Как из пользователей делают потерпевших

Репутационные издержки из-за утечек ваших данных легко пережить. Примеров достаточно.

В октябре этого года Google решила закрыть соцсеть Google+ из-за масштабной проблемы с безопасностью. Соцсеть предоставляла сторонним разработчикам доступ к конфиденциальным данным пользователей, которые не были помечены как «общедоступные». Оказались скомпрометированными данные более 500 тысяч пользователей. Из последних атак запомнилась также утечка в Facebook, затронувшая 29 млн пользователей.

Ранее жертвами хакеров становились медицинский страховщик Anthem, интернет-гигант eBay, банк JPMorgan Chase, торговые сети Home Depot и ритейлер Target, корпорации Yahoo, Adobe и другие.

В апреле этого года Комиссия по биржам и ценным бумагам США выписала штраф Yahoo за то, что руководство корпорации не уведомило инвесторов о крупной утечке 2014 года. Тогда хакеры получили доступ к персональным данным 500 млн человек. Информация о взломе стала публичной только в 2016 г. Комиссия штрафует Yahoo не за сам факт утечки, а за то, что руководство компании не раскрыло информацию о ней ни своим инвесторам, ни аудиторам. Члены правления были в курсе произошедшего, но предпочли молчать.

Позднее руководство Yahoo признало факт еще одной, более крупной утечки от 2013 г., когда хакеры похитили по предварительной информации данные миллиарда, а по уточненным сведениям — трех миллиардов пользователей. По сути утекли данные всех клиентов Yahoo.

Понятно, что хакеры совершенствуют свои методы, но почему корпорации так безответственно относятся к данным своих клиентов? Эксперты Motherboard считают, что компании рискуют ради прибыли, и когда сопутствующие потери невелики, они готовы идти на риск вновь и вновь.

Специалисты исследовательского цента Ponemon Institute в своем докладе «2018 Cost of a Data Breach Study», подготовленном по заказу IBM, подсчитали, что средний ущерб от утечки данных в мире составляет около 3,86 млн долларов, включая затраты на ИТ-услуги, страховые выплаты, оповещение пострадавших пользователей и потерю клиентов. В США убытки в среднем оценили в 7,91 млн долларов. В исследовании рассмотрены 477 компании со штатом от 1 тыс. до 100 тыс. сотрудников, в год получают выручку от 100 миллионов до 25 миллиардов долларов. Так что ущерб от утечек для них — не более чем погрешность при округлении, отмечает основатель и президент Ponemon Institute Ларри Понемон (Larry Ponemon).

Кроме того, у самих пользователей очень короткая память, и проблема приватности их волнует не в первую очередь. Исследование Ponemon показало, что после утечки у Facebook доверие к одной из крупных компаний упало с 78 до 25 процентов, но очень скоро цифры вернулись сначала к 30, а затем поднялись до 60 процентов. Через пару месяцев показатели нормализовались, будто ничего и не было. Люди предпочитают не вспоминать о проблеме, потому что хотят продолжать пользоваться привычными сервисами и продуктами, найти замену которым часто бывает непросто.

Часто сами корпорации относятся к конфиденциальной информации пользователей как к своему товару. Не так давно разработчики браузера с блокировкой рекламы Brave подали официальную жалобу на Google. Компания обвиняет поисковик в слежке за пользователями, передаёт Reuters. Brave считает, что Google нарушает регламент Евросоюза по защите данных (GDPR). Компания, основанная создателями Mozilla, выпускает браузер, который блокирует баннеры и не позволяет поисковикам, соцсетям и провайдерам отслеживать историю поиска и личные данные пользователей. По словам экспертов, реклама основана на данных об этнической принадлежности, местоположении и политических убеждениях пользователей, что является грубым нарушением GDPR.

Государство пытается регулировать отношения между пользователями и корпорациями, но не всегда во благо первых. Все мы помним скандалы с тотальной слежкой, которую учинило АНБ над миллионами пользователей по всему миру, включая сотрудников европейских разведок, депутатов Европарламента и первых лиц государств. Такая практика продолжается на Западе и сейчас. Министерство внутренних дел Германии недавно одобрило к использованию программное обеспечение FinSpy для мониторинга зашифрованной связи на мобильных устройствах; официально софт называется «Программное обеспечение для мониторинга источников телекоммуникаций», но фактически является трояном. FinSpy должен помочь Федеральному управлению уголовной полиции читать зашифрованные сообщения в мессенджерах вроде WhatsApp, Telegram или Signal. Программа тайно устанавливается оперативниками на мобильном устройстве подозреваемого, незаметно записывает зашифрованные чаты и передает их правоохранительным органам.

В июне 2017 года Бундестаг принял реформу уголовно-процессуального кодекса, позволившую полиции использовать подобные программы слежки, но лишь на основании судебного решения. Предполагается, что это поможет борьбе с терроризмом, торговлей наркотиками, а также в делах об уклонении от уплаты налогов.

Иногда государствам удаётся отстоять свой суверенитет в вопросах хранения цифровых данных своих граждан. Так, компания Apple официально объявила о том, что 28 февраля передает управление данными китайских пользователей iCloud местной компании Guizhou on the Cloud Big Data (GCBD), связанной с властями Китая. Этот шаг обусловлен требованиями китайского законодательства, которые обязывают компании хранить данные о китайских пользователях на территории страны. Правила вступили в силу летом 2017 года.

В свою очередь, в России пользователей приучают к новой цифровой культуре — делиться своими данными только добровольно и на основе взаимной пользы.

Так, в национальной программе «Цифровая экономика» может появиться положение о поощрениях для россиян, данные которых используют банки, логистические и транспортные компании, страховщики и другие организации, сообщает РБК. Куратор направления «Нормативное регулирование» в нацпрограмме Дмитрий Тер-Степанов сравнил начисление поощрений для пользователей с получением благ авторами произведений. В какой форме будут поощрять россиян, пока обсуждается. Это могут быть деньги, бонусы, скидки или что-то другое. В обсуждении участвуют чиновники и бизнесмены. Участники рынка пользовательских данных оценивают его объем в 3,3 миллиарда рублей. Они считают, что законодательное регулирование оборота данных сделает их сбор и обработку более прозрачными, и позволит человеку следить, как с ними обращаются.