Привет.
Нас окружает всевозможная электроника, она стала неотъемлемой частью повседневной жизни. Человек, забывший смартфон дома, чувствует себя голым и возвращается за ним. Нам удобно с нашими устройствами, они позволяют получать информацию в любом месте, где бы мы ни находились, а также дают возможность сохранять фотографии и видео, записывать наши мысли, при желании транслировать их в социальных сетях. Современный мир — это подобие ада для тех, кто отвечает за безопасность секретов компаний и государств, так как точек уязвимостей бесконечное число, защитить данные становится все сложнее и сложнее. Мы постоянно сталкиваемся с теми или иными ограничениями, которые кажутся нам глупыми и несуразными, отрицающими реалии современного мира.
Любой, кто подавал документы на визу в американском посольстве или консульском центре, знает, что на входе у вас требуют оставить всю электронику, даже наушники. Где-то за этим следят пристально, где-то сквозь пальцы, но сам подход именно таков: никакой электроники внутри. Подобный подход быстро распространился на представительства других стран, даже если это сторонняя организация, которая занимается оформлением документов для посольства. Сдавая документы на испанскую визу в начале этого года, наблюдал, как охрана бегает по залу и просит убрать телефоны: “Иначе мы вас выведем наружу, телефоны запрещены”. Никаких секретов в зале нет, только посетители и те, кто принимает документы на визу. Что защищают запретом на съемку? Возможно, хотят скрыть потенциальные конфликты, когда разъяренные люди не получают желаемого.
Но если говорить о потенциальной краже секретной информации, то правила устанавливаются в режиме параноика. Например, когда проходят совещания в Кремле, все присутствующие сдают свои телефоны и другую электронику перед тем, как войти в зал для обсуждений. Безусловно, тут все зависит от уровня встречи и присутствующих людей, в большинстве случаев таких драконовских мер не предпринимается.
Те, кто отвечает за безопасность, считают, что никакие меры не могут быть чрезмерными. Около десяти лет назад российские чиновники получили необычную услугу: раз в неделю к ним приезжал специальный человек, который менял их телефон ровно на такой же, с тем же номером на SIM-карте, но все другие параметры отличались — другой IMEI-номер, уникальный номер SIM-карты. Продержалась эта инициатива не больше года, затем ее признали не слишком действенной против реальных угроз, тем более что люди все равно продолжали пользоваться собственными учетными записями, по которым их можно было с легкостью найти.
Помните историю про утечку из iCloud Дмитрия Медведева? Тогда его данные и фотографии попали в публичный доступ. Никакой секретной информации в архиве не содержалось, смартфон использовался для повседневных дел, общения с близкими, но не для того, что называется государственными делами. И это разделение на уровне организации безопасности, правильный подход. Печально, что в принципе архив iCloud стал публично доступен, но ущерб оказался минимальным. Хотя ситуация, как ни крути, невообразимая.
Приведу другой пример, который каждый раз вызывает бурные эмоции. Компании часто приглашают прессу на предварительные показы новинок, которые происходят до официального анонса, все подписывают бумаги о неразглашении и обязуются до часа Х хранить все в секрете. Обычно на таких мероприятиях не разрешают использовать смартфоны, камеры заклеивают специальными стикерами, SIM-карты требуют убрать. Только обычные камеры для съемки, ничего другого.
С каждым годом возмущение журналистов растет все больше и больше, так как многие используют в качестве фотоаппарата свои смартфоны, им хватает за глаза качества снимков и видео. И вот их лишают рабочего инструмента, словно в компаниях не понимают, что все пользуются смартфонами для съемки. Абсурд этой ситуации был виден на закрытом показе смартфона Sony, которые рекламировали как заменяющий полноценную камеру. То есть в компании сами утверждали, что смартфоны уже доросли до камер, но не давали их использовать по назначению.
Назвать организаторов недалекими, следующими мифическим и устаревшим правилам нельзя. Причина их поведения заключается в том, как устроена информационная безопасность в их организациях и почему такие правила возникли.
Как организована работа современных смартфонов? Вы делаете снимки, а дальше они загружаются в то или иное облако автоматически, кто-то может по умолчанию иметь к нему доступ. И с юридической точки зрения вы не совершали осознанного действия, не нарушали договор о неразглашении, но утечка произошла. В прошлом было несколько подобных историй, где источник утечки определялся разными путями, компании высказывали свое фи, но доказать злонамеренность действий не могли. Все утекло в сеть автоматически, какой спрос с человека? Вот именно из-за этого и возникли подобные правила, причем они более-менее одинаковы для разных компаний.
