Безопасность №6, май 2017

Утечки данных. Рекомендации

Фото аватара
Редакция

Избранные главы «Отчета о глобальном Интернете 2016», Global Internet Report 2016

Редакция

Утечки данных являются существенной проблемой по всему миру. Тем не менее, несмотря на растущее осознание рисков, они все равно происходят, подрывая доверие пользователей к Интернету. Стремясь понять проблему, авторы отчета анализируют экономические причины, которые могут противодействовать инвестированию в адекватные меры защиты данных и принятию таких мер. В отчете содержится пять рекомендаций по решению поднятых нами проблем касательно экономики утечек данных. Все эти меры подкрепляют друг друга, образуя своего рода кольцо безопасности данных.

Утечки данных являются существенной проблемой по всему миру. Тем не менее, несмотря на растущее осознание рисков, они все равно происходят, подрывая доверие пользователей к Интернету. Стремясь понять проблему, авторы отчета анализируют экономические причины, которые могут противодействовать инвестированию в адекватные меры защиты данных и принятию таких мер. В отчете содержится пять рекомендаций по решению поднятых нами проблем касательно экономики утечек данных. Все эти меры подкрепляют друг друга, образуя своего рода кольцо безопасности данных.
Первая рекомендация – поместить пользователей, являющихся конечными жертвами утечек, в центр решений по борьбе с утечками. Дополнительное ускорение этой мере придаст наша вторая рекомендация: больше открытости в обсуждении рисков утечки данных, инцидентов и их эффекта в мировом масштабе. Благодаря этому безопасность данных станет осознаваться как приоритетная задача, а значит, возникнет спрос на лучшие средства безопасности и методы профилактики/смягчения последствий.
Чтобы повысить экономические стимулы для внедрения этих средств в организациях, необходимо увеличить их ответственность, в том числе и финансовую, в случае утечки данных. В то же время организации, вложившие средства в лучшие меры защиты против утечек данных, должны иметь возможность убедительно сообщать об этом рынку, чтобы получить преимущество от вложений в безопасность. В основе этих пяти рекомендаций лежат два важных принципа: ответственность за данные (Data Stewardship) и коллективная ответственность.
Мы понимаем, что приведенные рекомендации являются средне- и долгосрочными, и что необходимо участие всех заинтересованных сторон. В качестве отправной точки мы приведем ряд советов по ключевым моментам того, как начать процесс внедрения наших рекомендаций. Мы хотим начать диалог и задать направление, а не навязывать собственные решения.

Принципы

В основе пяти рекомендаций лежат следующие высокоуровневые принципы:

Ответственность за данные
(Data Stewardship)

Организации должны считать себя хранителями данных пользователей, защищая их данные не только потому, что того требует бизнес, но и от имени самих пользователей. Это соответствует приведенной ниже рекомендации об ориентации на пользователя. Пользователи хотели бы, чтобы организации обращались с их личными данными не только как с источником дохода. Организациям следует внедрить этичный подход к работе с данными и осознать, что делать добро выгодно: защита данных пользователей должна стать самоцелью, которая при этом защищает организацию.

Коллективная ответственность

Интернет один на всех. Одна утечка может привести к другой: «твоя проблема может стать моей проблемой». Организации несут общую ответственность с другими заинтересованными сторонами за обеспечение безопасности экосистемы данных в целом (см. www.internetsociety.org/collaborativesecurity). Например, поставщики могут предоставить решения, облегчающие профилактику утечек; сотрудники должны защищать свою работу от хакеров и случайного разглашения; госорганы могут внести свой вклад, формируя среду, способствующую появлению лучших решений для безопасности; другие стороны также могут играть важную роль, разрабатывая независимые стандарты и осуществляя обзоры для каждой области безопасности данных. Если хотя бы одна из этих связей не работает, под угрозой оказывается вся цепочка доверия.

