Эксперт Алексей Раевский рассуждает о том, пережил ли Рунет 21 августа крупнейшую атаку за последние два года:

Удивительно, что целью атаки названы операторы связи. Не уверен, что это наиболее правильное объяснение произошедшего – тут есть несколько странностей. Во-первых, крупнейшая атака не может длиться столь короткое время – она может продолжаться от десятков часов до нескольких суток. Короткие атаки, безусловно, тоже бывают, однако их нельзя считать какими-то исключительными и супермасштабными, да и просто серьезными.

Во-вторых, странной выглядит мысль о том, что целью атаки были много операторов связи. DDOS-атаки устроены так: множество, иногда миллионы компьютеров направляют запрос по одному адресу – скажем, на какой-то сервер. Когда количество запросов его перегружает, он зависает и не может обслуживать запросы. Если же целей сразу много, плотность обращений на каждую оказывается меньше, то есть атака делается менее эффективной. В принципе, атака на несколько целей также возможна, но на традиционный почерк это не похоже. Выглядит она нетипично.

Есть ли что-либо, что могло бы вызвать то, что мы наблюдали вчера – не очень долго длящееся, но массовые проблемы с доступом к разным сервисам? Да, есть. Существует версия, что проблемы с доступом вызвало оборудование, которое отвечает за блокировку нежелательных ресурсов. Это своего рода универсальный инструмент, который устанавливается у всех провайдеров, но управляется не ими. Провайдеры не имеют доступа к управлению таким оборудованием – по сути, для них это «черный ящик», который влияет на прохождение трафика.

Управляются эти инструменты централизованно – в них загружают данные о том, какие именно ресурсы нужно блокировать. Возможно, произошла ошибка в конфигурировании этого оборудования либо прошло некое его тестирование. Подтвердить эти версии мы, понятное дело, не сможем, но теоретически подобные происшествия имели бы именно такие последствия.

Повторю: хакерская атака как причина происшедшего не исключается, но на самую масштабную она, безусловно, не тянет – уж очень быстро ее отразили и очень необычно количество избранных для нее целей.

Эксперт Алексей Раевский рассуждает о том, что контроль за организациями, использующими биометрию, ужесточат:

В основном предложения по усилению контроля сводятся к тому, чтобы проверить, действительно ли у организации есть нужные специалисты. Дело в том, что в требованиях, которые нужно выполнить для аттестации таких организаций, обычно есть пункт о наличии в ней специалистов по информационной безопасности с определенным уровнем подготовки, то есть организация должна либо искать такие кадры, либо отправлять собственных сотрудников на переподготовку, что занимает не так уж мало времени.

Поэтому некоторые организации, как я уже слышал не раз, прибегают для прохождения аттестации к такому методу: принимают на работу людей на время – грубо говоря, на период проверок для получения лицензии или аттестации, а потом увольняют. Может быть, сразу договариваются, что это будет работа на 3 месяца, например. В результате формально аттестацию они проходят, но фактически требования, обязательные для их работы, не выполняются. И насколько при этом страдает безопасность данных, остается только догадываться.

Есть ли какая-то специфика сферы деятельности, которая не позволяет человеку не одновременно работать в двух таких организациях на должностях из сферы обеспечения кибербезопасности? Формально нет, но обычно компании в требованиях прописывают, что им нужен специалист на полную рабочую ставку. Все же это работа, которая не предусматривает совмещения – на него просто нет времени. Поэтому если проверка обнаружит, что один и тот же специалист трудоустроен в нескольких таких компаниях, можно не сомневаться, что работает он в одной, а в прочих только числится.

В связи с этим, кстати, не исключено, что в случае разрешения совмещений мы увидим подобие махинаций с пропиской, когда в однокомнатной двадцатиметровой квартире прописано 50 человек. А в сфере информационной безопасности введение в заблуждение чрезвычайно рискованно.

Действительно ли для нас уже необходимо ужесточение контроля в этом вопросе? Тут, я думаю, виднее регулятору. Но тот факт, что такая практика существует, известен. И еще более широко известна проблема в получении аккредитаций и разрешении из-за того, что в штате компании нет специалистов с соответствующим дипломом.

