Как можно от этого защититься, рассказала эксперт по информационной безопасности Наталья Касперская
Евгений ПРОСКУРЯКОВ
За ними следят все. И программы, и мобильные приложения, и социальные сети.
Фото: Shutterstock
У вас бывает чувство, будто за вами следят? Поздравляю: вам это не кажется. За вами действительно следят - ваш собственный телефон, компьютер и даже телевизор.
Электронные устройства, социальные сети, поисковики, почтовые сервисы – все они следят за каждым из нас и бессовестно используют наши личные данные в своих целях. Зачем они за нами шпионят, как именно они это делают и можно ли защитить от них нашу персональную информацию? Об этом мы поговорили с Натальей Касперской, президентом группы компаний InfoWatch, экспертом по информационной безопасности.
Нам всем стоит следовать правилам цифровой гигиены от Натальи Касперской (см. таблицу). Фото: Личный архив
НОВАЯ НЕФТЬ
- Наталья Ивановна, словосочетание «персональные данные» сейчас очень модно, оно звучит из каждого утюга. Что это вообще такое - персональные данные?
- По закону «О персональных данных», это любая информация, прямо или косвенно относящаяся к физическому лицу и позволяющая его как-то определить. Толкование очень широкое и больше никак это понятие в законе не разъясняется. Получается, персональные данные - это практически любая информация о человеке. От ФИО и других паспортных данных, номера телефона до фотографии – все, что определяет личность.
Однако есть довольно большая категория данных, которые не определяют человека прямо, но позволяют его однозначным образом вычислить. Например, данные с видеокамер на улицах, поисковые запросы (особенно совмещенные с геолокацией), почтовые сообщения и пр. Эти данные не считаются персональными и находятся как бы в серой зоне. Их можно называть большими пользовательскими данными.
- Кто собирает наши данные?
- Данные собирают все, кто может до них дотянуться, причем в неограниченном объеме. Это и электронные коммуникационные устройства, и программы, и мобильные приложения, и социальные сети.
Возьмем для примера смартфон. У смартфона есть ваши сообщения, фотографии, переписка, записи в заметках; он знает ваши интересы и круг знакомых, имеет доступ к данным ваших приложений и даже может анализировать движения. В смартфон встроен специальный очень чувствительный датчик движения – акселерометр. Он измеряет положение устройства в пространстве, отвечает за разворот экрана, чувствует все движения. Вы наверняка замечали, что ваш смартфон меряет число шагов – он это делает при помощи акселерометра. Для доступа к акселерометру приложению не нужно спрашивать разрешения, к нему по умолчанию имеют доступ все программы и приложения. А значит, если к нему подключиться, можно узнать, когда человек спит, ходит на работу, бегает, можно даже с помощью обученной нейронной сети определять буквы, которые пользователь вводит с клавиатуры.
Что касается социальных сетей, то им человек сам отдает информацию о себе, включая фото, видео, локации, рассказы о покупках, пристрастиях, интересах, хобби, пороках и т.п. При этом важно понимать: всё, что вы пишете в соцсетях, остается там навсегда. Даже если вы написали сообщение и тут же удалили его, оно все равно сохранится у владельца социальной платформы и у многих других наблюдателей, при желании его можно оттуда достать. Никто и никогда не стирает информацию, потому что ее хранение сейчас стоит дешево, а данные - это ценность, это новая нефть.
Умные телевизоры. Каждый современный телевизор имеет встроенную камеру. Она распознает жесты, предметы, лица. Кроме того, в телевизоре есть микрофон и программа, распознающая речь. Если телевизор подключен к интернету, все эти данные будут передаваться вовне. Получается, у вас в гостиной или спальне находится шпион, который следит за всем, что происходит в вашей комнате, а потом куда-то эту информацию отправляет. Для частного пользователя в квартире это просто неприятно, а в офисе или госучреждении – недопустимо. Поэтому на работе телевизор нельзя подключать к интернету или нужно заклеивать камеру и микрофон.
Но активнее всех данные собирают так называемые платформы или «экосистемы». У них самые широкие линейки сервисов, они собирают о нас множество самых разных данных и имеют больше всего возможностей на нас повлиять.
Яндекс и Google – яркий пример «экосистем». У этих компаний множество сервисов и приложений: поисковик, почта, карты, новости, навигатор, платежная система и т. д. Со всех этих сервисов они собирают данные о своих пользователях. Сводя всю информацию воедино, они могут делать о человеке самые глубокие выводы. Они могут знать ваше имя и фамилию, ваши интересы, политические пристрастия, семейное положение, болезни, где вы живете, кем работаете, с кем связаны... И Google, и Яндекс анализируют содержание ваших писем, которые вы отправляете через их бесплатную почту и показывают вам рекламу. Вы оказываетесь завалены навязчивой, «соответствующей вашим интересам» рекламой не только на всех проектах платформы, но и на сторонних сайтах.