Рекомендации

ОРИЕНТАЦИЯ НА ПОЛЬЗОВАТЕЛЯ

Помещайте пользователей в центр решений, а при анализе потерь от утечек данных учитывайте потери пользователей наравне с потерями организаций.
Internet Society давно уже борется за ориентированный на пользователя подход к проблемам Интернета (www.internetsociety.org/preserving-user-centricinternet). Такой подход ставит во главу угла пользователей и их потребности. В наших работах по этой тематике мы считаем пользователей тем элементом утечек данных, про само существование которого часто забывают, хотя в конечном счете именно пользователи оказываются главными жертвами.
В частности, при возникновении утечки данных:

  • Пользователи могут даже не знать об утечке, так как многие организации не оповещают их, в том числе из-за отсутствия требований об уведомлении во многих странах.
  • Даже если пользователи знают об утечке, их возможности чаще всего ограничены – раз утекшие данные уже не вернуть. Пользователям трудно бывает добиться финансовой компенсации за убытки, особенно если они не могут продемонстрировать прямой ущерб. Также пользователи могут столкнуться с повышенным риском кражи идентичности и другими видами ущерба. Кроме того, есть и нефинансовые аспекты, которые трудно компенсировать.
  • Воздействие утечки на пользователей, как правило, изучается лишь в той степени, в которой это касается благосостояния организации, т.е. в плане компенсации прямого ущерба, кредитной защиты и удара по лояльности потребителей, но не с точки зрения ущерба для пользователей и общества в целом.

Эта ситуация должна измениться. Оценивая воздействие на пользователей, следует также учитывать затраты времени и средств на борьбу с мошенническими действиями, ставшими возможными в результате утечки; нефинансовый ущерб; будущие убытки. Большее внимание к полному воздействию утечек на пользователей поможет выработать более ориентированные на пользователей решения по борьбе с утечками. Если говорить более общо, то от каждой утечки расходятся «круги по воде», распространяя недоверие от пострадавших пользователей ко всем остальным. А чем меньше в Интернете доверия, тем меньше преимуществ для всех нас.

ПРОЗРАЧНОСТЬ

Повышайте прозрачность, сообщая об утечках своевременно и подробно.
Мы выступаем за то, чтобы прилагать больше усилий к изучению постоянно меняющегося риска утечек данных, начиная с большей прозрачности информации об инцидентах, их причинах и последствиях по всему миру. Наша цель – создать таким образом спрос на решения, обрисованные в последующих рекомендациях. Требование оповещать об утечках данных увеличивает прозрачность – так мы можем определить, какие цели чаще атакуют, какие меры безопасности работают и какие нет, какие данные попадают к хакерам, как осуществляется сама утечка. Большая часть этой статьи основана на имеющейся информации о реальных утечках данных.
Ответственный обмен информацией дает организациям целый ряд преимуществ – он может помочь организациям упрочить свою защиту данных в глобальном масштабе, разработчикам политик – совершенствовать политики, регуляторам – преследовать злоумышленников, индустрии защиты данных – вырабатывать лучшие решения. Все это защищает экосистему данных в целом. Довести прозрачность до уровня действий – часть той ответственности, которую мы должны коллективно взять на себя, чтобы добиться, чтобы каждый мог принимать информированные решения, помогать в предотвращении утечек и снижать ущерб от тех, которые все-таки произошли. Если рынок не дает организациям стимула добровольно сообщать об утечках данных, что создает асимметрию информации, может потребоваться вмешательство государства.

ПРИОРИТЕТ БЕЗОПАСНОСТИ

Безопасность данных должна стать приоритетной. Необходимо создать лучшие методы и инструменты для этой сферы. Организации должны следовать стандартам и передовой практике в области безопасности данных.
Как мы видели в разделе «Проблемы», уже имеется масса инструментов для профилактики утечек данных и минимизации их последствий. Однако организации, ответственные за работу с данными пользователей, используют эти инструменты не всегда. Почему же их использование не повсеместно, в свете потерь от утечек данных? Причина этого – частью в невежестве, частью в отсутствии экономических стимулов. Но не следует сбрасывать со счетов то обстоятельство, что даже при самых лучших намерениях работа с этими инструментами не всегда проста. Нам необходимо многое сделать для того, чтобы защита данных стала лучше применимой: облегчить или вовсе автоматизировать использование средств профилактики утечек или снижения тяжести их последствий. Ниже приведена «дорожная карта» инструментов и методов, которые мы рекомендуем в этом разделе.

