Вестник цифровой трансформации

Пока действия преступников примитивны, утечки данных не так уж и страшны
Пока действия преступников примитивны, утечки данных не так уж и страшны




13:36 22.03.2017  |  4502 просмотров



Аналитический центр InfoWatch об утечках, краже личности и рисках доступности преступникам технологий Больших Данных.

Цифровая трансформация государства, бизнеса и общества несет новые риски и угрозы информационной безопасности. Корпоративные базы данных, содержащие имена, даты рождения, номера удостоверений личности и другую чувствительную информацию о сотрудниках или клиентах, все чаще становятся мишенью киберпреступников. Обычным делом становится так называемая «кража личности». На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития.

Термин «кража личности» (Identity theft) — преступление, при котором незаконно используются персональные данные человека для получения материальной выгоды. Согласно опросам, кража личности является одним из основных опасений граждан США. В Соединенных Штатах в качестве удостоверения личности используют номер социального страхования (Social Security Number, SSN). Его запрашивают большое количество организаций для подтверждения личности граждан. Похитив SNN, злоумышленники способны, например, испортить кредитную историю своей жертвы. В Великобритании для осуществления кражи личности используются страховые идентификаторы NINO (National Insurance number) и NHS (National Health Service Number).

В России нет статистики, какие из электронных идентификаторов подвержены наибольшему риску компрометации, однако стремительно растет сама вовлеченность граждан в процессы электронного взаимодействия, в том числе и на корпоративном и государственном уровне. Так, по данным Минкомсвязи, уже более 50% граждан используют государственные услуги в электронном виде, а число пользователей Единого портала госуслуг достигло 40 млн человек, более 18 млн из которых зарегистрировались там в 2016 году.

Риски цифрового общества

На примере стран с более развитым цифровым обществом хорошо видно, что по мере цифровизации происходит и значительно больше утечек персональных данных, масштаб которых ограничен разве что размером базы данных компании или организации. Основную угрозу несут атаки на крупные сервисы, которые хранят огромные массивы информации. В 2016 году в мире было зафиксировано 44 «мега-утечки», в результате каждой из которых было украдено не менее 10 млн персональных данных.

Долгое время в России не утихают дискуссии о возможности введения единого идентификационного документа, приравненного к паспорту гражданина страны. Эта концепция единого универсального электронного документа гражданина уже была опробована в рамках проекта «Универсальная электронная карта» (УЭК). Кроме того, во время проведения Кубка конфедераций FIFA 2017 и Чемпионата мира FIFA 2018 по футболу в России будут использоваться электронные паспорта болельщиков. Они позволят гостям турниров не только получить доступ к спортивным объектам, но и осуществить безвизовый въезд на территорию Российской Федерации.

Так или иначе, с большой долей вероятности можно утверждать, что введение электронных паспортов, удостоверяющих личность граждан, является лишь делом времени. А это означает, что Россия встанет в один ряд с теми странами, где такие системы уже действуют, и где мы видим значительный отрыв по количеству совершаемых «краж личности», а также по масштабам компрометируемых данных граждан. Если до сих пор российским разработчикам удается своевременно адаптировать свои ИТ-решения для защиты данных даже по наиболее уязвимым каналам передачи информации, то по мере роста вовлеченности персональных данных граждан в работу корпоративных и государственных электронных систем, для обеспечения их безопасности потребуется координированная работа государства и бизнес-сообщества.

При этом проблема безопасности персональных данных не сводится только к одной их защите, а существует как минимум еще один аспект, на который следует обратить особое внимание — это возможность извлечения информации из сверхбольших объемов данных с помощью технологий Big Data. Представим, что у вас есть 3 млрд записей с персональными данными, в том числе реквизиты банковских карт, адреса электронной почты, номера телефонов, сведения о финансовых транзакциях и другой критичной информацией. Также представим, что у вас получилось нормализовать этот объем данных и составить алгоритм анализа, благодаря которому вы научились видеть неявные связи между пользователями и находить ответы даже на вопросы, которые прямо не задавали.

Допустим, удалось узнать, что без всякой кооперации жители конкретной страны забрали из ее банков часть своих сбережений. Этого оттока недостаточно, чтоб вызвать массовую панику, но тенденция уже видна. Конкретное развитие ситуации после этого может быть любым, причем в той или иной степени управляемым. Важно, что подобный прогноз на основе анализа на первый взгляд никак не связанных данных возможен в принципе.

Думать о будущем

Те способы применения украденных персональных данных, о которых принято говорить сегодня, не идут ни в какое сравнение с теми возможностями, которые открывают технологии машинного обучения, выявления неявных связей. Кто сказал, что эти технологии завтра не станут так же доступны злоумышленникам, как сами персональные компьютеры? Политика в области защиты персональных данных должна строиться с учетом этой перспективы, начиная с определения субъектов права использования персональных данных, выработки определения больших пользовательских данных и заканчивая правилами их оборота и надзора.

Проблема «кражи личности», точнее, огромных объемов персональных данных имеет еще несколько важных аспектов. Сухая статистика говорит о том, что в 2016 году скомпрометировано более 3 млрд персональных данных. Однако к этому факту следует относиться с осторожностью. Даже если предположить, что данные почти половины жителей планеты украдены, все равно остается ряд неочевидных на первый взгляд моментов.

К счастью, в руках злоумышленников пока нет инструмента для извлечения из этого объема данных действительно ценной информации. Действия людей, стоящих за «кражей личности», в большинстве случаев примитивны. Число сценариев использования персональных данных ограничено — получить налоговый вычет, оформить покупку в интернете на чужие платежные данные и так далее. Поэтому компрометация 3 млрд записей персональных данных — проблема серьезная, но решаемая.

Интереснее другое: «кража личности» — преступление довольно примитивное. В последнее время четко прослеживается тенденция, когда она становится основным источником дохода для бедных общин США — например, выходцев из Латинской Америки. В этой массовости, а также в низком «барьере входа» и состоит главная опасность. На это, по мнению аналитиков InfoWatch, и следует обратить внимание в первую очередь, поскольку довольно легко представить аналогичную ситуацию и в нашей стране. С распространением сервисов, завязанных на значимые персональные данные, нас с неизбежностью ожидает волна мошеннических преступлений, связанных с украденными персональными данными. И к этому нужно быть готовыми.

Теги: Автоматизация предприятий Информационная безопасность InfoWatch

На ту же тему: