Алексей Дрозд: Пользователи сами наплевательски относятся к своим личным данным
https://otr-online.ru/programmy/segodnya-v-rossii/aleksey-drozd-polzovateli-sami-naplevatelski-otnosyatsya-k-svoim-lichnym-dannym-59910.html Константин Чуриков: Возвращаемся к нашей обычной мирной жизни, в которой каждый день каждый из нас получает множество звонков с неизвестных номеров, звонят нам какие-то странные голоса, кто-то вешает трубку, кто-то говорит, что на наше имя взяли кредит и так далее, и тому подобное. В общем, сейчас поговорим о мошенниках и о персональных данных. Во-первых, сегодня, как оказалось, очень сильно и очень хорошо обновился некий портал, некий сервис, где размещают украденные данные россиян. Злоумышленники утверждают, что они это делают для того, чтобы у добропорядочных граждан была возможность проверить наличие своих данных в утекших базах. А также злоумышленники прикрываются тем, что якобы, то есть, они говорят, что в России никто с должным вниманием не относится к персональным данным, что, в общем-то, отчасти правда. И даже приводится такая информация. Вот суд недавно оштрафовал «Яндекс.Еду» на 60 тысяч рублей за утечку персональных данных клиентов. И они, вот, делают вывод, что получается, что наши личные данные, с учетом того, что в «Яндекс.Еде» было зарегистрировано больше 6 миллионов пользователей, стоят, примерно, одну копейку. Вот такая цена безопасности. Сегодня же банк ВТБ распространил информацию о резком росте активности телефонных мошенников, примерно в два раза по сравнению с предыдущим месяцем. И готовятся, еще одна новость, готовятся поправки в «Закон о персональных данных». Теперь по любому поводу без видимой необходимости эти данные собирать будет нельзя, если примут закон.
Обо всем об этом сейчас поговорим с вами, уважаемые зрители, с какими трудностями сталкиваетесь вы? Как вас уже достали эти мошенники или не достали? Что нужно сделать в отношении соответствующего закона? А мы пока приглашаем в эфир Алексея Дрозда, это начальник отдела информационной безопасности «Сёрчинформ». Здравствуйте, Алексей Валерьевич!
Алексей Дрозд: Здравствуйте!
Константин Чуриков: Алексей Валерьевич, а вот я не понимаю. Начнем с этого сайта, где публикуют эти данные, которые утекли в сеть. Это вообще законно? А где Роскомнадзор, полиция, я не знаю? Это же еще один источник слива данных, получается?
Алексей Дрозд: Ну, как бы, Роскомнадзор, полиция, все на месте, сайт заблокирован. Просто так на него попасть с территории РФ не получится. Однако берем ВПН-сервис, берем что-нибудь для обхода блокировок, пожалуйста, мы уже там. С утра проверил, как обновились данные, опросил знакомых. Действительно, данные валидные, однако немножко устаревшие, по тем или иным утечкам вплоть до десятилетней давности. Однако есть и те, которые свежие, в пределах даже пары месяцев. Поэтому с точки зрения законности такой сайт упирается в законы страны. И, скажем так, так как у него домен не русский, не национальный, а у него другая доменная зона, то сложно будет навсегда этот сайт вообще из интернета убрать. Более того, они, владельцы сайта, представляют инструменты для свободного распространения и копирования этой базы. Поэтому клоны будут появляться подобно гидре – отрубишь одну голову, будет две головы.
Константин Чуриков: А зачем они это делают? Им какая выгода от того, что они просто эти данные опубликовали и кто хочет, тот их берет? В чем смысл?
Алексей Дрозд: С одной стороны, можно поверить и их заявлениям. Но лично я не до конца верю заявлениям в альтруизм, просто-напросто потому, что можно было бы сделать красивее. Разместить эти данные, но в обфусцированном виде, то есть эти данные закрыть частично звездочками и прочее, настолько, чтобы человеку, который реально заботится о своей безопасности и хочет убедиться, слили его данные или не слили, ему было бы достаточно первых букв ФИО, первых цифр паспорта, но, а в целом злоумышленник не мог бы этими данными воспользоваться, они бы были бесполезны. Однако там данные в полном, не скрытом виде находятся. Поэтому можно сделать вывод, что есть все-таки и недекларируемая публично цель, это привлечь внимание различных активистов, которые будут, скажем так, портить жизнь тем гражданам, чьи данные попали в этот список.
Константин Чуриков: А, может быть, даже просто собрать данные, информацию об IP-адресах? То есть с какого IP-адреса заходят, интересуются информацией о том или ином гражданине, это же тоже информация, правда ведь?