Применимая безопасность
(Usable Security)

В защите данных важную роль играет человеческий фактор. Например, пароль пользователя всегда является болевой точкой для безопасности. Достаточно ли он надежен? Регулярно ли меняется? Уникален ли? Знает ли его пользователь наизусть? Надежны ли требования к паролю? Защищен ли пароль от социального инжиниринга? По личному опыту можем сказать: как минимум на один из этих вопросов ответ, как правило, отрицательный. А этого уже бывает достаточно для утечки. Вот почему практики, инструменты и методы безопасности должны проектироваться с учетом человеческого фактора, чтобы они были применимы реально. Безопасность надо встраивать в инструменты работы с данными с самого начала, а не добавлять в последнюю очередь. Это и есть принцип безопасности на конструктивном уровне. И поскольку все мы люди, нас надо везде, где возможно, подталкивать к реализации средств безопасности.
Мы не намерены превращать эту статью в справочник по предотвращению утечек данных – для надежной профилактики требуется глубокий и многосторонний подход, описание которого выходит далеко за рамки нашего отчета. Безопасность данных – отдельная область деятельности, и внедрение архитектуры безопасности требует значительных ресурсов и обучения. А в нашем отчете мы всего лишь вычленим ряд усовершенствований, которые помогут предотвращать утечки данных независимо от архитектуры безопасности. Многие из этих принципов – такие как регулярное обновление ПО и задание паролей – хорошо понятны пользователям независимо от опыта и квалификации. Организации должны использовать эти меры и пропагандировать их среди сотрудников, но этого мало, если вспомнить о нашей коллективной ответственности за безопасность Интернета: те же меры пользователи могут применять на личных устройствах и системах.
Мы подробно рассмотрим эти принципы, чтобы убедить организации более серьезно относиться к безопасности, в том числе предоставлять частным лицам инструменты для самозащиты от утечек не только как сотрудникам, но и как пользователям.

