Привет.
Целая череда скандалов с начала марта сопровождает российские сервисы, данные утекают вовне и становятся всеобщим достоянием. Десятки миллионов заказов в «Яндекс.Еде», включая персональные данные людей, затем ровно такая же проблема в Delivery Club, словно прямые конкуренты и здесь соревнуются в том, кто упустит больше данных. Позднее выясняется, что, помимо данных клиентов, оба сервиса упустили персональные данные курьеров, у каждого их больше полумиллиона человек. Параллельно произошли утечки данных CDEK, а также лаборатории «Гемотест», где персональные данные были разбавлены результатами тестов, в том числе на ВИЧ. Кажется, что в России данные пользователей хранятся из рук вон плохо, никто не утруждает себя их защитой. На словах эти данные защищают, на деле абсолютно не заботятся о них.
Думаю, что это один из аспектов отношения к цифровой гигиене. Люди не понимают, что значат их данные, как их можно использовать в жизни и почему их защита важна. Вспомним, что утечка данных заказов и пользователей «Яндекс.Еды» произошла в начале марта 2022 года, но эффект разорвавшейся бомбы она произвела в конце марта, когда кто-то добавил эти данные в удобный интерфейс, где на карте можно было просмотреть заказы в конкретный дом для разных городов или поискать по конкретному номеру телефона и увидеть все заказы, связанные с ним. При этом такая информация, как само содержание заказов, в базе представлена не была, хотя в изначальной утечке эти данные были. Посмотреть, что именно вы заказали, выбирали роллы или русскую кухню, в рамках удобного интерфейса невозможно. Но в изначальной базе данных все это присутствует.
Описывать повторно утечку «Яндекса» и то, что компания ничего не предприняла, не вижу смысла, у нас был подробный текст об этом. Важно, что с того времени компания так ничего и не сделала для защиты данных пользователей, кроме пространных утверждений, что теперь ограничен круг людей, имеющих к таким данным доступ. Этого явно недостаточно, чтобы мы чувствовали себя в безопасности.
В чем опасность таких данных? Это вопрос, который часто задается, и кажется, что ничего страшного в доступности этих данных нет, в конце концов, их можно найти и другими способами. Безусловно, это в какой-то мере так, но давайте рассмотрим простой пример того, как утекшие данные могут осложнить жизнь обычным людям.
Петербург, центр города — подъезды, точнее, парадные, закрыты на ключи и коды домофонов, у каких-то домов мнутся туристы, чтобы попасть внутрь и рассмотреть следы былого величия — то ли печку, сохранившуюся с незапамятных времен, то ли витражи на окнах.
Где-то жильцы устали от туристов и гоняют их, где-то, напротив, гордо показывают осколки былого. В доме Елисеева, где находится парадная «Ромашка», есть консьерж, предприимчивые жильцы собирают по сто рублей за посещение. Но это скорее исключение, в большинстве мест нет живых людей, только домофоны, и это жилые многоквартирные дома.
После утечки «Яндекс.Еды» работа закладчиков, которые размещают в парадных пакетики с запрещенными веществами, сильно облегчилась, теперь они с легкостью раздают коды доступа чужих людей, которые подсмотрели в утечке от «Яндекса». Для них моментально открылся огромный мир, причем в самых разных городах – в Москве, Петербурге и других. Если раньше эти пространства были закрыты, то сейчас они стали проходным двором. Камеры, висящие на входе, пока не решают проблемы, у них нет функции определения жильцов и выделения подозрительных людей, которые вводят коды, — такие возможности появятся через пару-тройку лет, мы к этому стремительно идем. Но сейчас этого нет.
Думаю, что никто из вас не хочет столкнуться с наркоманами около двери своей квартиры или видеть их в подъезде, соседство не самое лучшее. Знакомый участковый какое-то время назад рассказал о наблюдении за московскими домами в благополучном районе: люди щедро делятся с курьерами кодом входа в подъезд, а затем он становится известен сотням людей, его можно найти на форумах. Когда участковый просил сменить код домофона, люди не делали этого — слишком большие затраты времени, непонятно, как это можно сделать и, главное, для чего. Простая процедура отсутствует, а подумать, как одно связано с другим, у нас многие просто не хотят. Жалуются на тех же закладчиков, но ничего не хотят делать сами, чтобы исправить ситуацию. И это как раз одна из сторон наплевательского отношения к данным.
Непонимание цифровой гигиены сквозит во всем, что мы делаем. Вы понимаете, какой объем данных о вас собирает ваш смартфон и различные приложения, что на нем установлены? Уверен, что большинство об этом не задумывается — а ведь это очень точный ваш портрет и слепок вашей жизни.