Заклеенные камеры смартфонов — это полная ерунда по сравнению с тем, что вы можете испытать, если у вас автомобиль Tesla. Отправился на такой машине в гости к одной корпорации, договорились, что мне предоставят гостевую парковку внутри кампуса, нужно будет проехать по красивой дорожке между зданиями и потом немного пройтись. На въезде к шлагбауму подошел охранник: “О, у вас Tesla, вам придется оставить машину вот здесь, справа. Можете пройтись пешком, или я могу вызвать для вас машину, она подвезет вас к корпусу”. Ситуацию прояснил сотрудник, который сопроводил меня перед встречей и ответил на мои недоуменные вопросы: “Корпоративная политика безопасности, у нас не разрешены машины с автопилотом на территории кампуса, так как они записывают все на камеры, и как может использоваться эта информация, никто не знает. Мы защищаем наших сотрудников”.
Ирония заключалась в том, что вышеупомянутая компания подвизалась на ниве различных систем распознавания образов, роботов для промышленности и повсеместно использовала в своих решениях камеры. Получается, что, работая в этой сфере, они знали нечто такое, что ускользает от нас с вами.
Полистал новости и обнаружил, что автомобили Tesla нежелательны во многих местах, но лучше всего это видно на примере Китая. Когда в тот или иной город приезжает Си Цзиньпин, дороги перекрывают, а въезд в закрытые части города для Tesla запрещается, равно как и для любых иных автопилотов. В том числе такие машины не могут стоять на улицах. Прообраз безопасности будущего, который выглядит удивительным.
Вот вам свежая новость, с начала июля въезд в город Бэйдайхэ, в котором проходит съезд Коммунистической партии Китая, закрыт на два месяца. Опасения ровно те же самые — что камеры машин могут снять что-то и передать в офис Tesla. Напомню, что, в отличие от других производителей, в Tesla снимают телеметрию с большинства своих машин чуть ли не в режиме реального времени. Недоверие к чужим технологиям, отсутствие прозрачности в решениях — все это диктует такие ограничения. Причем, как и сказал выше, всегда есть подозрение, что те, кто устанавливает ограничения, что-то знают о себе и переносят свои действия на другие государства и компании. И это как раз напрягает больше всего, то есть слежка есть, вопрос только в том, кто именно ее ведет.
Мы не удивляемся тому, что наши смартфоны нас слушают. Обсудив с товарищем океанские яхты, я начинаю видеть контекстную рекламу от Google, которая предлагает мне приобрести такую яхту. Никаких запросов, никакого поиска до того не было сделано, обычный разговор в кафе, а в результате смартфон точно знает, что мне показывать. Нас уверяют, что ни один человек не вмешивается в алгоритмы, никто не слышит наши разговоры. Но допустим на минутку, что кто-то все-таки следит за нами, неужели компания призналась бы в этом и сказала, что осуществляет такой контроль?
Компании постоянно прокалываются в слежке за своими клиентами, например, в «Яндексе» допустили ошибку и навигатор записывал все разговоры, что происходили в автомобиле, где находился телефон. Обнаружил это один из пострадавших, у него резко вырос трафик на серверы «Яндекса», счет шел на гигабайты. За ошибку извинились, все исправили. Но тут возникает закономерный вопрос, а что именно исправили — отправку всех файлов без разбора или все-таки выборочное отслеживание нужных тем и разговоров? Конечно же, в компании говорят, что никогда не следили за пользователями. Все компании утверждают это и заявляют об ответственности, о том, что пользователи на первом месте. Но если посмотреть на то, какие меры предпринимают сами компании для защиты своих интересов и тайн, становится понятным, что они исходят из предположения, что за ними не просто следят, а используют для этого обычную бытовую электронику. И такие недокументированные возможности вполне вероятны, но мы закрываем глаза на потенциальную опасность. Наши дома нашпигованы электроникой разного толка — от смартфонов и компьютеров до телевизоров, что имеют встроенные камеры, датчики определения присутствия. Умный дом с разнообразными датчиками, различные приспособления, облегчающие жизнь. И наша полная уверенность в том, что они никак не следят за нами. Те же умные колонки имеют функцию физического отключения микрофона, но ей никто не пользуется, зачем это нужно?
Тема безопасности наших данных еще не получила должного развития, мы не понимаем, как работают устройства, что они передают, а что нет. Как их можно взломать, чтобы получить доступ к нашим данным. Это территория, на которой пока нет общепринятых законов, все впервые и вновь. Не думаю, что нам нужно срочно пугаться и отказываться от привычного образа жизни, переходить на кнопочные телефоны, вместо смартфонов пользоваться тетрадками. Но стоит как минимум задаваться вопросами об информационной безопасности, а также о том, какие хищные вещи нашего века охочи до наших данных и как остановить утечку информации. Становиться параноиками точно нет смысла, но задумываться нужно.