Профилактика утечек данных

Известные уязвимости
Как уже говорилось, многие утечки данных можно было бы предотвратить, если бы были закрыты известные уязвимости в системе. Поэтому, говоря о профилактике утечек, этот вопрос нельзя обойти вниманием. Всеобщая доступность Интернета не только делает его уязвимым для атак, но и дает доступ к средствам предотвращения утечек и других инцидентов, таким как программные патчи.
Например, для поддержания ПО в актуальном состоянии (в первую очередь это касается критических обновлений безопасности) сначала Microsoft, а потом и Apple позволили коммерческим и частным пользователям использовать автообновление системы или же просто сделали обновления автоматическими по умолчанию (см. blogs.msdn.microsoft.com/b8/2011/11/14/minimizing-restarts-after-automatic-updatingin-windows-update/ и www.cnet.com/news/apple-updates-macs-without-askingbut-its-to-foil-hackers/). Многие разработчики ПО также стали планировать выпуск обновлений на конкретное время, чтобы организации могли адаптировать собственные графики развертывания обновлений (Microsoft, например, публикует патчи во второй вторник каждого месяца). Здесь принцип «подталкивания» вроде бы неплохо работает, по крайней мере, на уровне отдельных устройств.
Однако на уровне корпоративных систем обновление ПО существенно сложнее: тут может потребоваться предварительное тестирование, составление внутреннего графика, разработка мер для старого оборудования, которое может уже не поддерживать обновленное ПО, а также действия по охвату личного оборудования сотрудников. Да и сам программный патч, закрывая старые уязвимости, может привнести новые либо иметь неожиданные последствия на разном оборудовании и программном обеспечении, которые придется учитывать.
В устранении известных уязвимостей нет волшебной палочки: существующие IT-системы нельзя заменить в одночасье, а новые системы привносят с собой новые проблемы. Так или иначе, распространение знаний о рисках утечек данных должно привести к реализации принципа безопасности на конструктивном уровне на всех этапах проектирования, как у разработчиков, так и у организаций, внедряющих их решения.
Социальный инжиниринг
Многие случаи утечки данных являются результатом социального инжиниринга, в частности, фишинга. Для борьбы с этой угрозой необходимо заниматься просвещением о рисках, а организации должны внедрить коллективную ответственность сотрудников за безопасность, одновременно предоставляя им нужные технологии и обучение. Сотрудников нужно учить тому, как не стать жертвой фишинговой атаки, в том числе, как распознать мошенническое письмо, почему нельзя щелкать по неизвестным вложениям, как и куда сообщить о подозрительной активности.
На более глубоком уровне сотрудники должны понимать риски, которые подобные атаки несут для организации. Можно начать с известных примеров, освещенных в печати: как сотрудник интернет-провайдера ненамеренно раскрыл электронный адрес директора ЦРУ (www.theguardian.com/technology/2016/sep/13/cia-john-brennanhacking-trial), или какую роль социальный инжиниринг и стандартные пароли сыграли во взломе Target (krebsonsecurity.com/2014/05/the-target-breach-by-thenumbers/). Сотрудники должны понимать, что результаты утечки данных могут быть катастрофическими, включая информацию о личной жизни пользователей (Ashley Madison, securityintelligence.com/two-important-lessons-from-the-ashleymadison-breach/), данные о сотрудниках (Управление кадровой службы США, arstechnica.com/security/2015/06/report-hack-of-government-employeerecords-discovered-by-product-demo/32/), сведения о зарплатах и компрометирующие письма (Sony, en.wikipedia.org/wiki/Sony_Pictures_hack). Не говоря уже о том,  что все это влияет на конечные результаты самой компании со связанными рисками для компенсации или дальнейшей занятости.
Технологии (такие, как почтовые спам-фильтры и веб-фильтры) помогают снизить риск мошеннических атак, открывающих дорогу к утечкам данных. Технологии также помогают защищать системы от атак с использованием информации, полученной в результате социального инжиниринга. Например, замена простого пароля на усложненные виды аутентификации (например, двухфакторную аутентификацию) может предотвратить несанкционированный доступ. Эти меры следует распространить и на сотрудников, использующих собственные смартфоны или компьютеры для работы. Аналогично, хотя и важно объяснить сотрудникам, почему нельзя втыкать в компьютер взявшиеся непонятно откуда устройства, которые могут переносить компьютерные инфекции, как, например, флэшки, лучше в дополнение к этому просто закрыть возможность автозапуска неизвестных устройств при подключении (www.schneier.com/blog/archives/2011/06/yet_another_peo.html).
