются, например номера банковских карт. Хотя после очередной утечки выясняется, что не шифруются, а хешируются, да еще и старым алгоритмом, и в итоге номера карт на современном компьютере злоумышленник может перебрать за неделю.
Еще компании любят этими данными обмениваться — часто со своими подрядчиками, которые разрабатывают различные прорывные и бизнесовые системы. Да, при этом данные обезличиваются почти всегда, ведь таковы лучшие практики защиты персональных данных. В жизни же это условие нарушается практически всегда: каждая третья кибератака в этом году была направлена на подрядчика, через которого впоследствии атаковали более крупные компании. А главное, в таких атаках на доверенных подрядчиков, опять же, утекали данные, к которым они имели доступ по «долгу службы». При этом сторонний наблюдатель чаще всего уверен, что утекло из той самой, крупной и известной, компании (кто там следит за подрядчиками, на самом-то деле?).
При этом сейчас активно внедряют механизмы токенизации и отсутствия единой точки хранения данных. Казалось бы, это должно сделать хранение данных более безопасным. На деле же это очень сильно усложняет расследование инцидентов и понимание источника утечки и, как выясняется, совершенно не мешает киберпреступникам собрать весь массив данных. В интернете можно найти данные любого пользователя (более того, данные россиян, судя по всему, утекли уже минимум раза по три, и это скомпилировано в один документ — киберпреступникам даже глубоко копать не нужно). Кажется, что часть данных уже поздно защищать — они практически публичные и, в принципе, давно перестали быть персональными.
Защита, регулируемая рынком
На уровне государства более 15 лет назад даже принят ФЗ-152 «О персональных данных» (и их защите), а сейчас очень активно обсуждается введение оборотных штрафов за утечки персональных данных. Но если изучить предмет вопроса (ту самую неперсональность персональных данных), то напрашивается логичный вопрос: а не опоздали ли уже все эти меры? Особенно с учетом того, что мир киберпреступности активно изучает новую рабочую идею: собрать компиляцию из публичных данных и заняться шантажом компаний, которые могут получить оборотные штрафы. Речь даже не о репутации таких компаний. Доказать практически (на уровне расследования), что на самом деле утечки не было, — очень сложно, трудоемко и требует высочайшего уровня компетенций от ИБ-специалистов. Сделать это смогут буквально три-четыре команды в стране — истины ради, их на все кейсы просто не хватит.
Что делать, спросите вы? Наиболее удачный механизм в этом случае нам предлагает классика рыночных отношений: у клиента (потребителя) цифровых сервисов должен сформироваться строгий запрос на защищенность сервисов и его данных, обрабатываемых этими сервисами. Когда защищенность станет конкурентным преимуществом, основанием для выбора в пользу, скажем, одного из нескольких сервисов доставки еды, условия работы с данными и их сохранность поменяется сама собой.
Уже сейчас пользователь может оценить любой сервис с точки зрения его работы над своей защищенностью: а были ли у него инциденты с кибератаками? Как компания на них реагировала: отрицала или откровенно рассказывала, что предпринято для устранения инцидента, его последствий, чтобы избежать его повторения? Проводит ли компания публичный поиск уязвимостей и сценариев кибератак, в ходе которых могут утечь данные? Такой поиск, и правда, может быть публичным — информация о нем может быть легко найдена, например, на отечественных площадках баг баунти (Вug Вounty, программы по поиску уязвимостей).
Пока ответы на эти вопросы можно найти буквально у единиц компаний. Но до тех пор, пока мы не начнем их задавать, наши данные так и будут не нашими.
Мнение редакции может не совпадать с точкой зрения автора