НАС ВСЕХ ПРОДАЛИ
- И зачем они все это собирают? Наталья Ивановна, признаюсь честно, для меня вся эта шумиха вокруг защиты данных порой отдает паранойей. Когда я об этом слышу, перед глазами встает карикатура: сидит дед в деревне и трясется, что его драгоценные персональные данные попадут в лапы Марка Цукерберга и тот начнет за ним следить… Я еще понимаю, когда ты министр или директор крупной компании. Но обычным людям чего бояться?
- Причин бояться несколько. Первое - навязчивая, но довольно точная реклама товаров, соответствующих вашим интересам, поэтому он них сложно отказаться. Второе - возможный доступ мошенников к этим данным. Представьте, что к ним попала информация про пенсионера, который тяжело болен, находится в отчаянии. И шарлатаны втюхивают ему бесполезные БАДы по заоблачной цене под видом чудодейственных лекарств. Это очень распространенная мошенническая схема. Третье – это инструмент возможной манипуляции вами со стороны пропагандистов, политиков, экстремистов.
- То есть главная опасность для простого человека - это навязчивая реклама.
- Не только. Использование данных о человеке может привести к его цифровой дискриминации. Например, девушка ищет в интернете товары для беременных. А при устройстве на работу ей отказывают, зная, что она скоро уйдет в декрет, потому что поисковая платформа собрала данные о ее запросах и кому-то продала. Такой отказ по основанию беременности прямо запрещен уголовным кодексом.
Надо понимать, что бесконтрольный анализ личных данных может начинаться с, казалось бы, мелочей, но может дойти до полного цифрового контроля над личностью. Например, вам откажут в кредите по непонятным для вас причинам, потому что банк нашел о вас информацию, которая ему не понравилась. Потом эта информация попадет в бюро кредитных историй и вам начнут отказывать другие банки. Концов вы не найдете – ни кто запустил эту цепную реакцию, ни по какой причине. Или, допустим, вам откажут в приеме на работу по причине заболевания, которое можно вычислить по вашим запросам, покупкам в аптеках и посещениям сайтов. Или по причине ваших политических взглядов.
- Разве платформа станет торговать данными своих пользователей? Это ж не злоумышленники, которые воруют базы данных...
- Еще как станет. Недавно мне пришла рассылка одного сотового оператора (Наталья Касперская переслала его нам, преинтереснейший документ, - Ред.). Он предлагает рекламным агентствам и рекламодателям широкий спектр данных своих абонентов: их интересы, звонки, поисковые запросы, передвижения и т. д. В коммерческом предложении компания без стеснения рассказывает, как она собирает данные клиентов: например, наш абонент живет в новостройке, ищет в интернете информацию о плитке для ванн, звонит в строительные компании, несколько раз ездил в магазин стройматериалов. Мобильный оператор все это отследил, свел, проанализировал и делает вывод: абонент планирует ремонт квартиры, и ему нужны соответствующие товары.
Получается, сотовый оператор дважды наживается на своих абонентах - сначала берет с них деньги за связь, а потом продает на сторону их данные (вы такого разрешения не давали или вам его подсунули незаметно). Так что тут никакие злоумышленники не нужны. Вас и так продадут безо всяких злоумышленников.
- А как же галочка в пункте «Согласен на обработку персональных данных», которую мы всегда ставим при заключении договора? Ведь понятие «обработка» - очень размытое.
- Согласие, которое мы даем платформе на обработку своих персональных данных, по закону 152-ФЗ, предусматривает использование этих данных только в соответствии с заявленной целью. Если же данные используются с какой-то другой целью (например, продажа на сторону), то это прямое нарушение закона. К сожалению, у данного оператора, видимо, не было прецедента, чтобы кто-то подал на него в суд за такое наглое использование личных данных. Да, и честно говоря, штрафы за нарушения закона о персональных данных не очень велики.
- Информация о наших поисках в интернете относится к персональным данным?
- По закону любые данные, определяющие человека, относятся к персональным. Только пока за это не наказывают. Хотя по поисковым запросам можно много чего о человеке вычислить, и вычисленные данные могут быть чувствительнее персональной информации - скажем, вашего имени или телефона. А если к поисковым запросам человека добавить данные о его поездках и звонках, информацию из электронной почты и т. д., то о нем станет известно абсолютно все. И это позволяет манипулировать человеком.
Бесконтрольный анализ личных данных может дойти до полного цифрового контроля над личностью. Фото: Bilderbox/Global Look Press
ЦИФРОВОЙ АПОКАЛИПСИС
- С мобильными операторами и платформами теперь все понятно. А государство, оно тоже за нами шпионит?