Эксперт Алексей Раевский рассуждает о том, что ЦБ попросили обязать банки использовать телефонные номера не длиннее пяти цифр:

Есть технологии подмены номеров. Были случаи, когда мошенники звонили с номера 900. Это сейчас не очень просто, но если других вариантов не будет, то эту технологию мошенники тоже будут использовать. Во-вторых, у потенциальных жертв мошенников снижено ощущение потенциальной опасности. Они доверчивые люди. И если им звонит «специалист из службы безопасности банка», и они этому верят, то, думаю, номер здесь мало поможет. То есть жертвы мошенников настолько доверчивые люди, что они просто не среагируют на такой момент, как короткий телефонный номер или длинный.

Третий аспект — это то, что мошенники все время меняют свои сценарии. Вчера это были «сотрудники службы безопасности банка», сегодня это «сотрудники Центробанка» или «сотрудники правоохранительных органов», из МВД или Следственного комитета. И от них пятизначных или трехзначных телефонных номеров никто не ждет. И кем мошенники представятся завтра, трудно спрогнозировать.

Поэтому, считаю, что предлагаемые меры – это реактивная история, которая учитывает поведение мошенников вчера и сегодня, но не учитывает их поведение завтра. Поэтому я к такой инициативе отношусь скептически. Я думаю, что Центробанк не будет рекомендовать использовать пятизначные номера, так как смысла здесь немного.

Эксперт Алексей Раевский рассуждает о том, что регионы запускают тестирование госсистем на уязвимости:

В принципе, это распространено достаточно широко – по сути, все это практикуют, просто в разных формах. Если у вас есть информационная система, ее нужно время от времени проверять (называя вещи своими именами, пытаться ее взломать). Здесь никаких споров и обсуждений быть не может. Вопрос есть только в том, в каком формате это делается, кто для этого привлекается и так далее.

У нас обычно это делалось с помощью специализированных компаний, у которых в штате есть сотрудники, знакомые с хакерством и способные все это проделать. Однако считается, что это недостаточно: чем более комплексным будет тестирование, чем больше участников будут пытаться взломать эту систему, тем больше дыр в ней найдут – и тем меньше их даже в принципе смогут потом найти злоумышленники, которые тоже будут пытаться взломать систему, только уже чтобы причинить вред.

Вообще принцип bug bounty (открытый конкурс по поиску уязвимостей в продукте, часто за вознаграждение победителей конкурса – прим. ред.) у нас сейчас внедряется усиленно. И можно предположить, что то, о чем пишет газета, – какие-то первые ласточки в этом плане.

Войдет ли это в обход, будет ли применяться в дальнейшем, я пока сказать не могу. Но в том, что это нужно, у меня сомнений нет. Нужны ли нам в этой сфере зарубежные специалисты? Я бы не стал вообще проводить в этой области границ. К тому же, как я уже говорил, чем больше людей участвует в попытках выявить уязвимости системы, тем лучше.

Поэтому если можно привлечь зарубежных специалистов, почему бы их не привлечь? Что же касается опасений того, не создаст ли это дополнительно проблем с точки зрения безопасности, то эти опасения можно отбросить – не создаст. Если кто-то из-за рубежа хочет попробовать взломать систему, он может это сделать и так, без какой-либо программы.

А вообще «белые хакеры» ведь тоже взламывают системы не просто так, а с намерением получить за это деньги законным образом. При этом они не нарушают законов и не причиняют частным компаниям или государственным структурам вреда, работают им на пользу.

Эксперт Алексей Раевский рассуждает о том, что граждане не хотят предоставлять свои данные никому и ни для чего:

Я считаю, что использование персональных данных – это неизбежность. Как говорится, никуда мы не денемся с подводной лодки. И персональные данные – это очень ценный ресурс, в первую очередь в плане управления (потому что тот, кто владеет информацией, владеет миром). Так что граждане беспокоятся о сохранности своих персональных данных не совсем безосновательно – они, зачастую не имея специальных знаний на этот счет, подсознательно улавливают, что персональные данные могут быть важны.