Еще одна важная проблема – пароли. По нашему мнению, проблемной является безопасность как пользовательских паролей, так и паролей, хранящихся в организации. Мы придерживаемся того мнения, что инструменты аутентификации нуждаются в доработке, с тем, чтобы устранить вновь и вновь проявляющиеся пробелы в безопасности, вызванные как человеческим фактором, так и техническими дефектами. Кроме того, любые сохраненные пароли нужно надежно шифровать.
Одним из распространенных методов укрепления аутентификации является использование надежных, уникальных паролей, хранящихся в надежном менеджере паролей; другим – двухфакторная аутентификация. Оба метода широко известны, но, как показывает анализ примеров, не всегда используются. Ни один из них не дает 100% безопасности, и организациям и пользователям следует взвесить все «за» и «против» при выборе этих и других методов упрочения аутентификации и авторизации. Здесь мы говорим о них как о примерах проблем, возникающих при упрочении безопасности, а вовсе не как о самых лучших и уж тем более не единственных решениях для борьбы с социальным инжинирингом.
Смягчение последствий утечки данных
Хотя часть утечек данных можно предотвратить, но все-таки 100% безопасность и 100% свобода от рисков недостижимы. Систему можно взломать с помощью уязвимости нулевого дня; ошибка может привести к публикации данных; компьютер с данными может стать жертвой кражи или потери. Однако, во-первых, могут «утечь» лишь те данные, которые где-то хранятся, а во-вторых, если данные невозможно прочесть, их нельзя и использовать. Именно эти два метода смягчения последствий утечек – минимизацию данных и шифрование – мы сейчас и обсудим. Оба эти метода должны реализовываться в составе более широкой деловой и технической практики.
Минимизация данных
Нам попадались ситуации, где организации хранили лишние данные, значительно увеличившие цену утечки. Управление кадровой службы США хранило данные о бывших сотрудниках, а Ashley Madison – данные о пользователях, заплативших за удаление информации о себе. Здесь, разумеется, не все так просто. Понятно, что организация имеет четкий коммерческий мотив собирать данные, которые можно монетизировать (сейчас или потом), особенно в наше время, когда затраты на хранение данных стали просто копеечными. В некоторых случаях это может быть удобно и пользователю: например, если компания хранит информацию о кредитных картах для упрощения будущих покупок или оформления долгосрочной подписки.
С другой стороны, большой «улов» разнообразных данных имеет два крупных недостатка, а именно использование этих данных по назначению и нет. Даже при использовании данных по назначению встают вопросы конфиденциальности, поскольку наборы данных все растут в размере и могут комбинироваться с другими наборами, выдавая совершенно непредусмотренные результаты.
Кроме того, существует много случаев использования наших личных данных не по назначению, где минимизация данных может помочь минимизировать последствия. Кроме утечки данных, данные могут быть использованы спецслужбами для наблюдения за гражданами, или в преступных целях (подробнее о злоупотреблении данными см. www.bcgperspectives.com). Уже поэтому организациям стоит минимизировать объем собираемых данных, даже если они абсолютно защищены от взлома.
Пользователям же следует насторожиться, если у них запрашивают больше данных, чем требуется, например, если приложение, включающее фонарик в мобильном телефоне, вдруг включает в лицензионное соглашение право доступа к данным местонахождения (www.techrepublic.com/blog/it-security/why-does-an-android-flashlightapp-need-gps-permission/).
Организациям следует четко и информированно оценить риск утечки данных, а затем по каждому элементу данных определить, превышает ли его ценность потенциальный дополнительный ущерб и убытки для пользователей в случае утечки. Например, в США номер социального страхования (SSN) – ключевой элемент информации при мошенничествах с выдачей себя за другое лицо. Если организации нужен идентификатор пользователя, то она должна задать себе следующие вопросы:
Обязательно ли использовать в качестве идентификатора SSN или другой идентификатор, присваиваемый государством?