- Государство собирает о нас огромный объем информации. Это базы данных больниц и поликлиник, «Госуслуг», органов МВД и многих других ведомств, а также госкорпораций вроде РЖД или Сбербанка. Камеры наблюдения на дорогах, на улицах городов, в транспорте и торговых центрах тоже входят в эту систему. Этот сбор - законный, но вопрос в том, кто имеет право доступа к этим данным и как его использует. Доступ к ним имеет большая армия чиновников, сисадминов, программистов, мы не знаем, какие обязательства по защите данных они давали. И это создает почву для нарушений: продажи данных, утечек, шантажа, мошенничества.
Чем больше данных накапливается у государства и частных компаний, тем сильнее они могут на нас влиять, манипулировать нами, вторгаясь в нашу личную жизнь. Мы и так уже живем в прозрачном пространстве и движемся в сторону еще большей прозрачности.
- А ведь случаются еще и утечки, когда данные воруют у тех же операторов или из государственных баз данных и продают в интернете.
- Продажа баз данных – это давняя история, она тянется десятилетиями. Еще в 90-х на рынках торговали компакт-дисками с базами данных ГАИ или городской телефонной сети. Сейчас эта проблема никуда не делась, только данных стало больше. Раньше эти базы были простыми: адрес, телефон, номер машины... А сейчас информации можно украсть или вычислить гораздо больше.
- А как может выглядеть утечка персональных данных?
- Есть очень много видов утечек информации, и утекает она по разным каналам – например, ее могут записать на флешку, загрузить на жесткий диск, сфотографировать на камеру смартфона с экрана, выгрузить в облако, скачать из взломанного сотового телефона... Самой большой проблемой с точки зрения защиты информации являются смартфоны. Данные из них утекают многими способами. И защита информации на смартфоне технически очень сложна.
- Если все данные вот так утекут в общий доступ – чем это грозит?
- Для предприятия последствия могут быть катастрофичными – вплоть до потери бизнеса, например, когда важная информация уходит к конкуренту. Для человека же потеря данных может привести к цифровой дискриминации: отказ в трудоустройстве, получении кредита, приеме в ВУЗ и так далее.
ЧЕМ FACEBOOK СТРАШНЕЕ «ОДНОКЛАССНИКОВ»
- В последнее время власти все громче говорят о том, что доступ к персональным данным россиян опасно давать именно иностранным сервисам. А российским вроде и не так страшно. Facebook действительно опаснее «Одноклассников»?
- С точки зрения защиты персональных данных это примерно одно и то же – и российские, и зарубежные сервисы стараются собрать о нас побольше информации. Но иностранные платформы более развитые, они собирают гораздо больше данных, чем наши, лучше умеют манипулировать людьми. Кроме того, данные хранятся и обрабатываются за пределами нашей страны и вне зоны действия наших законов.
- Это точно не очередная страшилка о «происках Запада»?
- Эта «страшилка» имеет не личный характер, а является угрозой для национальной безопасности. Когда все данные о россиянах известны иностранной компании или государству, оно может ими управлять - например, доставлять нашим гражданам сообщения, которые будут создавать панику, вызывать массовые беспорядки.
За примерами далеко ходить не нужно. Недавно все мы наблюдали ситуацию, когда детей насильно вовлекали в политику, а иностранные платформы активно участвовали в этом вовлечении. И YouTube, и Facebook, и TikTok специально продвигали среди подростков тот контент, который побуждал их выходить на незаконные митинги. Заметим, что вовлечение несовершеннолетних в политику – незаконно.
Если бы подобными вещами занимались российские интернет-сервисы, на них можно было бы повлиять, потребовать удалить ненадлежащий контент или не продвигать его. Но зарубежные платформы игнорируют требования наших регуляторов. У них зачастую даже представительств в нашей стране нет - Facebook, Twitter, Instagram не имеют офиса в России. Поэтому наши законодатели недавно приняли целый пакет законов об ответственности за контент. Очевидно, будут приняты законы о необходимости иметь представительство в нашей стране для всех, кто занимается коммерческой деятельностью в Рунете. В Европе, кстати, такие законы уже есть. И штрафы там за отказ удалять незаконный контент – до 10 процентов годового оборота.
- А вы сами пользуетесь соцсетями, мессенджерами?
- Соцсети я использую для публичного вещания, публикации новостей или мыслей для широкой аудитории. А с друзьями предпочитаю общаться лично или по телефону. В качестве мессенджера я использую Телеграм, просто потому что многие коллеги и чиновники ИТ-сферы его используют. Но я не отправляю и стараюсь не принимать через него конфиденциальные документы.
