Сделать стартовой  |  Добавить в избранное  |  RSS 2.0  |  Информация авторамВерсия для смартфонов
           Telegram канал ОКО ПЛАНЕТЫ                Регистрация  |  Технические вопросы  |  Помощь  |  Статистика  |  Обратная связь
ОКО ПЛАНЕТЫ
Поиск по сайту:
Авиабилеты и отели
Регистрация на сайте
Авторизация

 
 
 
 
  Напомнить пароль?



Клеточные концентраты растений от производителя по лучшей цене


Навигация

Реклама

Важные темы


Анализ системной информации

» » » Почему персональные данные продолжают утекать

Почему персональные данные продолжают утекать


19-12-2022, 12:01 | Политика / Размышления о политике | разместил: Око Политика | комментариев: (0) | просмотров: (1 210)


На днях Минцифры предложило штрафовать компании за утечку персональных данных на суммы до 3% годового оборота. Со стороны кажется, будто три процента — это пустяк, однако в реальности это как если бы обычного наёмного сотрудника штрафовали на несколько месячных зарплат, то есть невероятно больно.

Утечка персональных данных — это когда в Сеть утекает база клиентов какой-нибудь пиццерии, где прописаны телефоны и адреса покупателей, или база комментаторов развлекательного сайта, в которой кроме адресов с логинами есть ещё и незашифрованные пароли.

Если всерьёз наказывать компании за утечки, полагаю, проблема будет быстро решена. С технической точки зрения свести утечки к минимуму несложно. Данные так часто утекают ровно по одной причине — корпорациям на защиту данных клиентов глубоко наплевать. Ну, утекут у компании с миллиардными оборотами данные миллиона клиентов. Ну, оштрафуют её за это на 100 тысяч рублей. И что? Да дешевле каждый месяц платить такие штрафы, чем расширить штат хотя бы на одного девопса, не говоря уже о том, чтобы дать ему достаточно полномочий для работы.

Вот несколько моих соображений по поводу защиты данных — что можно было бы сделать, и чего пока что не делают.

1. Всю бюрократию с согласием клиентов на обработку персональных данных следует отменить. Пользы от неё ноль целых ноль десятых, а вред — весьма существенный. Во-первых, на заполнение всех этих согласий уходит бесценный ресурс, время. В масштабах страны — миллионы человеко-часов, потраченных на глупые бланки.

Для справки, год состоит из 2000 рабочих часов, а вся карьера обычного человека — из 70 тысяч рабочих часов. Если мы тратим в масштабах страны каждый год 7 миллионов человеко-часов на заполнение согласий, это как если бы мы каждый год отрезали руки у сотни студентов, лишая их возможности продуктивно работать. Воровство времени — огромная, мало кем сознаваемая беда.

Кроме того, сбор данных клиентов — нормальная практика, ответственный бизнес прямо-таки обязан изучать свою клиентуру, чтобы лучше удовлетворять её потребности. Если повар в пиццерии видит пометку «Рудольфу Обжорину нужна двойная порция сыра» — ущерба тут нет. Проблема не в том, что пометку видит повар, а в том, что менеджер пиццерии сливает базу хакерам за 15 тысяч рублей, и потом все собранные о Рудольфе данные утекают в публичный доступ.


2. Продолжу пример с пиццей и поваром. Повару не нужно видеть имя Рудольфа и его адрес. Курьеру не нужно видеть фамилию Рудольфа и его вкусовые предпочтения. Менеджеру поддержки нужно видеть только ту часть данных Рудольфа, которая относится к проблеме, с которой Рудольф ему звонит. Пароль Рудольфа не надо видеть вообще никому, его достаточно хранить в зашифрованном виде.

Это называется «разграничение прав доступа», и специалисты по безопасности умеют настраивать его ещё с античных времён, когда не то что компьютеров, даже механических часов ещё не изобрели.

Да, на настройку прав доступа надо потратить силы и время, поэтому проще дать каждому полные права. Но если у корпораций появится минимальная мотивация, они несомненно смогут настроить права доступа так, чтобы каждый видел только узкий, нужный ему участок.

3. Ещё по поводу узких участков. Допустим, у пиццерии 200 ресторанов по всей стране. Она может хранить все данные клиентов локально, отдельно по каждому из ресторанов. Тогда из отделения в Белогорске в самом худшем случае можно будет украсть только данные по клиентам из Белогорска. А если клиент из Белогорска поедет отдыхать, например, в Черногоск, оттуда можно будет отправить в Белогорск автоматический запрос: так и так, выдайте данные по такому-то клиенту, которые хранятся у вас. Если же из Черногорска поступит больше пяти запросов в неделю, зазвонит колокольчик у безопасника, и он начнёт проверять вручную — не пытаются ли хакеры выкачать базу удалённо.

