УправлениеБезопасность

Любовь большого брата

Рустэм Хайретдинов | 10.04.2018

Любовь большого брата

Не берите мобильные устройства на собеседования, не ездите на корпоративной машине в офис конкурента, не переписывайтесь и не звоните с корпоративных или контролируемых компанией личных устройств.

На одной банковской конференции был отмечен специальным призом социальный проект. Его суть состояла в раздаче сотрудникам спортивных браслетов и запуске внутреннего соревнования – кто больше пройдет шагов и сожжет калорий. Браслеты синхронизировались с корпоративными смартфонами, а те, в свою очередь, с корпоративным сервером, который рисовал красивые сравнительные графики и отмечал передовиков. Конечно, речь шла о здоровом образе жизни сотрудников и заботе об их организме. Но только не для меня.

В кулуарах я подошел к сотруднику банка, рассказывавшему о проекте со сцены, и сказал, что это отличная идея – знать о своих сотрудниках все: где они ночуют (и с кем из коллег рядом) и даже какой у них при этом пульс. Теперь их можно штрафовать, если они отпросились в поликлинику, но пошли в кино. Коллега возмутился, что проект был не об этом, а о здоровье и хорошем самочувствии. Но браслет тайком снял.

Слежка повсюду

Каким бы сервисом мы ни пользовались, где-то в глубине лицензионного соглашения таится разрешение на обработку данных, которые возникают в результате взаимодействия. Куда попадают эти данные, как долго они хранятся, кто имеет к ним доступ – можно только догадываться, но невозможно знать наверняка.

Многие замечали, что за ними следят собственные смартфоны, но «кому мы нужны, разве что Гугл да Фейсбук с Эпплом взамен таргетированную рекламу покажут». ЦРУ и АНБ обязали их сдавать информацию? Да кому мы нужны, честное слово. Пользуетесь корпоративным MDM (Mobile Device Management)? Поздравляю, вы отдаете работодателю как минимум свою геопозицию, а как максимум контроль над содержимым смартфона – перепиской, фотографиями, звонками.

Пользуетесь публичными точками беспроводной связи? Оператор знает о вас все – после обязательной аутентификации через номер мобильного телефона привязать ваш трафик к вашей личности не составит труда. Да и мобильный Интернет, ставший таким быстрым и дешевым, что в домашней сети никто и не ищет точки доступа, тоже постоянно «стучит» на вас мобильному оператору.

Вы можете снять «умный» браслет и оставить телефон дома, но что делать с «умными» камерами на улицах, офисах и в транспорте? Они уже стали «умными» и умеют вычленять и распознавать лица. Камеры в местах массового скопления людей – на вокзалах, стадионах, в аэропортах – способны уже не только вычленять лица, но и фиксировать поведенческие аномалии: указывают на человека в толпе, который одет не как все, двигается быстрее или, наоборот, медленнее и т. п., распознают его лицо, тут же находят и выводят на экран оператора его профиль из соцсетей. Стоимость «умных» камер уверенно падает, и довольно скоро будет проблематично купить камеру без встроенного искусственного интеллекта.

«Шибко умный»

й дом» тоже массового фиксирует информацию и о вас, и о вашем окружении – он знает, когда вы приходите домой, когда завтракаете и ужинаете, какие любите сериалы. Как реагируете на погоду и какую предпочитаете температуру для сна. Пока о ваших предпочтениях в еде знает только электронный магазин, но совсем скоро, буквально при покупке следующего вашего холодильника, о любимых продуктах будет знать он. «Умный» унитаз и «умное» зеркало, «умные» утюги и светильники, не говоря уже об электронных помощниках, будут знать о нас все.

Совсем скоро на самый страшный женский вопрос: «А не забыла ли я выключить дома утюг?» – можно будет точно ответить сразу несколькими способами: посмотреть со смартфона в домашнюю видеокамеру, проверить через него, идет ли ток в конкретной розетке, а чем черт не шутит, напрямую спросить утюг: «Ты работаешь?» – получить ответ голосом...

Автостукач

Мой умный автомобиль – нет-нет, не навороченная «Тесла», а обычный «Форд» – уже выставляет мне оценку за каждую поездку и замечает «вы стали хуже водить, за март 22 превышения скорости, два опасных маневра (видимо, перестроение без включения поворотника), 55 резких торможений и 21 резкое ускорение». Говорят, данные уходят в страховую, которая накапливает статистику. Пока оценка 8,6, начинал с максимальной «десятки», если удержусь выше 8 – получу от страховой скидку. А если данные о превышениях (заметьте, по геопозиции автомобиль определяет и разрешенную скорость движения и сравнивает с текущей) отправлять в ГИБДД, то государству можно сильно сэкономить на камерах и дорожной полиции, зато заработать на штрафах. Еще автомобиль знает расход топлива не только в литрах, но и в рублях – по геопозиции приложение находит стоимость бензина на конкретной колонке и смотрит в онлайн-базе цену на мой сорт бензина. Я не выбирал специально автомобиль с такой функцией, это теперь обязательное требование страховой компании при покупке авто в кредит.