Алексей Дрозд: Да, но с учетом того, что сайт уже заблокирован на территории РФ и чтобы на него попасть, уже надо выходить не из-под российских IP, эта цель вряд ли будет достигнута.
Константин Чуриков: А, ну, понятно.
Алексей Дрозд: И тем не менее, это витрина, которая, на мой взгляд, очень наглядно демонстрирует, как сами пользователи наплевательски относятся к своим данным. Но они относятся к этому не от незнания опасности, а от того, что не осознают, насколько много этих данных собирается. Я бы наоборот, разрешил доступ пользователям с территории РФ, чтобы они ужаснулись, как много данных о них есть. И лишний раз задумывались, а стоит ли отдавать все свои данные первому попавшемуся агрегатору, первому попавшемуся сайту или сервису.
Константин Чуриков: Подождите! Я думаю, что да, с одной стороны, конечно, да, люди где-то не так просвещены, но, извините, это вы специалист по кибербезопасности, а не 146 миллионов россиян. С другой стороны, а извините, правомочно ли какому-нибудь магазину, который предлагает скидочную карту, требовать и спрашивать фамилию и имя, телефон, адрес электронной почты? Это чтобы что? Первое – это законно ли? И где тут логика?
Алексей Дрозд: Логика такая, пока в явном виде магазины не запретят это делать, они будут это делать, что мы и наблюдаем. Соответственно, нужны эти данные для метрик, для повышения продаж, для формирования профиля пользователя, для формирования каких-то персональных предложений, в общем, маркетинг, реклама и иже с ними. И плюс перепродажа. Недаром вы говорили, что какой-то набор данных стоит буквально одну копейку. Но, чем больше данных собрано о человеке, тем дороже стоит его профиль. То есть, грубо говоря, если мы имеем только логин-пароль от какого-то сайта развлекательного, эта информация не стоит практически ничего. А если же мы собрали, а на этом сайте именно собрана и, говоря, жаргонным языком, смерджены, то есть, сопоставлены данные из разных утечек, мы получаем более полноценный профиль человек. Его ФИО полное, адреса, что он где заказывал, в каких сервисах он брал еду, посылки или еще что-то, его паспорт, его номер автомобиля и даже предыдущий автомобиль, является ли он клиентом такого-то банка, о котором сейчас уже было сказано. Все это позволяет мошеннику, который, например, звонит жертве потенциальной пробить барьер недоверия, потому что пользователь, как я уже говорил, не осознает, насколько много, на самом деле, хранят о нем данных различные сервисы. И вот что случается, когда они утекает. Пользователь просто не думает, что кто-то кроме ГИБДД будет знать полностью его ПТС, где какие машины у него когда-то были и которые сейчас, и т.д., и т.п. И он начинает верить и доверять всем тем инструкциям, которые на уши ему начинает навешивать этот мошенник.
Константин Чуриков: Алексей Валерьевич, а, может быть, это просто с целью взять кредит? Потому что сейчас, по-моему, в этих онлайн банках можно просто имея данные паспорта, взять кредит. Во всяком случае, такие истории, их много.
Алексей Дрозд: Как вариант. И здесь тоже дополнительная опасность для жертвы есть. У нас по закону как бы спасение утопающих – дело рук самих утопающих. Человек сам должен пойти, допустим, на сайт Федеральной налоговой службы или сделать бесплатно запрос, посмотреть, какие по нему есть долги, какие на него открыты фирмы или еще что-нибудь. Ну и плюс в Бюро кредитных историй тоже может обратиться. То есть у нас инициатива должна исходить непосредственно от человека. Хочешь защититься – делай это сам. Люди слепо верят до последнего, что как-то они будут в стиле неуловимого Джо, никому не интересны. Но практика показывает по-другому. На самом деле, просто так пойти взять кредит, пока это все-таки нетривиальная задача, должен быть по большей части сообщник на стороне финансовой или микрофинансовой организации, который занимается такой деятельностью. А вот страшнее будет, если и когда сделают возможность виртуально взять этот самый кредит, просто предоставив скан паспорта либо посветив лицом на камеру без определенных подтверждений, в общем, упрощение – враг безопасности в данном случае будет. И вот если такое совершить, то прогнозирую дипфейков – довольно новые сущности с точки зрения киберпреступлений, которые пока еще больше в развлекательных аспектах используются, а не в реальности. Но это именно вопрос того, где деньги лежат.
Константин Чуриков: Раскройте мысль, Алексей Валерьевич, дипфейк – что имеется в виду, да, чтобы зрители нас поняли.