Раньше у меня еще был аккаунт в Facebook. Но мне очень не понравилась безобразная история с блокировкой Дональда Трампа. Я считаю, что не должно быть частной цензуры, платформа не должна решать, кому давать слово, а кому – не давать. Да и с защитой данных у них не все в порядке. Поэтому я оттуда ушла во ВКонтакте, на российскую платформу. К тому же я председатель ассоциации разработчиков программных продуктов, которая борется за импортозамещение. Вот я и решила импортозаместиться.
СПАСЕНИЕ УТЕКАЮЩИХ ДАННЫХ
- Наталья Ивановна, и что со всем этим делать? Как защитить свои данные?
- Используя средства интернет-коммуникации, гарантированно защитить информацию нельзя. Но можно снизить риск, соблюдая некоторые правила цифровой гигиены (подробнее см. «Наша справка»). Здравый смысл и обычную осторожность тоже никто не отменял. Мой совет: когда вы что-то публикуете в публичных сервисах (соцсетях, мессенджерах), скажите себе - я отправляю это всем и сразу. И уже исходя из этого принимайте решение, размещать информацию или нет. Вы бы хотели, чтобы об этом узнали все? Эта информация может вам навредить? Все мы знаем примеры, когда человек посылал личное сообщение с неким видео, а потом оно внезапно становилось публичным, и весь Рунет это обсуждал.
- А как защитить детей от манипуляций? Утечка данных - далеко не самая серьезная опасность, которая грозит детям в интернете...
- Для детей главные опасности – цифровая зависимость, выработка клипового мышления, привычка жить в виртуальной реальности, а также вовлечение их в деструктивные группы в социальных сетях профессиональными манипуляторами. Построена целая воронка вовлечения: сначала ребенок случайно попадает в группы относительно мягкой направленности – черный юмор, шок-контент, злое аниме. В этих группах прощупывают, какая тематика больше зацепит пользователя: наркотики, агрессия, суицид, опасные игры и челленджи, скулшутинг (школьные расстрелы) и т. д. Тех, кто заинтересовался, приглашают в более жесткие группы. Они закрытые, там выстроена иерархия, человеку присваивается уровень или звание, в них ему начинают давать задания. И если человек их выполняет, то далее его «выводят в офлайн» - он должен совершить что-то плохое уже в реальной жизни.
У нас есть мощная аналитическая система, анализирующая все соцсети в России. Наши отчеты показывают: вовлеченность детей в деструктивные сообщества быстро растет год от года. Наш анализ показывает, что каждый второй подросток в Рунете в 2020 году испытывал на себе воздействие деструктивных движений. В некоторых движениях состоят миллионы подростков. К счастью, одно из самых массовых движений – А.У.Е (движение уголовной романтики) летом 2020 было признано экстремистским, в том числе благодаря нашим усилиям.
В борьбе с этим явлением очень важна роль родителей. Во-первых, не спешите давать ребенку смартфон. Чем позже он получит смартфон и войдет в соцсети, тем лучше. Конкретный возраст не назову: все зависит от уровня осознанности каждого ребенка, от его способности себя контролировать. А во-вторых, родители обязательно должны быть подписаны на все соцсети ребенка. Они должны знать, в каких группах он состоит, что он в них делает, с кем там общается. И, конечно, нужно занимать ребенка чем-то другим в реальной жизни – спортом, кружками, походами, полезным трудом.
- Государство собирается защищать нашу персональную информацию? Или спасение утекающих данных – дело рук самих утопающих?
- Весной в Конституцию РФ нашей группой по подготовке поправок была внесена поправка о том, что защита данных российских граждан находится в федеральном ведении. Я предложила эту поправку, поскольку она дает юридическую основу для принятия закона, защищающего данные граждан. Сейчас на эту тему идут жаркие дискуссии. Есть два противоположных взгляда. Первый - любую информацию, касающуюся гражданина, признать персональными данными и подвести под действие 152-ФЗ (примерно, как закон GDPR в Европе). Второй – признать личные данные, собранные платформами, их собственностью и разрешить делать с ними, что угодно (как в США). Истина, как всегда, где-то посередине. Надеюсь, все заинтересованные специалисты примут участие в обсуждении, и закон, защищающий большие пользовательские данные, будет создан.
ИЗ ДОСЬЕ «КП»
Наталья Касперская окончила Московский институт электронного машиностроения по специальности «Прикладная математика». В 1997 году Наталья с первым мужем Евгением Касперским основали «Лабораторию Касперского»: компанию-разработчика систем защиты от компьютерных вирусов, спама, хакерских атак и других информационных угроз. С 1997 по 2007 год работала генеральным директором «Лаборатории». С 2007 года – генеральный директор компании InfoWatch, которая специализируется на информационной безопасности и защите данных. Занимает 17 место в списке богатейших женщин России по версии Forbes с состоянием 270 млн долларов. Председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт».
НАША СПРАВКА
Правила цифровой гигиены Натальи Касперской.
Читайте на
Комментарии (11)