Привет.
Одна из главных новостей дня почти везде звучит одинаково: хакеры взломали «Ростелеком». Учитывая размер корпорации, то, что это наш телеком-чемпион, становится как-то не по себе. Если ломают компании такого уровня, то о чем говорить нам с вами? Кажется, что наши данные доступны любому заинтересовавшемуся нашей персоной хакеру. Во всяком случае, после чтения новостей складывается исключительно такое мнение. И во многом это смещение нашего взгляда из области серьезных проблем, существующих вокруг нас, на территорию ситуаций, которые нас касаются мало или вовсе не задевают. Попробуем обсудить разные ситуации на примерах, а начнем с взлома «Ростелекома».
Мне не нравится играть в испорченный телефон и читать пересказ разных изданий о том, что именно произошло и как взломали одну из самых больших корпораций России. Даже не стал искать, кто из крупных изданий первым запустил эту волну, канва почти везде одна и та же, хотя первоисточник — это Telegram-канал «Утечки данных», где разместили следующее сообщение.
Можно сказать, что любая информационная атака имеет несколько направлений, одно из них — публичное озвучивание факта взлома, что, несомненно, наносит удар по жертве. Чем больше компания, тем больше у нее уязвимостей. Давным-давно в LA Times прочитал заметку, которая на долгие годы стала для меня синонимом информационной атаки на компанию в отсутствие серьезного для того повода. Игры редакторов в заголовки превратили обыденную заметку в сенсацию, процитирую по памяти: «В McDonalds произошел очередной взлом, компания не может защитить своих сотрудников». Заголовок кричащий, но вот внутри была совсем другая информация, там описывалось то, что во многих заведениях McDonalds туалеты для персонала находятся вне зданий, в них вламываются бездомные и компания не может оградить сотрудников от этого, так как не хватает людей, обеспечивающих безопасность. Навскидку не смог найти ту заметку, она появилась лет двадцать назад или около того, на тот момент не вызвала какого-то яркого обсуждения, а мне приглянулась именно аспектом информационного воздействия на компанию по ничтожному поводу.
Взлом «Ростелекома» — это серьезный инцидент в любом из аспектов, но всегда необходимо смотреть первоисточник, а также пытаться оценить размер ущерба. В первоисточнике утверждается, что в украденных данных содержится 154 тысячи электронных адресов (только уникальные данные), а также 101 тысяча номеров телефонов. Описываются сайты, которые были взломаны. И вы можете не знать, что именно содержится на этих сайтах, но давайте попробуем оценить, насколько это важная утечка и что она дает тем, кто получит эти данные.
Алгоритм оценки ущерба максимально простой: смотрим на объем информации, которую получили взломщики. Много это или мало — 154 тысячи уникальных почтовых адресов? В России активных пользователей почты со своими почтовыми адресами, которые используются постоянно, около 240 млн (на одного человека может приходиться несколько почтовых адресов, например, рабочий и домашний). Та же история с мобильными номерами, в активном использовании их чуть более 220 млн штук. И тут возникает вопрос: а насколько серьезна утечка в «Ростелекоме», если утекло не так много данных?
Не пытаюсь заниматься софистикой, обесценивать сам факт утечки, которой в такой компании, как «Ростелеком», не должно было возникнуть вовсе. Но мы оценили размер утечки и видим, что он незначительный. Для сравнения вспомним утечку данных заказов и клиентов в «Яндекс.Еде» в 2022 году. Тогда в сеть попали данные 6.8 млн пользователей, то есть практически каждого, кто использовал сервис от «Яндекса». И не только данные, но и информация, как попасть в подъезд (код доступа к домофону), имена и фамилии, адреса, а также сами заказы. Утечка была неприятной и до сих пор дает информацию для мошенников всех мастей. В «Яндексе» отделались минимальными штрафами (например, штрафом в 60 тысяч рублей), а затем последовательно выступали против каких-либо штрафов за утечку персональной информации, ведь это будет плохо для бизнеса.
Комментарий «Ростелекома» про утечку выглядит следующим образом: «Ранее компания фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика. В настоящее время мы изучаем содержимое базы данных, чтобы определить, какая часть данных была скомпрометирована и относится ли она к компании. Предварительно можно сказать, что утечки особо чувствительных персональных данных не было».
И привычно следует рекомендация использовать двухфакторную идентификацию везде, где только возможно, и при желании сменить пароль. Такие советы даются по умолчанию во всех подобных ситуациях, они вовсе не значат, что кто-то получил доступ к паролям для входа в те или иные системы «Ростелекома» или пользователей.