Наверное, почти все или, по крайней мере, многие уже слышали про социальный рейтинг в Китае (каждый поступок гражданина учитывается и прибавляет или убавляет количество баллов, которыми он располагает и на основе которых может получать доступ к определенным благам, низким ставкам по кредиту и так далее – прим.ред.). Многие слышали и о том, как в Facebook* (* деятельность компании в России признана экстремистской и запрещена – прим.ред.) компания Cambridge Analytica (британская частная компания, которая использовала технологии глубинного анализа данных для разработки коммуникации в интернете – прим.ред.) размещала таргетированную рекламу на основе сбора данных о пользователях.

Все эти технологии работают, то есть с помощью таких данных, по сути, можно управлять обществом с минимальными расходами на пропаганду и все остальное. Поэтому я считаю, что мы никуда не денемся, и эти данные все равно будут использоваться в том или ином виде, под тем или иным своим соусом. Не знаю, будет ли создан у нас некий Цифровой кодекс или будут приняты новые законы, но все равно использоваться эти данные будут, и протестовать против этого бессмысленно.

Это все равно что протестовать против появления станков на заводах, как некогда делали луддиты. Против прогресса протестовать бесполезно – надо принять принять новую реальность, научиться жить в ней, приспособиться. В этом плане столь же бессмысленны были недавние массовые отказы граждан от сдачи биометрии или передачи ее из банков в Единую биометрическую систему. Мы все равно движемся в этом направлении.

Эксперт Алексей Раевский рассуждает о том, что государство вводит новые правила кибербезопасности для хостинг-провайдеров:

Это инициатива здравая, потому что хостинг-провайдеры занимают достаточно весомое место в общей экосистеме интернета. Но они, в отличие от провайдеров, которые, собственно, и предоставляют услуги связи, практически никак не регулируются. То есть вроде бы ничего особенного в этом бизнесе нет – сделали дата-центр и предоставляем в аренду сервера, вычислительные и дисковые мощности. И, казалось бы, что тут особо регулировать? Но с учетом того, что на этих площадках размещаются иногда достаточно важные сервисы, регулирование действительно нужно.

Во-первых, площадки могут использоваться для какой-то зловредной деятельности – для распространения вредоносных программ, DDOS-атак, для взломов. Тут можно назвать еще много вариантов. А во-вторых, если будут массовые отказы со стороны хостинг-провайдеров, это может повлиять существенным образом на интернет-сервисы, которыми мы все пользуемся. Так что, в принципе, инициатива эта достаточно разумная.

Да, с одной стороны, по идее все хостинг-провайдеры должны сами предпринимать какие-то меры. В этой сфере очень сильна система саморегулирования, и если, например, какой-то почтовый сервер в интернете начинает рассылать спам, его очень быстро добавляют в черные списки, и он как бы сам собой перестает функционировать так как нужно. Неважно, находится он у хостинг-провайдера или еще где-то. И с DDOS-атаками, в принципе, все то же самое.

Это вынуждает самих провайдеров достаточно внимательно относиться к вопросам кибербезопасности и цифровой защиты. Но, с другой стороны, если будут сформулированы, оформлены какие-то требования и методические рекомендации со стороны регулятора, от этого точно хуже не будет.

Эксперт Алексей Раевский рассуждает о том, что число трекеров для сбора данных об интернет-пользователях выросло почти на 20%:

Рост числа трекеров, собирающих данные о пользователях, – это не хорошо и не плохо само по себе, это просто отражает тенденцию всего нашего мира, в котором данные играют все большую и большую роль. Трекеры, о которых идет речь, в основном собирают информацию о поведении пользователя. Она собирается по двум аспектам – чисто техническому и содержательному.

Технический учитывается затем, чтобы в дальнейшем пользователю было проще работать с веб-сервисами, чтобы веб-сайты делались для него более удобными. То есть они помогают сохранять настройки, которые пользователь себе устанавливает для конкретных сайтов. Например, учитывая его предпочтения, при заходе на сайт будет устанавливаться размер окон. Или еще какие-то технические моменты.

Сбор же информации содержательной используется для поведенческого анализа. В принципе, этим в мире занимаются очень давно, и ни для кого не секрет, что по поведению пользователя можно узнать про него очень много. Этот анализ пока применяется для показов ему таргетированной рекламы. И это, надо сказать, не вполне безопасная история. Реклама может быть и политической, и не очень корректной с точки зрения этики и даже, может быть, с точки зрения законодательства.

