СДЭК подтвердил факт утечки базы данных своих клиентов. В открытом доступе оказалась личная информация более ста тысяч пользователей. Как обезопасить себя от последствий таких сливов? Об этом телеканал «МИР 24» спросил эксперта по кибербезопасности Павла Мясоедова.
– По данным СМИ, в сеть были слиты имена и фамилии пользователей, логины и пароли, телефоны, адреса электронной почты, даты рождения и даты создания профилей. Чем это грозит клиентам СДЭК?
Павел Мясоедов: Да, действительно, в последнее время учащается количество больших утечек данных из крупных компаний. Это во многом связано с некомплексным подходом к системам безопасности со стороны крупного бизнеса.
Что касается самих пользователей, то, на самом деле, риски могут быть достаточно велики. Особенно если речь идет о базах данных компаний, которые, в том числе, проводят через себя финансовые платежи. Когда мы оплачиваем ту или иную покупку, у нас обычно вылетает так называемое факторинговое окно, куда мы вбиваем данные нашей кредитной карточки, после чего происходит оплата. Но очень многие компании пытаются внедрить эту систему гораздо глубже в свои сайты для создания так называемого «бесшовного опыта» для того, чтобы пользователю было удобнее. Но именно за этим «бесшовным опытом» следуют достаточно высокие риски, связанные, в том числе и с хранением финансовых данных.
Да, иногда хакеры атакуют напрямую такие системы. Ищут так называемые бэкдоры или уязвимости. Но это не очень распространенный случай, потому что это стоит очень много денег. Хотя, такие ситуации тоже происходят.
– А какой фактор, на ваш взгляд, опаснее. Человеческий или технический?
Павел Мясоедов: Комплексно. Информационные технологии – это как раз смешение человеческого фактора, то есть мира офлайн и онлайн. То есть у вас есть хорошие программные продукты, которые увеличивают безопасность в целом информационной системы, у вас есть программные продукты, которые не дают происходить сливам в массовом ключе. У вас есть даже программные продукты, которые следят за сотрудником. Ну то есть без их ведома, сотрудники об этом подписывают договор с компанией, эти программные продукты следят, чтобы сотрудник не воткнул флэшку, не скачал какие-нибудь конфиденциальные корпоративные документы, чтобы этот сотрудник даже периодически не фотографировал экран. То есть туда встраивают решения, которые мониторят со стороны действия сотрудника и так далее.
Но, во-первых, этот продукт сообщит вам уже постфактум об этом. А во-вторых, программные продукты бывают настолько сложными и комплексными, а некоторые программные продукты в этих компаниях установлены достаточно давно, ими пользуются, но их уже не обновляют, что так или иначе существуют какие-то бреши. Поэтому в безопасности, cyber security, в целом комплексные системы, как видите, работают не очень хорошо, работают лишь их части.
– По словам представителей компании, она сейчас работает над, цитирую, «внедрением мер по недопуску распространения украденной информации». Можете предположить, что это может обозначать?
Павел Мясоедов: При все уважении к компании СДЭК, в данном случае это, скорее, красивые слова. Потому что, если утечка произошла и она уехала в даркнет, то компания практически ничего сделать не сможет. В лучшем случае, она сможет купить эту базу данных и посмотреть, в какой части произошла утечка, и подтереть эти данные уже в своих собственных так называемых контейнерах данных и предупредить пользователей о возможных рисках.
Постафктум обычно уже ничего сделать особенно нельзя. Есть компании, которые работают с деловой репутацией. Есть cyber security компании, занимающиеся так называемым threat intellegence, которые мониторят уже постфактум какие-то риски. Но это очень кропотливая и долгая работа. Обычно базы данных продаются уже каким-то третьим лицам, каким-то потенциальным преступникам или, в лучшем случае, каким-нибудь серым маркетологам. Продаются и, соответственно, этот мошенник или бывший сотрудник, или даже действующий сотрудник, который продал, зарабатывает деньги, и его никто не найдет. Либо вы найдете, но это уже не очень поможет делу.
Поэтому к безопасности надо внимательно относиться до момента утечки. И поэтому сейчас активно на уровне Минцифры, на уровне разных законодательных органов обсуждается привлечение к ответственности компаний за утечки информации, персональных данных. Потому что мы сейчас знаем, что какая-нибудь крупная компания с оборотом даже в миллиарды долларов, или сейчас мы говорим, переводя на рублевую зону, в десятки миллиардов рублей, мы знаем, что эта компания в случае массовой утечки данных платит лишь 100 тысяч рублей штрафа. Естественно, это ненормально, штрафы должны быть оборотными, с какими-то определенными градациями согласно вине компании. И вот как раз такого рода оборотные штрафы обсуждаются. Иначе, как мы видим, эти компании просто в должной мере не относятся серьезно к вопросам кибербезопасности.
– И тогда последний вопрос: что самое главное при защите своих персональных данных? Как свести риски их утечки до минимума?
Павел Мясоедов: Если вы не публичный человек, то начинать надо, конечно, с отдельного платежного инструмента для онлайн покупок. Я говорил ранее, что существует отличный инструмент, который предоставляют практически все крупные банки России, – это так называемая электронная дебетовая карточка. Вы ее создаете отдельно в своем кабинете. Вам даже не нужно ее иметь в физическом виде. Соответственно, вы на эту карточку ставите определенный лимит, например, три-пять тысяч рублей в зависимости от того, какой размер покупок вы обычно осуществляете, то есть какие суммы вы обычно тратите. И вы знаете, что при самом худшем сценарии максимальный риск для вас – эта сумма. Просто мошенник не сможет снять больше денег с вашего финансового инструмента. Для большинства людей, если это не публичная личность, этого, в принципе, более-менее достаточно. Потому что для большинства людей самое чувствительное – это вопрос денег.
Если вы публичный человек, или вы так или иначе заботитесь о своей репутации, здесь имеет смысл создавать отдельный никнейм для сайтов. И задача состоит в том, чтобы развести вашу реальную идентичность с вашей виртуальной. Чтобы в интернете было как можно меньше данных, действительно указывающих на вас как на физическое лицо.