Автомобильный компьютер, синхронизируясь со смартфоном, без спроса строит маршрут в офис утром и домой – вечером. Причем никто говорил ему, что это дом, а это офис, просто он решил, что там, где он ночью долго лежит в зарядке, – и есть дом. Про офис – загадка, может быть, смартфон вытащил его адрес из подписи в корпоративной электронной почте? Или просто вы там бываете чаще, чем в других офисных центрах на переговорах с клиентами и партнерами? Однако если в электронном кошельке лежит электронный посадочный талон, дорога будет построена в нужный аэропорт. Удобно? Еще бы! А не опасно ли?

Сеть и платежи

Поведение в Сети – отдельный вид данных, их сбором занимаются как функциональные сервисы (порталы, сайты, мобильные приложения, различные счетчики), так и инфраструктурные (провайдеры, браузеры, смартфоны, операционные системы).

Финансовые технологии совершили революцию в нашем финансовом поведении – бесспорно, удобно парой нажатий виртуальных кнопок заплатить за сервис или товар, перевести деньги близким, приобрести акции или поменять валюту. Но следы обо всем этом остаются в киберпространстве.

Следы и следопыты

Хотим мы того или нет, практически все наши действия оставляют цифровой след. Данные о нас – везде, где мы вступаем в цифровое пространство. Сеть знает о нас все, больше, чем наши близкие, и, возможно – больше, чем мы сами. Мы платим своей приватностью за комфорт, и, похоже, практически смирились с этим. Вопрос «как не отдавать данные устройству, сервису или приложению?» волнует либо параноиков, либо тех, кто занимается чем-то противозаконным или как минимум социально неодобряемым.

Осталось ответить на вопрос: «Как сделать так, чтобы эти данные не могли бы использоваться мне во вред?»

В чем опасность?

Поведение характеризует нас гораздо больше, чем персональные данные. Что можно вытащить, зная, скажем, паспортные данные? Недвижимость, в которой вы зарегистрированы? Да, но живете ли вы там? Автомобиль в собственности? Да, но ездите ли вы именно на нем? Семейное положение? Но живете ли вы с семьей? То есть формально паспорт говорит о вас много, но в реальности – пользоваться этим достаточно сложно.

Другое дело – данные с одного только смартфона, не говоря уже о носимых устройствах. Можно точно установить, где вы живете фактически, через аудисистему какого автомобиля слушаете музыку, где работаете и отдыхаете, какие фильмы и рестораны любите, когда бываете дома и когда летаете в командировки. Получите доступ к смс-информированию банков – и ваши доходы и расходы как на ладони.

Подделать паспорт можно, а как подделать поведенческие паттерны? Даже музыкальный плей-лист вашего смартфона может сказать про владельца больше, нежели паспорт. Это значит, что, получив образцы вашего регулярного поведения (так называемые поведенческие паттерны), вас можно будет потом вычленять и точно идентифицировать из любого информационного шума, вырывать из толпы похожих людей. И это мы еще не говорим об уникальных характеристиках организма, типа «клавиатурного почерка» – способа набора текстов на клавиатуре, который сегодня позволяет идентифицировать человека не хуже отпечатков пальцев.

Сейчас за эти данные борются маркетинговые компании – они хотят на основе ваших предпочтений делать вам регулярные предложения, «от которых вы не в силах отказаться». Будем считать политиков тоже маркетологами, продающими нам свои программы. Но обратной стороной любых новых возможностей являются любые риски. Практически каждому есть что скрывать – не от государства и спецслужб, так от конкурентов во всех сферах, работодателя или родных. Как, получая удобства от персонализации цифровых услуг, минимизировать риски?

Модель угроз

Сегодня пользовательские данные, в отличие от персональных, никак не защищаются, а обращение к ним, в том числе и в коммерческих целях, никак не регулируется. Более того, компании стремятся использовать «чужие» данные для обогащения (уточнения) своих. Например, если вы с карты банка покупали билет на самолет или поезд, то в банковском антифроде может понизиться риск платежа из другого города. При этом по большим пользовательским данным – социальным, финансовым, географическим – удается довольно точно идентифицировать человека и, как показывает опыт избирательной компании Трампа, даже влиять на него.