Если да, то нужно ли хранить государственный идентификатор после установления идентичности пользователя, или же можно использовать/создать другой ИД?
Если необходимо использовать государственный идентификатор в качестве ИД, можно ли его отделить от остальной личной информации?
Такой анализ позволит определить, какие данные необходимо собирать и хранить, какое время должны храниться такие важные данные и когда они подлежат удалению. Также он должен принять по внимание ценность данных не только для организации, но и для сотрудника или заказчика, принимая во внимание не только преимущества от использования данных по назначению, но и вред от их попадания в чужие руки или злоупотребления ими. Этот подход к данным входит в концепцию Data Stewardship. Разумеется, трудно преодолеть давление рынка, побуждающее собирать и накапливать все больше данных; поэтому принцип минимизации данных, возможно, потребуется включить в национальное законодательство о конфиденциальности данных и выработать рекомендации по внедрению важных практических методов.
Шифрование
Internet Society считает, что шифрование должно быть нормой для передачи и хранения данных в Интернете. Более конкретно, организации должны использовать такой уровень шифрования, чтобы затраты времени и денег на дешифровку (если она вообще возможна) перевешивали любые возможные преимущества для атакующего. Цена экономии на шифровании четко видна во многих проанализированных примерах: Target, Департамент кадровой службы США и другие вообще не шифровали данные, в то время как TalkTalk, Корейский центр фармацевтической информации (www.databreaches.net/43-million-south-koreanshad-their-medical-information-leaked/) и другие использовали слишком слабое шифрование. Более того, шифрование не является статичным – как видно из истории Ashley Madison, по мере появления более продвинутых систем шифрования, они должны применяться не только к новым учетным записям, но и к уже существующим (www.pcworld.com/article/2982919/security/ashley-madison-coding-blunder-made-over-11-millionpasswords-easy-to-crack.html).
Экономические причины отсутствующего или слабого шифрования двояки: стоимость правильной реализации надежного шифрования считается слишком высокой, а его преимущества недостаточно высокими. Однако сейчас ситуация начинает меняться.
В последние годы шифрование стало применяться гораздо шире: например, WhatsApp шифрует сообщения, а Apple – данные, хранящиеся в устройствах и в облаке. Частично это происходит в ответ на сообщения о прослушивании со стороны спецслужб, а частично – в ответ на риски безопасности данных. Независимо от мотивов, преимущества шифрования в плане снижения ущерба от утечек никуда не деваются.
Детальная информация о шифровании носит технический характер и безусловно выходит за рамки этого отчета. Наши принципы, однако же, ясны: безопасность должна быть реализована на конструктивном уровне и должна подталкивать пользователя к использованию достаточно надежного шифрования как можно более прозрачным образом (или реализовывать такое шифрование по умолчанию).
Шифрование должно быть спроектировано, учитывая нужды пользователя, а не наоборот. Оно должно быть доступным, дешевым и простым в применении – как для связи по Интернету, так и для работы с сайтами, для всех устройств и облачных сервисов.
Сейчас, когда все больше сотрудников работает из дома или в пути, или же в офисе на личном оборудовании, организации очень и очень заинтересованы в том, чтобы их сотрудники использовали надежные технологии шифрования. В свою очередь сотрудники должны понимать потенциальный риск пренебрежения шифрованием и для своего работодателя, и для клиентов, чтобы не стать слабым звеном в системе безопасности.
Экономические стимулы
Разумеется, сколь бы дружественными для пользователя ни были инструменты, они все равно стоят денег и времени на внедрение, и не каждая организация может себе это позволить. Рынок, регулирующий инвестиции в кибербезопасность, с экономической точки зрения несостоятелен. Во-первых, у утечек данных есть экстерналии, не учитываемые организациями, что снижает их мотивацию инвестировать в безопасность. Во-вторых, даже там, где такие инвестиции делаются, асимметрия информации затрудняет оповещение всей экосистемы о результирующем уровне кибербезопасности. Сейчас мы рассмотрим, как можно бороться с несостоятельностью рынка путем экономических стимулов, как затрат, так и преимуществ.