Пока никаких тенденций для того, чтобы это изменилось, не прослеживается.

А использование VPN искажает информацию, которую трекеры собирают о пользователе, поскольку это означает подмену страны, из которой он выходит в интернет. То есть если вы заходите на тот же YouTube из России, вам ролики показываются без рекламы (что, по-моему, достаточно приятно). А если вы делаете это с использованием VPN, то числитесь пребывающими в Финляндии, Швеции или Норвегии – и вам будут показывать рекламу на языках этих стран.

Вообще для таргетированной рекламы это очень важно, потому что товары обычного продаются в каком-то регионе или в какой-то стране, имеют географическую привязку. Но, в общем, думаю, что рекламные ролики на финском языке не представляют собой сколько-то значительного неудобства, и много говорить об этом нечего.

Эксперт Алексей Раевский рассуждает о том, что ЦБ соберет все персональные данные в новую систему:

Безусловно, утечки из новой информационной системы в принципе возможны, но надо сказать, что у нас сейчас отнюдь не все базы данных утекают. Есть кейсы, когда удается базу данных сохранить, сделать так, чтобы эти сведения остались недоступными для мошенников. Это, во-первых.

А во-вторых, на мой взгляд, в случае утечек из этой базы данных каких-то серьезных последствий ждать не стоит. Дело в том, что вся или практически вся информация, которая в этой базе будет храниться, сейчас уже собрана и находится в других базах. И там к этой информации при желании можно получить доступ – например, за небольшую плату.

Мы знаем, что у нас можно узнать историю по любому автомобилю – кто его был его владельцем, в какие ДТП он попадал, всю его подноготную. И данные владельца тоже можно узнать. ГИБДД никогда не относилась серьезно к защите своих баз данных, и они неофициально предлагались для продажи очень давно. То есть все те данные, которые будут собраны в новой информационной системе, при желании можно было приобрести, например, в даркнете, и весьма недорого.

Информация по недвижимости в сравнении с этим защищена лучше, пусть все равно не очень хорошо. Вот банковская тайна у нас пока соблюдается строже, хотя бывали утечки персональных данных из ряда банков, в том числе из достаточно крупных. Госуслуги пока в этом отношении хорошо себя показывали, там серьезных утечек еще не было. Как не было их и в секторе кредитных историй. Но с автомобилями и жильем, как я уже сказал, ситуация другая – это практически общедоступная информация.

Нужны ли какие-то специальные меры защиты от утечек данных для новой базы? Это зависит от того, кто будет предположительным нарушителем безопасности. При определении того, какие меры потребуются, исходят из модели потенциального нарушителя. Одно дело, если стоит вопрос защиты информации от иностранных разведок, другое – от криминальных структур, третье – если нужно предотвратить случайные утечки. В соответствии с этим и прорабататывается комплекс мер, необходимых для защиты информации.

Эксперт Алексей Раевский рассуждает о том, что в Роскомнадзоре заявили о сборе избыточных персональных данных интернет-сервисами:

Относительно унифицирования пользовательского соглашения надо, видимо, консультироваться с юристами и правоведами, а поскольку кажется, что такой вариант потребует изменений Гражданского кодекса. У нас существует понятие свободы договора, то есть в нем могут прописываться те условия, которые стороны считают для себя приемлемыми. И если ограничивать в этом – например, постановить, что в договоре аренды нельзя прописать стоимость аренды больше определенной, – то это потребует соответствующего законодательного оформления.

Уверен, что по этой теме будет много дебатов, а у идеи наделить Роскомнадзор правом определять форматы договоров, как мне кажется, будет много противников. По моему мнению, к этому действительно надо относиться очень осторожно, потому что нереально определить все возможные варианты договоров и отношений. В каких-то случаях, допустим, желательно знать дату рождения клиента – например, сервис хочет прислать человеку поздравление и сообщить, что дарит скидку. Но считать ли эти персональные данные необходимыми, если больше они ни для чего не нужны? Тут возникнет много споров.

