Игра без дублера: как сделать утечки личных данных бесполезными

Государство серьезно озабочено сохранностью персональных данных граждан. Утечка персональной информации ведет к прямому и косвенному ущербу в различных отраслях экономики — с 1 сентября электронные ресурсы будут обязаны задавать гражданам отдельный прямой вопрос о согласии на передачу их данных. О перспективных методах защиты персональных данных на государственных и частных порталах и в соцсетях — в материале «Известий».

С весны текущего года в России заработал закон, запрещающий свободное распространение личной информации граждан операторами персональных данных, к которым относятся государственные сервисы и другие ресурсы, в том числе соцсети. Отныне россияне сами решают, с какими площадками и как долго они готовы делиться самым сокровенным. Но длинные «простыни» текста мелким шрифтом, под которым пользователь часто автоматически ставит согласие, едва ли оздоровили ситуацию с хаотичным оборотом личной информации. Поэтому с 1 сентября интернет-ресурсы обязаны задавать отдельный прямой вопрос — согласны ли пользователи делиться данными о себе.

«Закамуфлировать этот момент, как многие делали раньше, не получится», — сказал депутат Госдумы Антон Горелкин.

Напомним, к персональным данным относятся анкетные данные (ФИО, дата и место рождения, адрес регистрации), номер мобильного телефона, электронная почта, аккаунт в соцсетях, паспортные данные, СНИЛС, сведения о детях, близких родственниках, зарплате, судимостях, биометрические данные и изображение, позволяющее идентифицировать человека.

Тянут на себя: мошенники взламывают аккаунты россиян на «Госуслугах»

Для чего используются украденные учетные записи

Новое золото

Настоящим Клондайком личной информации можно назвать государственные сервисы, например «Госуслуги», где хранятся не только реквизиты документов, но загружены и их фотокопии. Как ранее писали «Известия», в стране участились случаи взлома аккаунтов главного портала государственных услуг, в даркнете цена на странички с данными пользователей колеблется от 4 до 40 рублей за штуку оптом.

— Данные с сервисов государственных услуг представляют большой интерес для криминального мира, так как позволяют от вашего имени оформить кредит, купить недвижимость криминальным путем, — рассказал «Известиям» руководитель компании «Код безопасности» Андрей Голов. — Кибермошенники давно научились монетизировать эти данные — уже есть прецеденты с подделкой электронной цифровой подписи, зафиксированы кражи баз данных о лицах, получивших микрозаймы.

Фото: ТАСС/Кирилл Кухмарь

Заоблачная угроза: с начала года появилось 7 тыс. доменов, маскирующихся под iCloud

Как они угрожают и российским пользователям техники Apple

Ключевая сверхзадача — найти инструмент, позволяющий стопроцентно идентифицировать человека, обращающегося за услугой удаленно. По мнению Голова, государство в курсе проблемы и работает в этом направлении.

— Например, электронный паспорт создается не просто так — этот инструмент будет завершающим элементом в конструкции идентификации, аутентификации и авторизации, — говорит Голов.

Основной проблемой при использовании цифровых технологий населением он считает обучение и сам процесс вхождения новой методики в жизнь.

— Ведь в стране нашей проживает 150 млн людей, и каждый рубль, вложенный в технологию, превращается в девятизначное число.

Не слишком ли быстро

Особенно активны в развитии комфортных и быстрых способов оплаты представители бизнеса. В спешке разработчики нередко пренебрегают требованиями безопасности. Большие споры возникают у экспертов по поводу удаленной идентификации по голосу — существует вероятность использования злоумышленниками ботов, имитирующих речь конкретного человека. В мире уже случалось, когда подобные махинации становились инструментом хищения больших сумм.

Фото: Depositphotos/leungchopan

— У нас за технологию безопасности отвечают спецслужбы — поэтому определение безопасности той или иной технологии должны давать не диванные эксперты, а специалисты. Есть требования, сформулированные регулятором, и должна быть специальная сертификация. Пример из практики: мы занимались технологией удаленного кредитования (в начале прошлого десятилетия). Одним из инструментов интерфейса системы были планшеты Wacom — они широко используются сегодня за границей, например, в гостиницах — можно расписаться прямо пером по тачпаду. Это у них приравнивается к обычной подписи. Мы думали над аналогичным подходом для ряда банков. Иными словами, хотели сделать из каллиграфической подписи уникальный криптографический ключ. Идея вроде бы шикарная — читаешь документ, ставишь подпись, и она словно вклеивается в документ, не нужно ничего распечатывать. Но проект не прошел. В спецслужбе нам объяснили, что криптографическая стойкость такой подписи низка. А там люди знают, о чем говорят, — рассказывает Голов.

Плати бесследно: россияне смогут удалять данные карт со сторонних сайтов

Как новая функция Visa поможет бороться с утечками данных и нежелательными списаниями

Между тем Голов оценивает рынок банковских клиентов в России как один из самых развитых в мире.

Кто есть кто

Еще одна точка риска — удаленные финансовые операции, в частности открытие кредитных линий в один клик. «Известия» неоднократно писали о проблемах, возникающих при получении кредита дистанционным способом, — злоумышленникам неоднократно удавалось оформлять займы и делать покупки в долг по чужим данным, из-за чего у настоящих владельцев документов возникала масса сложностей. Банки неохотно восстанавливают справедливость. Нужны ли, в принцип, такие чрезмерные упрощения протоколов безопасности?

— Работа по ограничению таких рискованных услуг, насколько мне известно, ведется, — говорит Андрей Голов. — Но активные действия начинаются у нас тогда, когда подобные инциденты достигают критической массы. Только когда уровень мошенничества начинает зашкаливать, начинают принимать законы. Так было, например, с электронной цифровой подписью — ограничивать сделки с помощью этого инструмента начали только после того, как мошенники сумели с помощью ЭЦП продать несколько квартир.

Фото: ИЗВЕСТИЯ/Алексей Майшев

Только между нами: как обнаружить незаконное прослушивание

Эксперты дали советы, как обезопасить себя от перехвата конфиденциальных данных

Одними из первых электронные паспорта смогут оформить москвичи — уже с 1 декабря текущего года. По всей России — не позднее 1 июля 2023 года. Для того чтобы получить паспорт с электронным носителем, понадобится сдать биометрические данные (изображение лица, отпечатки двух пальцев рук), установить мобильное приложение, которое можно использовать вместо бумажного документа в случаях, установленных подзаконными актами. После оформления смарт-карты бумажный паспорт станет недействительным.

Госинструкция

В конце августа портал «Госуслуги» в новом разделе дал 14 советов о том, как защититься от мошенников. Рекомендуется не сообщать персональные данные платежных инструментов и SMS-пароли для трансакций, завести отдельную карту для покупок. Портал советует заходить в личный кабинет исключительно через защищенные каналы Wi-Fi, пользоваться двухфазной идентификацией, уведомлениями обо всех финансовых операциях и поставить на смартфоны специальные приложения, отсеивающие спам-звонки, а также антивирусные программы из официальных магазинов приложений.