Основной канал утечки персональных данных — это не хакерские атаки, а корыстные действия недобросовестных сотрудников компаний. Большинство клиентских баз оказываются в руках третьих лиц в результате сливов. При этом компании практически не несут никаких рисков, кроме репутационных. Так заместитель председателя правления Регионального общественного центра интернет-технологий (РОЦИТ) Вадим Ампелонский прокомментировал участившиеся случаи утечек персональных данных от западных ИТ-гигантов. В частности, в январе 2023 года жертвой хакерской атаки, в результате которой утекло 37 миллионов записей персональных данных клиентов, стала немецкая телекоммуникационная компания T-Mobile. Ущерб понес и Google Fi, виртуальный мобильный оператор, пользующийся сетями T-Mobile.
«Возместить ущерб для владельца скомпрометированных данных — дело фактически безнадежное. Бремя доказывания ущерба лежит на самом пострадавшем, а доказать связь между утечкой в компании — операторе персональных данных и личным ущербом на практике очень сложно. Так мы пришли к ситуации, что, по экспертным оценкам, в 2022 году личные данные 75 процентов россиян находятся в открытом доступе. Среди них — данные детей, военных, госслужащих, сотрудников оборонных предприятий. Это катастрофа. При этом мы живем в парадигме, что сбор и обработка персональных данных любым коммерческим субъектом — это благо, позволяющее компаниям совершенствовать свои сервисы. Во-первых, это не совсем так: персональные данные, в основном, используются компаниями в маркетинговых целях. Во-вторых, сегодня ценность такого "блага" не встает не в какое сравнение с теми рисками, которые влечет бесконтрольный оборот данных», — подчеркнул Вадим Ампелонский.
Крупных утечек не смог избежать и сам Google, экспериментировавший с созданием своей социальной сети Google+. В 2019 году сеть закрыли из-за наличия огромного количества проблем, однако спустя месяц после этого в открытом доступе оказались данные 52,5 миллиона пользователей. Уязвимость позволяла получать доступ к закрытой информации профиля, такой как имя, возраст, адрес почты и место работы.
«На самом деле, возможность сбора и обработки больших объемов персональных данных должна быть только у тех организаций, которые способны обеспечить сверхвысокий уровень их защиты. А сам режим обработки персональных данных должен быть сравним с режимом защиты государственной тайны или работы с радиоактивными веществами. И крупные оборотные штрафы за нарушения такого рода режима, и уголовная ответственность для тех, кто осуществляет "сливы" данных и участвует в их незаконном обороте — все это абсолютно необходимые меры», — отметил Вадим Ампелонский.
В 2021 году в открытом доступе в сети оказались персональные данные 522 миллиона пользователей Facebook (запрещенная в РФ соцсеть; принадлежит корпорации Meta, которая признана в РФ экстремистской и запрещена), куда входили в том числе номера телефонов. В этом же списке оказались и ключевые фигуры компании — Марк Цукерберг, Дастин Московиц и Крис Хьюз. База насчитывала и пользователей из России — слитыми оказались данные почти 10 миллионов россиян. Как объяснил ИТ-гигант, причиной утечки стала уязвимость, которая была устранена в 2019 году.
«К сожалению, для Meta (корпорация Meta признана в России экстремистской и запрещена) ценность персональной информации граждан осознают и государства. За этот инцидент Ирландская комиссия по защите данных оштрафовала компанию на 265 миллионов евро. Конечно, когда речь идет о такой масштабной платформе, как Facebook (запрещенная в РФ соцсеть; принадлежит корпорации Meta, которая признана в РФ экстремистской и запрещена), какие-то ошибки и уязвимости неизбежны, но скандальная репутация ИТ-гиганта не позволяет относиться к нему снисходительно», — прокомментировал первый заместитель председателя Комиссии по развитию информационного общества, СМИ и массовых коммуникаций Общественной палаты России Александр Малькевич.
Эксперт напомнил инцидент с компанией Cambridge Analytica, которая при помощи соцсети собрала информацию для размещения политической рекламы. «Тогда Цукерберг признал ошибку, что платформа сделала недостаточно для предотвращения использования ее функционала во вред. Но инциденты с персданными для Meta (корпорация Meta признана в России экстремистской и запрещена) все еще не редкость. Видимо, компания плохо усваивает уроки», — добавил Александр Малькевич.
От наличия уязвимости пострадал и Twitter, ставший жертвой хакера под псевдонимом «Devil» в 2022 году. В результате его действий были украдены данные более чем 5,4 миллионов аккаунтов. Злоумышленник воспользовался багом в процессе авторизации на клиенте под операционную систему Android. А внутренние документы Facebook (запрещенная в РФ соцсеть; принадлежит корпорации Meta, которая признана в РФ экстремистской и запрещена) прямо указывают, что компания понятия не имеет, куда отправляются данные пользователей и что с ними происходит. А профильные инженеры не смогли объяснить, в каких из 55 подсистем могут храниться персональные данные.
«Компания Meta (корпорация Meta признана в России экстремистской и запрещена) — одна из крупнейших мировых ИТ-компаний с десятками тысяч программистов и годовой выручкой под сотню миллиардов долларов, сервисом с 3 миллиардами пользователей. Казалось бы, они — эталон надежности, у них-то не должно быть утечек персональных данных — и тем не менее, они регулярно случаются, в огромных масштабах. Почему? Ну, в-первых, утечки обычно — не результат атак хакеров, а результат воровства инсайдерами, на уровне среднего менеджмента и рядовых разработчиков», — считает президент компании «Крибрум», член Совета при президенте Российской Федерации по развитию гражданского общества и правам человека Игорь Ашманов.
Но почему Meta (корпорация Meta признана в России экстремистской и запрещена) не навела порядок, не ввела строжайшую дисциплину, слежку на местах, систему «дух ключей», задается вопросом Игорь Ашманов. «Моя гипотеза состоит в том, что при таких доходах и перегретой капитализации проще включать возможные штрафы за утечки (вероятность которых невысока, а судебные процессы волокитятся годами) сразу в бизнес-планы на год — в раздел рисков, чем вкладывать сейчас реальные деньги в процедуры и инфраструктуру информационной безопасности», — отметил эксперт.
Данные пользователей в любом случае уходят в АНБ по закону «Акт о свободе» от 2015 года, а также «коммерческим партнерам компании Meta (корпорация Meta признана в России экстремистской и запрещена), как написано в пользовательских соглашениях, напомнил Игорь Ашманов. То есть в компании все привыкли, что эти данные все равно доступны очень многим операторам. В том числе для целей рекламы, слежки, воздействия, шантажа, геополитических игр. «Это создает у сотрудников и менеджмента заведомо легкое отношение к данным пользователей. Это же не люди, а векторы. А какие права могут быть у вектора?», — подчеркнул Игорь Ашманов.