ПОВЫШЕНИЕ ОТВЕТСТВЕННОСТИ.

Если возложить большую ответственность за экстерналии в результате утечки данных на организацию, хранившую эти данные, то цена утечки возрастет, что побудит организации усилить защиту от утечек и минимизировать их последствия. С экономической точки зрения, здесь целью является интернализация ущерба от утечки данных для организации-виновника.

СИГНАЛЫ О БЕЗОПАСНОСТИ.

Если организации смогут сигнализировать, что они менее уязвимы, они обретут конкурентное преимущество, что даст стимул инвестировать в профилактику утечек. С экономической точки зрения, здесь целью является возможность для организаций убедительно сообщать о своем уровне кибербезопасности.

Принципы, укрепляющие экономические стимулы
Интернализация экстерналий увеличит цену утечки данных для организации и создаст дополнительный стимул избежать утечки. Однако здесь действуют и более широкие соображения безопасности и экономики, по отношению к которым все мы несем коллективную ответственность. Например, обучение сотрудников борьбе с социальным инжинирингом не только помогает избежать прямой утечки данных, но и помогает защититься от атак на другие организации, с которыми сотрудник может взаимодействовать. Здесь у работодателя нет ни прямой ответственности, ни прямых преимуществ. Такая коллективная ответственность является принципом, лежащим в основе всего Интернета, и о нем нельзя забывать в стремлении предотвратить ту или иную конкретную утечку данных. Это краеугольный камень для создания здорового кольца безопасности данных.
Хотя мы уверены, что добросовестная ответственность за данные, безусловно, в экономических интересах самой организации (если вспомнить о цене утечки), мы также убеждены, что у каждой организации есть социальная ответственность за то, чтобы Интернет стал безопаснее для всех. Например, для корпорации профилактика утечек данных должна стать неотъемлемой частью корпоративной политики, а более широкий спектр усилий по повышению безопасности Интернета – частью социальной ответственности организации. В конце концов, чем больше доверия в Интернете, тем больше его преимущества для всех.