В нашем мире не оставлять цифровых следов практически невозможно, конечно, если вы хотите пользоваться всеми благами цивилизации. Например, я услышал любопытное мнение, что нужно отказаться от сервисов доставки еды, заказа такси через приложение и других не менее удобных штук. Либо указывать там левые данные, что в теории возможно, но создает большее число сложностей, чем может показаться на первый взгляд. Создать цифрового двойника дорого и муторно, пока для этого нет интерфейса. В теории банки могли бы создавать виртуальные банковские карты, не привязанные к имени человека, но только в теории. Те же Google Pay, Samsung Pay, Apple Pay частично пытаются решить этот вопрос, закрывая данные пользователя от сервиса и выдавая только токены, по которым человека нельзя определить. В теории все звучит отлично, на практике, когда вы привязываете способ оплаты, вы делаете это под своим именем в другом приложении — вся безопасность осыпается, как конфетти, в единый момент. Мы сами не задумываемся о том, что можно и нужно защищать свои данные. Нас этому никто не учил, а жизнь пока не заставила.
К сожалению, считать, что вы самостоятельно сможете защитить свои данные и при этом пользоваться современными сервисами, нельзя. Утопия как таковая, вы не сможете стать анонимом в мире больших данных, тем более что компании вас считают цифровым продуктом, на котором можно заработать.
Но мы вовсе не безоружны перед лицом компаний, так как существуют законы, которые нас защищают. И если на данный момент за утечку персональных данных максимальная ответственность для компании составляет сто тысяч рублей, то ответственность перед каждым пострадавшим формально никак не ограничена, вы можете обращаться в суд от своего лица. Другое дело, что людей, которые так поступят, пока немного, но лиха беда начало. С каждой утечкой будет расти число тех, кто захочет из принципа наказать компанию, допустившую ее, а заодно немного заработать (в России вполне реально получить до 50 тысяч рублей плюс расходы на юриста). Для сравнения, масштабная утечка из «Яндекс.Еды» стоила компании штрафа в 60 тысяч рублей. То есть государство само толкает «Яндекс» на то, чтобы они торговали нашими данными, штраф слишком незначительный. В 2021 году у Oriflame украли 1.3 млн сканов паспортов клиентов, штраф компании составил 30 тысяч рублей. Недорого.
Минцифры предложило законопроект, согласно которому штраф за утечку персональных данных может составить до 1% годового оборота компании и до 3%, если в течение суток компания не известила об этом Роскомнадзор. Звучит хорошо, но нужно, чтобы такой закон появился и очень четко были прописаны критерии персональных данных. Так, в «Яндекс.Еде» утекшие данные своих клиентов не считают персональными (имя, номер телефона, адрес, число заказов, потраченные деньги). Нужно избежать возможных толкований того, что такое персональные данные.
Только усиление давления на компании может заставить их нести ответственность за наши данные. Причем это будет касаться не только частных компаний, но и государственных структур. В каждом случае нужно формировать наказание для тех, кто допустил утечку, вплоть до уголовной ответственности, как это делают операторы за разглашение данных абонентов со стороны сотрудников, когда те пытаются их кому-то передать. Воровство данных абонентов у операторов практически сошло на нет, получить данные, как лет десять назад или даже больше, невозможно.
Вывод, который можно сделать, прост. Старайтесь разумно подходить к тому, какие данные вы указываете в тех или иных сервисах. Например, можно не указывать код от домофона, а просто оставлять номер квартиры, пусть курьер позвонит, и вы его впустите. Привязывать сетевые сервисы можно ко второй SIM-карте, которая не связана с другими сервисами, например, банковскими. Меня всегда бесконечно радует, когда мне звонят на номер телефона, который не указан ни в одном банке, и начинают рассказывать, что мои деньги под угрозой. А вот на номер, на который действительно оформлены счета, таких звонков почти не бывает (из банков номера телефонов тоже утекают, и звонят как спамеры, так и просто мошенники, увы, это факт).
Рассчитывайте на то, что любые ваши данные, предоставленные стороннему сервису, станут публично доступными, не нужно думать, что они защищены. И поэтому исходите из самых плохих предположений, нам не остается сегодня ничего другого. Увы, наш мир устроен именно так.
Создать цифрового двойника невозможно, он все равно будет привязан к вам, и такая защита весьма дорога, а разрушить ее можно с легкостью. Поэтому просто подходите разумно к своим данным, не указывайте ничего лишнего. А в случае утечки старайтесь обратиться к юристам, чтобы они от вашего лица потребовали компенсации у компании, допустившей ее. Только наказание рублем может действовать в таких случаях, ничто другое не работает.
Вы не можете защитить свои данные в сервисах, которыми пользуетесь, но на своем устройстве это можно сделать, прочитайте текст об этом (в списке ссылок внизу). Думаю, что начатки цифровой гигиены и напоминание о базовых вещах никому не будут вредны.