Во всех историях с утечками публика хочет быстрых ответов, не готова чего-либо ждать. Большинство информационных атак строится вокруг понимания этого факта. И то, что тот же «Ростелеком» подробно отчитается по факту утечки через какое-то время, не играет роли. Важно, что сегодня это тема дня. А ответы компании через некоторое время уже никого не будут интересовать.
Хочется разумного и ответственного подхода как от медиа, так и от читателей. Критического восприятия того, что важно и затрагивает многих, и тех утечек, которые никак на нас не влияют.
Обратите внимание, оба сайта «Ростелекома» являются корпоративными, на них нет обычных пользователей услуг компании. Те же закупки относятся к юридическим лицам, что по умолчанию говорит об утечке корпоративных почтовых адресов и номеров телефонов. Это не контакты обычных людей, которые каким-то образом собраны на сайте компании. И это тоже следует из первоначального сообщения. Нам нужно задумываться о том, что мы видим и как нам это подают в конечном итоге, оценивать эти моменты.
Например, мне претит участвовать в медийных историях, когда происходит игра в испорченный телефон и искаженная информация о компании, об утечке начинает жить своей жизнью. Но давайте в качестве противопоставления расскажу другую историю.
Дети Сергея Безрукова и их телефоны
Приехал в Сочи по делам, пользуясь возможностью, гуляю по городу, захожу в магазины, музеи, галереи. В центре есть примечательное место «Форт» — художественные мастерские, в которых выставлены работы разных художников, тут же проводят мастер-классы. Каждый раз пытаюсь заскочить сюда, чтобы посмотреть всякую всячину, получаю от этого удовольствие. Посмотрите на примеры того, что вы можете найти внутри.
В одном из магазинчиков увидел разные деревянные игрушки, среди них оказались и мобильные телефоны. С интересом стал их рассматривать, сделал несколько фотографий.
Продавец увлеченно стал рассказывать, что на днях к нему заходил Сергей Безруков с детьми, он купил несколько таких телефонов своим детям. Нисколько не умаляю публичного статуса актера Безрукова, но его частная жизнь должна оставаться таковой. И в данном случае мы видим пример бытовой утечки данных о том, где был Безруков с детьми, что именно он делал и какие телефоны (пусть и игрушечные!) приобрел детям. И этой информации не должно быть в публичном поле, во всяком случае, если ее распространение не контролирует сам Сергей Безруков и его близкие.
Думаете, таких бытовых сцен происходит не так много и это исключительный случай? Увы, нет. В бытовом аспекте распространение чужих секретов поставлено на поток, а люди даже не могут понять, что именно они делают и почему. Иногда они понимают, что поступают плохо, но не представляют себе, насколько.
Например, рестораны нанимают на работу хостес, которые должны обеспечивать бронирование столов для гостей, сопровождать их, решать мелкие задачи. Хостес создают свои небольшие свечные заводики, в которых торгуют местами в заведении (по телефону мест нет, только депозит в таком-то размере! Приходишь, а заведение стоит пустым, хостес скучает у входа, и ты садишься просто так). Другой вариант их потенциального заработка – узнать, кто из известных людей будет в ресторане, и продать эту информацию. Круг покупателей широк, от папарацци до женщин с низкой социальной ответственностью. Является ли факт посещения ресторана тем или иным человеком персональной информацией? Не совсем. Но может принести массу проблем в обычной жизни, и это самое главное, что нужно знать.
Корпоративные утечки информации опасны, важно принимать их во внимание. Но сегодня во всем мире, и Россия не исключение, на первый план выходит бытовая слежка, утечки информации от третьих лиц. Серая зона, в которой ничто не регулируется, размер утечки минимален, так как касается конкретного человека. И более того, тот же продавец в магазинчике, который нахваливал свой товар, рассказывая про Безрукова, делал это не со зла. Ему в голову не приходила мысль, что в этом может быть что-то плохое и неправильное.
Моя идея в том, что мы сегодня постоянно талдычим об утечках данных в компаниях, об этом важно говорить. Но предлагаю расширить тему и посмотреть на все утечки, которые случаются и возможны. А заодно подходить к каждому вопросу ответственно, пытаясь разобраться, что именно взломали, какие данные стали публичными, насколько это опасно. И уже потом фонтанировать эпитетами и эмоциями по поводу конкретной ситуации. Думаю, что такой подход выглядит взвешенным и дает возможность разобраться, что именно произошло на самом деле. В идеале он также убирает остроту информационных атак, когда задействован негативный PR в отношении пострадавшей стороны.
P.S. «Ростелекому» спасибо за повод поговорить об этом, но в любом случае им нужно будет отдельно и в деталях рассказать про инцидент. Так будет правильно. Чтобы не осталось двусмысленностей после той волны, что поднялась вокруг этой темы.