Видимо, в ряде пользовательских соглашений действительно предусмотрен сбор избыточных персональных данных. Но их, насколько я знаю, мало кто собирает. А наиболее чувствительную информацию – условно говоря, ту же биометрию или сведения о родственниках – никто обычно не запрашивает, поскольку такие данные нигде не нужны. Поэтому не думаю, что сбор некоторой избыточной персональной информации порождает серьезную проблему.

Вообще вопросы сбора необходимых персональных данных в разных странах решают по-разному. В некоторых странах законодательство дает операторам персональных данных возможность сбора только тех данных, которые необходимы для решения их конкретных задач. Но опять-таки: допустим, пользователь согласился получать рекламные сообщения. Значит ли это, что можно собирать информацию о дате его рождения? Ответ на этот вопрос не очевиден.

Так что я считаю, что унификация пользовательских соглашений мало поможет. Она скорее приведет к какому-то надуванию полномочиями того же Роскомнадзора. Вместо того, чтобы реально следить за тем, как защищаются персональные данные, он будет заниматься тем, что вряд ли способно обеспечить защиту этих данных. Поскольку утечка пресловутой даты рождения в принципе мало на что влияет. Так что это – не самое главное.

Да, может показаться, что если отсечь все лишнее в пользовательских соглашениях, то меньше данных будет храниться, а значит, их меньше может утечь. Но, на мой взгляд, нужно просто прописать запрет на сбор избыточной информации, а дальше в каждом конкретном случае разбираться, если происходит утечка или если в результате проверки выясняется, что что-то не так. Вот тогда пусть оператор объясняет, зачем ему эти данные. Может, они ему действительно нужны.

Эксперт Алексей Раевский рассуждает о том, что Минцифры предлагает ужесточить наказание за утечки биометрии и сведений об интимной жизни:

Тут может быть много нюансов и аспектов, но в целом если не повышать ответственность за утечку персональных данных, шансов бороться с этими утечками не будет в принципе. Можно говорить об этом сколько угодно, что угодно предлагать, но без наказания за утечки у операторов персональных данных не будет стимула вкладываться в защиту данных.

Представьте себе: вот есть компания, у нее есть клиенты – физические лица. Зачем ей тратить деньги на защиту их персональных данных, если штрафа за утечку нет, а у нее стоит задача максимизировать прибыль? Понятно, что единственная мотивация для таких компаний – это штрафы, причем штрафы, сравнимые с оборотом компании. Может ведь возникнуть ситуация, когда у компании выручка – 100 тысяч рублей, и у нее одно отношение к расходам на защиту персональных данных и к штрафам на уровне 50 тысяч рублей. А для компании, выручка которой достигает, например, 10 миллиардов рублей, штраф в 50 тысяч может быть незначительным.

Поэтому все обсуждения возможного повышения штрафов за утечки вполне понятны, и во многих странах уже прошли по пути введения оборотных штрафов. Однако следует понимать, что и их введение – не гарантия того, что персональные данные сразу перестанут утекать. Но это хотя бы заложит базу для формирования системы обеспечения безопасности данных. А без этого формирования не произойдет.

Это как фундамент дома – без него строить нельзя, здание развалится. Но важно еще, чтобы фундамент соответствовал дому. То есть при закладке фундамента надо очень хорошо продумать, какой именно тут должен быть дом. Вот и здесь – то же самое. Все санкции, наказания за утечки персональных данных – это фундамент в сфере обеспечения безопасности данных.

А имеет ли смысл выделять какие-то отдельные группы данных, за утечку которых наказывать более жестко… На этот подход можно смотреть по-разному, но действительно есть данные, утечка которых более болезненна, и вполне логично, что их нужно защищать лучше. С другой стороны, если компании хранят персональные данные, они все их защищают одинаково. Нет такого, чтобы, например, дату рождения защищали не очень сильно, а биометрию – сильнее.

В международной практике при определении наказания за утечку тех или иных данных исходят из того, какой ущерб принесла эта утечка. Если в результате нее возник риск денежных потерь у клиентов – это одна история, если утек номер телефона и человеку несколько раз позвонили с рекламными предложениями, – это другая история. Но в целом у нас уже прописано, что биометрические данные должны защищаться более серьезно, чем иные. Исходя из этой логики можно дифференцировать и санкции за утечку тех или иных данных. Хотя я все же считаю, что следует каждый раз оценивать ущерб от утечки для человека.