Алексей Дрозд: Дипфейк – это, грубо говоря, один из вариантов, пересадка одного лица на мимику другого лица. То есть, грубо говоря, в текущем эфире я беру вашу фотографию, обучаю программу, и потом, с помощью нескольких ухищрений, вашим лицом говорю совершенно не ваши слова, не ваши мысли, а свои.
Константин Чуриков: Ух ты!
Алексей Дрозд: И тем самым, этого может быть достаточно в банке для подтверждения личности. Если там будут применены некачественные алгоритмы и, собственно, по-раздолбайски отнесутся к этой процедуре. Пока этого нет, пока этого не предвидится, но разговоры нет-нет, да поднимаются в банковской сфере на тему того, а давайте сделаем возможность чуть ли не по кивку головы клиенту выдавать кредит, без всяких дополнительных.
Константин Чуриков: Алексей Валерьевич, вот я сейчас слушаю вас, параллельно смотрю другим глазом, на сайт РИА новости. И вот вижу новость: ЦБ планирует масштабную перезагрузку единой биометрической системы. Сопоставляю то, что вы говорите, и то, что пишут РИА новости о Центробанке, и как-то становится страшно.
У нас есть звонок. Давайте послушаем Виктора из Вологодской области. Виктор, здравствуйте!
Зритель: Да, добрый день!
Константин Чуриков: Да, ваш вопрос, пожалуйста, Виктор!
Зритель: У меня не вопрос, у меня замечание по поводу того, как долго будут существовать мошенники, которые пользуются услугами сотовой связи для звонков, для обзвонов, для массовой рассылки смс-сообщений. А будут они существовать до тех пор, пока кислород им в этом плане не перекроют. В том смысле, что сотовым компаниям, сотовым операторам просто выгодно существование этих самых мошенников. И сим-карты приобретаются в большом количестве, и масса звонков, смс-сообщений идет оплачиваемых, разумеется. Вот.
Константин Чуриков: Ну да. Это происходит, потому что это выгодно. Алексей Валерьевич, почему до сих пор можно симку купить в переходе? Я сам видел.
Алексей Дрозд: Потому что есть классическая проблема России, которая тянется еще со времен Российской Империи. Строгость законов компенсируется необязательностью их исполнения. Дело в том, что не только инициативы, но и принятые законы уже есть. И о подменных номерах, и о серых сим-картах, особенно в корпоративных секторах. Однако почему-то.
Константин Чуриков: Почему-то так происходит. Понятно. Спасибо большое, Алексей Валерьевич! Алексей Дрозд, начальник отдела информационной безопасности «Сёрчинформ». Сейчас к нам присоединяется Леонид Ольшанский, вице-президент движения автомобилистов России, почетный адвокат РФ, вообще в праве понимает Леонид Дмитриевич очень много, поэтому сейчас нам и ответит на наши вопросы. Леонид Дмитриевич, здравствуйте! Общего порядка вопрос, вот, почему законы-то есть, а не работают?
Леонид Ольшанский: Потому что поймать за руку очень трудно. Когда фомкой ломают дверь, там все ясно видно. Все эти электронные современные технологии, они трудно поддаются, во-первых, исследованию, а во-вторых, защите. Поэтому меры нам нужно принимать, и безобразие творится каждый день. Мне, например, звонят день за днем, ремонт окон. Она мне так нахально говорит, в базе. Базы гуляют, значит, нужно их защитить. Где у нас ФАПСИ надо понять? И наказание, хоть я и гуманист, но наказание за разглашение базы, за ее использование, надо нам, конечно, усилить.
Константин Чуриков: Леонид Дмитриевич, а еще, у любого сотрудничества, у любого договора, есть срок. Вот я приведу личный пример, вот я когда-то посещал спортзал, фитнес-клуб известный. Он мне не понравился. Я больше туда не хожу. Но каждый день, ну не каждый день, каждую неделю приходят какие-то дурацкие от них смс-ки, их не заблокировать, ничего с ними не сделать, уже и звонил, ругался, ничего с ними не сделать, бесполезно. Как этих людей призвать к порядку? Куда нужно обращаться?
Леонид Ольшанский: А видите, вы, когда подписываете договор, надо его внимательно читать. Там обязательно есть абзацик маленький, что настоящим даю согласие на обработку своих персональных данных. Все, вы дали согласие.
Константин Чуриков: Пожизненно? До конца моих дней они будут меня беспокоить? Буду на том свете, все равно будут смс-ки слать?
Леонид Ольшанский: Да. Вот почему многие люди меняют телефоны, меняют номера и так далее, так далее. Да, вот эти персональные данные – это, конечно, беда.
