Почему тайное в Интернете все чаще становится явным

Недавние скандалы с утечкой персональных данных пользователей мобильной связи и интернет-магазинов стали поводом для разработки новых стандартов электронной безопасности. Ассоциация дистанционной торговли вместе с защитниками прав потребителей осенью начнут сертификацию интернет-магазинов, а руководство поисковика «Яндекс» пообещало «научить» систему отличать персональные данные от другой информации. По мнению экспертов, эффективность предлагаемых мер будет далека от 100%, так как технологии развиваются стремительно, а невнимательность пользователей способна свести на нет любую защиту. Пока же компаниям выгоднее платить штрафы, чем тратиться на систему защиты.

За быстрый доступ и обмен информацией приходится расплачиваться попаданием ее в чужие руки. В Интернет уже попали персональные данные более миллиарда человек, сообщили «НИ» в компании Securit, специализирующейся на информационной безопасности. В большинстве случаев это фамилия, адрес электронной почты и мобильный телефон. При этом о подавляющем большинстве утечек широкая публика не знает: достоянием гласности становятся менее 10% случаев. Гендиректор Securit Алексей Раевский поясняет «НИ», что обычно персональные данные «утекают» из информационных баз органов государственной власти, медицинских и образовательных учреждений, а также интернет-магазинов и публичных веб-сервисов. Доля последних в общем объеме утечек растет.

В России в прошлом году экспертами по интернет-безопасности зафиксировано 37 случаев массовых утечек персональных данных. В Роскомнадзоре однозначно сказать «НИ», какая сфера в наибольшей степени подвержена «протеканиям», не смогли: каждый может быть грешен. Эксперты считают, что наиболее надежными являются банковские сайты, откуда информация практически не утекает, поскольку для платежных систем существует мировой стандарт защиты. Безопасность же остальных ресурсов сомнительна. Если ставшие известными публике сообщения с сайта мобильного оператора «Мегафон» граждан позабавили, то недавняя публикация личных данных покупателей виртуальных секс-шопов посеяла среди привыкших отовариваться через Интернет панику.

Поисковик «Яндекс», через который личная информация становилась общедоступной, отреагировал на скандалы публикацией инструкции для администраторов сайтов по настройке доступа для поисковых систем. Рекомендации таковы: закрывать личную информацию посетителей сайта паролем и запретить поисковым роботам индексировать страницы сайтов с информацией, которая не должна стать публичной. Главный редактор портала для программистов Roem.ru Юрий Синодов говорит «НИ», что ошибки системных администраторов – одна из главных причин утечек: «Поисковая система развивается, а люди нет. Раньше поисковые роботы ходили по тем сайтам, на которые были ссылки, а сейчас они индексируют любые». Компании же озабочены в большей мере сохранением коммерческой тайны, нежели пользовательских данных. «Яндекс» также пообещал поставить фильтр, который смог бы отличать персональные данные от другой информации. Эксперты в успехе начинания сомневаются: даже живые люди порой путаются в терминах и не знают, что относится к категории личного, и научить робота делать эту работу невозможно.

Согласно федеральному закону персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Иначе говоря, сведения, которые позволяют идентифицировать личность, уточняет президент компании «Интернет и право» Антон Серго: «Это не только фамилия-имя, его телефон, место жительства, но и IP-адрес». А вот электронная почта юридически к персональным данным не причислена, хотя адрес бывает достаточно личным, например, marinaivanova, замечает Юрий Синодов из Roem.ru. Учитывая, что на многих сайтах требуется регистрация через электронную почту, именно адреса «мыла» чаще всего «утекают». «Но доказать, что через определенный сайт была потеряна ваша почта, невозможно. Пока вы отправляете письмо, корреспонденция проходит через разные серверы. Таким образом, сохранность почты под большим вопросом», – заключает Юрий Синодов.

Строительство сайта, где персональные данные пользователей были бы хорошо защищены, процесс трудоемкий и дорогостоящий. Цена системы защиты напрямую связана с «раскрученностью» сайта, рассказывает «НИ» заместитель директора компании «Информационные технологии TopPlan» Василий Павлов: «Я уверен, что специальные средства защиты, если сайт стоит до одного миллиона рублей, не имеют смысла. А если на нем большое число посетителей (для узкоспециализированного ресурса хороший показатель – пять тысяч человек в день), то средства защиты будут стоить до 10% от самой стоимости сайта», – замечает эксперт.

Крупные компании стараются содержать специальные отделы по информационной безопасности, которые и занимаются проверками систем. Большая часть компаний не может себе позволить штатных хакеров и нанимает аудиторов по безопасности. По словам Юрия Синодова, сегодня на рынке много подобных предложений, но ждать от сторонних специалистов 100-процентного результата не стоит: «Вот были они у Мегафона, и что? Все равно не знали, что Яндекс успевает проиндексировать страницу с SMS за время доставки (2–3 секунды)».

После июльских скандалов Роскомнадзор направил в органы прокуратуры Москвы, Московской, Самарской областей и Краснодарского края материалы на 11 владельцев интернет-магазинов, допустивших утечку персональных данных. Надзорная служба настаивает на возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах). Изначально претензии были к владельцам более 80 сайтов, но позже они сами решили проблему утечки информации. Терять клиентов они не хотят, а из-за скандалов все участники рынка стали нести убытки. В прошлом году оборот «виртуальной торговли» в России составил пять млрд. евро. Основная часть продаж приходится на книги, технику, одежду и обувь.

Президент Ассоциации дистанционной торговли Александр Иванов признает, что сегодня «защита информации в Интернете – это соревнование брони и снаряда, и мировая практика показывает, что броня несколько запаздывает». Но бояться серьезных санкций, кроме потери клиентов, сайтам не приходится: самое большее, что им грозит, это штраф до 10 тыс. рублей. Поэтому компаниям зачастую выгоднее платить штрафы, чем тратиться на дорогостоящую систему защиты.

Пострадавшим же от утечек их персональных данных получить компенсацию практически невозможно. «Вы не докажете суду, что вам были причинены страдания, когда люди через Интернет узнали, что вы покупали в интернет-магазине порнографические журналы. Не поможет даже справка от психиатра и направление в санаторий для восстановления нервной системы», – говорит юрист Серго. По его словам, предупреждать клиентов об утечках данных с их сайтов российские компании также не стремятся: «Проще сменить название и сделать новый магазин».

В Ассоциации дистанционной торговли решили, что из-за жадности мелких игроков репутация всех участников рынка страдать не должна. Вместе с защитниками прав потребителей с осени представители ассоциации намерены провести добровольную сертификацию торговых предприятий в Сети. Интернет-магазинам, подтвердившим, что они могут защитить персональные данные своих клиентов, вручат знак качества, гарантирующий защиту личных данных пользователей. Санкций против нарушителей, по словам президента ассоциации Александра Иванова, не предусмотрено: «Максимум, что мы можем сделать, это рассказать в прессе о нарушении, чтобы потребитель был в курсе».