Сначала надо определиться, чего же вы боитесь. Быть раскрытым в делах, которые не хотели бы афишировать какой-то аудитории? Рейдерства? Козней конкурентов? Шантажа? Манипулирования с помощью социальных технологий? Кражи личности? От того, в чем состоит угроза и кто ее носитель, существенно зависят ресурсы, которые могут быть использованы против вашей приватности.

Сбор и анализ больших данных – недешевое удовольствие, требующее немалых ресурсов и серьезной мотивации. В зависимости от «модели угроз» -– того, кто именно вам угрожает и его ресурсов – не трудно понять возможности нападающих и спланировать правильное поведение в цифровом пространстве. Упрощенно говоря, от ревнивой супруги защититься проще, чем от ЦРУ, – слишком разные ресурсы способны они задействовать.

Ресурсный подход

Для моделирования угрозы стоит применить ресурсный подход – чем сильнее и богаче противник, тем больше ресурсов он может бросить на получение ваших данных и их использования против вас.

Вряд ли читатели этого журнала занимаются противоправной деятельностью и нуждаются в советах по уходу от слежки ФСБ или ЦРУ. Но короткая история российского бизнеса показывает, что нечистоплотные сотрудники спецслужб, бывает, вовлекаются в «споры хозяйствующих субъектов» и незаконно пользуются служебным положением. Поэтому, если вы опасаетесь рейдерства или конкурируете с большой корпорацией за крупный контракт, то в модель угроз имеет смысл включать и возможности спецслужб, такие как доступ к вашим коммуникациям всех типов.

В этом случае первое правило – «не выделяться», не совершать никаких аномальных действий, поскольку при регулярном анализе больших данных внимание привлекают прежде всего аномалии. Вы знакомы с таким поведением по использованию интернет-банка – пока вы находитесь в массовом профиле: получаете зарплату и переводите регулярные платежи за ЖКХ, телеком-сервисы, покупаете еду и едите в ресторанах – платежи проводятся легко и без задержек. Если же случается аномалия – большой платеж вам или от вас, платеж из необычного места или с нового устройства, а тем более одновременное сочетание таких аномалий, платеж может быть заблокирован банком как подозрительный.

Если же информацию о вас собирают целенаправленно, то ваш обычный профиль начинает работать против вас – даже если вы заведете второй телефон, зарегистрированный на лицо, никак не связанное с вами, но будете вести себя также, то наблюдатель быстро вычислит его как ваш по тому, где он бывает, кому вы звоните и т. п. Поэтому, заводя альтернативный смартфон, не используйте его для доступа в соцсети под своим профилем, не звоните и не пишите тем же абонентам, что с основного телефона, не бывайте в тех местах, где бываете обычно, с включенным GPS, а лучше вообще не посещайте места, которые не хотите афишировать, со смартфоном в кармане.

Если ваша модель угроз – собственный работодатель, то надо понимать, что в первую очередь для сбора данных будут использованы корпоративные ресурсы: корпоративный смартфон или личный смартфон с агентом MDM (mobile device management – система управления смартфонами, обычно устанавливаемая на личные смартфоны сотрудников, с которых им разрешен доступ к корпоративным ресурсам), корпоративный ноутбук или офисный компьютер. Если вы планируете переход в другую компанию, особенно конкурирующую, не берите мобильные устройства на собеседования, не ездите на корпоративной машине в офис конкурента, не переписывайтесь и не звоните с корпоративных или контролируемых компанией личных устройств.

Если вы скрываете что-то только от близких, то достаточно «базовой» безопасности – блокирование собственных устройств, когда они бездействуют, и неиспользование устройств с общим семейным доступом.

Выводы

Похоже, миру уже никуда не деться от цифрового следа – слишком удобна и экономически эффективна «цифра», а она всегда оставляет след. Открытость типа «честному человеку нечего скрывать» имеет свою привлекательность, но не всем нравится жизнь «за стеклом». Пока сбор пользовательских данных никак не регулируется, спасение утопающих – дело рук самих утопающих.

Безопасность Цифровизация

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 04/2018], Подписка на журналы

Об авторах

Рустэм Хайретдинов

Рустэм Хайретдинов

Генеральный директор компании "Атак Киллер". VP ИнфоВотч.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Conversations – конференция для бизнеса и разработчиков
ОНЛАЙН
12 900 руб
21.06.2021 — 22.06.2021
09:00–18:00
Apple Tech Business Week
Санкт-Петербург, IT-пространство для бизнеса Resonance Space
22.06.2021 — 24.06.2021
VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00