Константин Чуриков: Хорошо. Вот еще у многих вопрос по поводу вот этих скидочных карт в магазинах. Как известно, люди у нас в стране живут на все те же прежние невысокие доходы, а цены резко выросли. И когда тебе дают карту с возможностью получить скидку, ну это выгодно, понятно, это нужно. Но там требуют написать фамилию, имя, отчество, номер телефона, имейл, вообще, как быть людям тогда.
Леонид Ольшанский: Людям надо взять мысленно чашу весов поставить. Чуть-чуть подешевле – на одну чашу весов, а на вторую чашу весов – что эти данные будут курсировать. И ведь бывают случаи, что квартиры продают на подставных лиц, люди собственность теряют. Поэтому я бы не советовал. Вот карту мне, например, в одном магазине дали. Взять просто – я ее могу. Но представлять вам паспортные данные я не буду. Они дали просто карту. Есть так называемые просто карты без паспортных данных. Поэтому мой совет – бесплатный сыр бывает только в мышеловке. Своих данных не давайте никому.
Константин Чуриков: Леонид Дмитриевич, но есть ситуации, когда это просто необходимо. Элементарно, в любое учреждение человек приходит, что у него требуют – паспорт. Кто требует – вахтер, который там сидит, в лучшем случае, кнопку нажимает.
Леонид Ольшанский: Минуточку. Он говорит, документ. Есть концепция так называемая резервного документа. Водительские права, удостоверение адвоката, удостоверение инженера на заводе. У меня нет паспорта, меня Николай Иванович ждет, командир, вот возьми удостоверение. Надо всегда иметь резервное удостоверение.
Константин Чуриков: Хорошо. Это удостоверение могут не принять. Только паспорт. Это, не знаю, поликлиника, школа, детский сад.
Леонид Ольшанский: Нет, нет, нет. Мы живем, вот тут стоп. Серьезный такой стоп. Все решения Верховного Суда и постановления Конституционного Суда начинаются как под копирку с абзаца: «Согласно части 3 статьи 55 Конституции любое ограничение прав граждан возможно только по Федеральному закону…» Покажите любую статью Федерального закона, где проход в ваше здание только по предъявлению паспорта. Нет такой. Все, не законно. Можно пройти, но вы потеряете на входе полчаса. Минуточку, я сейчас свяжусь со старшим смены. Минуточку, сейчас мы еще будем разговаривать с руководителем службы безопасности. То есть, или мы упираемся рогом и не даем, или, чтобы экономить время, силы и здоровье, на, подавись, вот тебе паспорт. Переписал, все, дай пройти уже. Поэтому тут дилемма.
Константин Чуриков: Так. А еще вопрос. Вот человек дает согласие на обработку персональных данных. Многие не до конца читают или вообще не читают, на что они дают согласие. А можно потом отозвать это согласие и что для этого требуется?
Леонид Ольшанский: Можно пойти. Во-первых, любая бумага, согласие – не согласие, пишется в двух экземплярах. Отзываю свое согласие, девушка, вот на втором экземпляре распишитесь, пожалуйста, и штамп поставьте. Можно. Но они могут, не взирая на это, посылать смс-ки все равно. Но если отвечать на ваш вопрос как студенту юридического факультета, например, заявление подается в двух экземплярах, на втором экземпляре штамп, как доказательство, что я это заявление вам подал.
Константин Чуриков: Вы знаете, дело доходит даже до маразма. Вот мы, телеканал, телевидение, да, если так следовать букве закона, то это даже нельзя какие-то съемки на улице проводить, понимаете? Нельзя ни у кого брать интервью. Вот зрители нам звонят в эфир, мы же слышим их голос. Персональные данные – это любые данные, по которым можно идентифицировать человека. Получается, нам у каждого нужно брать согласие на обработку персональных данных? У нас буквально полминуты.
Леонид Ольшанский: Минутку. Согласие вам брать не надо, но, когда я прихожу на некоторые программы, я расписываюсь, что согласен свою физиономию там показывать.
Константин Чуриков: А, вот так вот. Понятно. Все очень сложно. Будем ждать изменений в законодательстве. Спасибо большое, Леонид Дмитриевич. Леонид Ольшанский, вице-президент Движения автомобилистов России, почетный адвокат РФ. Нам очень многие пишут, что… Иркутская область. Вот. «И нам эти сволочи тоже звонили про окна, пока не наступило 24 февраля». Многих после этой даты перестали беспокоить. Что же, мы продолжим через несколько минут. Впереди выпуск новостей. А потом будем говорить, что нам делать с нашей экономикой, тут есть разные мнения, в том числе и в Центробанке. Не переключайтесь.