4. Другой вариант, тоже рабочий, хорошо защищённая база в бункере под Москвой, которая выдаёт данные клиентов поштучно. Работает, допустим, курьер в Задонске, разносит по 30 пицц в день. Каждый раз при получении заказа он обращается к центральной базе, откуда лично ему выдают адрес и имя (не фамилию) конкретного клиента. При этом в базе фиксируется: такому-то курьеру выданы такие-то данные.

Украсть таким образом базу тяжело, так как ни у курьера, ни у менеджеров, ни у поваров просто нет к базе доступа — они получают данные поштучно, по мере необходимости. При этом каждая выдача данных записывается, и если данные позже всплывают у хакеров, несложно вычислить: ага, вот эти фамилии запрашивал сотрудник техподдержки из такого-то города, следовательно, он-то их налево и слил.

5. Есть и другие проверенные способы защитить данные технически — любой специалист по информационной безопасности может часами рассказывать про простые, дешёвые и эффективные рецепты обороны серверов.

Однако есть ещё и человеческий фактор. Сейчас наказания за слив базы данных налево фактически нет. Это несправедливо, так как утечки персональных данных наносят ущерб миллионам людей — вот как если бы злоумышленники сыпали бациллы холеры в городской водопровод. Будет и правильно, если наказание за слив служебных данных будет соответствовать преступлению — то есть будет составлять несколько лет реального тюремного срока.

В той же пиццерии есть кассы, а в кассах — наличные. Теоретически любой кассир может вынуть из кассы 100 тысяч рублей и положить себе в карман. Однако такие случаи редки, так как все понимают — будут искать, найдут, посадят в тюрьму. При воровстве данных волноваться клеркам не о чем. Даже если их будут искать и найдут, им грозит разве что выговор или увольнение, не более того.

Корпорации отлично умеют лоббировать законы. Напомню, не далее как в этом году корпорации пролоббировали чудовищный закон по уничтожению мелкого ювелирного бизнеса, нанеся тем самым российскому бизнес-климату, пожалуй, самый серьёзный единовременный ущерб за последние 10 лет (ссылка).

Понятно, что при таких возможностях корпорациям будет несложно пролоббировать и изменения в Уголовном Кодексе, чтобы сделать наказание за воровство данных соразмерным тяжести преступления. Повторюсь, не делают этого они ровно по одной причине — сейчас на утечки данных клиентов им наплевать.

Таким образом, если Минцифры удастся заставить корпорации платить штрафы, корпорации решат проблему утечек очень быстро, и в течение одного-двух лет утечки практически прекратятся.

Что же касается бумажек с согласием на обработку данных, то тут, света в конце туннеля я не вижу. Государство начнёт всерьёз бороться с бюрократией только после того, как общество научится ценить своё время. Пока что у нас с этим плохо: несправедливый штраф в 100 рублей вызывает вспышку благородной ярости, а излишняя бюрократия, крадущая 20 часов личного времени, воспринимается как мелкое и неизбежное неудобство.



Источник: Олег Макаренко: Место для дискуссий.

Рейтинг публикации:

Нравится15



Комментарии (0) | Распечатать

Добавить новость в:


 

 
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Чтобы писать комментарии Вам необходимо зарегистрироваться либо войти на сайт под своим именем.





» Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации. Зарегистрируйтесь на портале чтобы оставлять комментарии
 


Новости по дням
«    Апрель 2024    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930 

Погода
Яндекс.Погода


Реклама

Опрос
Ваше мнение: Покуда территориально нужно денацифицировать Украину?




Реклама

Облако тегов
Акция: Пропаганда России, Америка настоящая, Арктика и Антарктика, Блокчейн и криптовалюты, Воспитание, Высшие ценности страны, Геополитика, Импортозамещение, ИнфоФронт, Кипр и кризис Европы, Кризис Белоруссии, Кризис Британии Brexit, Кризис Европы, Кризис США, Кризис Турции, Кризис Украины, Любимая Россия, НАТО, Навальный, Новости Украины, Оружие России, Остров Крым, Правильные ленты, Россия, Сделано в России, Ситуация в Сирии, Ситуация вокруг Ирана, Скажем НЕТ Ура-пЭтриотам, Скажем НЕТ хомячей рЭволюции, Служение России, Солнце, Трагедия Фукусимы Япония, Хроника эпидемии, видео, коронавирус, новости, политика, спецоперация, сша, украина

Показать все теги
Реклама

Популярные
статьи



Реклама одной строкой

    Главная страница  |  Регистрация  |  Сотрудничество  |  Статистика  |  Обратная связь  |  Реклама  |  Помощь порталу
    ©2003-2020 ОКО ПЛАНЕТЫ

    Материалы предназначены только для ознакомления и обсуждения. Все права на публикации принадлежат их авторам и первоисточникам.
    Администрация сайта может не разделять мнения авторов и не несет ответственность за авторские материалы и перепечатку с других сайтов. Ресурс может содержать материалы 16+


    Map