ОТВЕТСТВЕННОСТЬ

Организации должны отвечать за свои утечки. Необходимо выработать общие правила распределения ответственности и компенсаций за утечки данных.
Как видим, ущерб от утечки данных может распределяться по широкому кругу пострадавших сторон. В случае Target банки понесли гигантские убытки на перевыпуск скомпрометированных кредитных карт; в случае Ashley Madison ущерб понесли пользователи и их близкие; в случае Sony значительная часть ущерба легла на плечи сотрудников и членов их семей; а в случае Департамента кадровой службы – были скомпрометированы данные не только нынешних, но и бывших и потенциальных сотрудников.
Экономический стимул для предотвращения таких экстерналий при этом очень мал, именно потому, что они экстерналии, т.е. ложатся на других. Если же заставить организацию отвечать за экстерналии, то стимул избежать их увеличится. Как мы ожидаем, просвещение и повышение потенциального ущерба заставят организации более ответственно относиться к безопасности данных, включив ее в управление данными в качестве ключевого элемента.
Однако попытки интернализации экономических экстерналий относительно утечек данных могут столкнуться с рядом проблем.
Начнем с того, что для того, чтобы стимулы были максимально действенными, необходимо лучше понять и представить полный объем финансовых и нефинансовых убытков от утечек данных. Необходимо явно прописать общие правила распределения ответственности и компенсаций и добиться того, чтобы все заинтересованные стороны поняли их и могли принять соответствующие меры. В некоторых случаях могут потребоваться минимальные стандарты работы с данными, а если они не будут приняты добровольно, придется закрепить их законодательно (например, прописать положения безопасности данных и минимизации данных в законе).
Все это не умозрительные, а практические проблемы, поскольку в утечке может участвовать третья сторона, например, подрядчик Target, через которого был осуществлен взлом. У организации может быть множество поставщиков оборудования и ПО, которые могут сыграть свою роль в утечке. Даже если и можно определить вину, ответственность, возможно, распределится иначе: вспомним финансовые учреждения, которым пришлось возмещать стоимость перевыпуска карт. Эти правила не обязательно должны быть высечены в камне, поскольку судебные иски могут перекидывать ответственность с одной стороны на другую способами, которые невозможно предусмотреть.
С учетом масштаба проблем в области широкого распределения ответственности и наших целей мы сейчас более подробно рассмотрим ответственность за ущерб от утечек для пользователей.
В общем и целом, именно пользователи находятся в центре нашей миссии по укреплению доступности и доверия в Интернете, а эти цели гораздо труднее осуществимы, поскольку пользователи страдают от утечек данных, но при этом не имеют возможности напрямую контролировать их защиту. Более того, пользователи часто являются конечными жертвами утечек данных, будь то кража идентичности, кредитных карт или медицинской информации, но при этом их часто не учитывают при анализе того, как предотвращать утечки и снижать их последствия.
Как мы уже говорили выше, на сегодняшний день конечные пользователи являются отсутствующим звеном системы. Конечным пользователям не всегда сообщают об утечках их данных; они не всегда могут соотнести ущерб для себя с той или иной утечкой; а возможно, они вынуждены были отказаться от своего права на компенсацию в будущем для того, чтобы пользоваться услугой. Более того, там, где нет прямых отношений «поставщик-заказчик», у конечного пользователя в случае утечки может быть очень мало возможностей вернуть деньги или воспользоваться услугами кредитного мониторинга. Да и судиться с организацией для пользователя может оказаться не по средствам.
Рассмотрим некоторые из этих проблем.
Во-первых, еще раз повторимся: мы твердо стоим на том, что оповещение об утечках в общем случае необходимо. Это тот шаг, который помогает установить ответственность. Благодаря ему те люди, чьи данные были затронуты утечкой, узнают об этом и смогут обезопасить себя (и потребовать компенсации – об этом ниже). Дополнительным преимуществом здесь является ущерб репутации организации, в которой произошла утечка, что повышает мотивацию к их профилактике. Поэтому об утечках оповещают чаще всего в тех странах, где того требует закон, как мы видим на примере США.
Отметим, что и у обязательного оповещения об утечках есть свои пределы – организация может не знать, что ее взломали, или не понимать, о чем ей надо сообщить и кому. Также не всегда просто выбрать оптимальное время для оповещения. Требования к оповещению тоже непросты: слишком много оповещений – и пользователи почувствуют себя беспомощными, слишком мало – забытыми (см. iapp.org/news/a/130-days-1500-notifications-doesdutch-breach-rule-foreshadow-gdpr/). Кроме того, хотя в оповещениях можно указывать информацию, которая может предотвратить другие утечки того же характера, очень не хотелось бы сообщать то, что помогало бы хакерам – а это всегда риск, когда речь идет о незакрытых известных «дырках». По мере того как разные страны будут набирать опыт и вырабатывать правила оповещения, а к ним будут присоединяться все новые и новые страны, со временем должен установиться правильный баланс.
Во-вторых, поставщики интернет-услуг имеют тенденцию жестко ограничивать свою ответственность и права пользователя на компенсацию. Вот, например, цитата из условий пользования одним из менеджеров паролей (так и было выделено всеми прописными буквами):
ПОЛНЫЙ ОБЪЕМ НАШЕЙ ОТВЕТСТВЕННОСТИ ПЕРЕД ВАМИ ПО ЛЮБЫМ ПРЕТЕНЗИЯМ, ВОЗНИКАЮЩИМ ВСЛЕДСТВИЕ ИСПОЛЬЗОВАНИЯ САЙТА ИЛИ УСЛУГ ЛИБО В СВЯЗИ С НИМИ, ОГРАНИЧЕН СОВОКУПНО СУММОЙ В СТО ДОЛЛАРОВ США (U.S. $100,00).
А ведь такой менеджер может хранить сотни паролей, утечка которых способна вылиться для пользователей в сумму гораздо больше сотни долларов – перед нами яркий пример того, как компания перекладывает экстерналии на своих пользователей. Попадаются также и ограничения на право участия в коллективном иске (иске, объединяющем пользователей, оказавшихся в одной и той же ситуации), допускающие только индивидуальное разбирательство. Иными словами, если пользователь захочет вернуть хотя бы часть ущерба, ему предстоит долгая, трудная и потенциально дорогостоящая тяжба.
Простого ответа здесь нет: поставщики интернет-услуг вправе предлагать такие условия (в рамках законодательства о защите прав потребителей), а пользователи, разумеется, вправе отказываться от их услуг, если они прочли условия соглашения и сочли их неприемлемыми. Ситуацию могут исправить рыночные силы, которые увеличат спрос на более дружественные и справедливые условия, такие как повышенный порог ответственности (вследствие просвещения), либо законы, лишающие юридической силы отказ от прав пользователей, таких как право на коллективный иск.
В случае розничной сети, такой как Target, клиенты вообще не пользовались интернет-услугами. Они расплачивались карточками в магазине, и лишь в момент оплаты их данные были доступны для утечки. Коллективный иск покупателей к Target закончился мировым соглашением, но часто подобные иски отклоняются судом за отсутствием доказуемого финансового ущерба. Получается, что у пользователей нет прав на собственные данные, если только они не могут продемонстрировать прямой количественно оцениваемый ущерб, а ведь, по идее, они должны обладать естественным правом на защиту от утечек данных.
Не всегда ясно, какими правами обладают пользователи в случае утечки данных, и сейчас положение складывается отнюдь не в их пользу. Тем не менее, ряд стран уже сейчас укрепляет и разъясняет в своем законодательстве объем прав физических лиц в случае утечки данных. В конце концов, от пользователя может потребоваться доказать прямой ущерб для получения компенсации. Тут не учитывается ни долгосрочный риск стать жертвой мошенничества, ни затраты времени и денег на его предотвращение. Кроме того, компенсация может не покрывать нефинансовый ущерб.
В этой ситуации едва ли не все противоречит разумному ожиданию того, что права и интересы пользователей будут защищены в случае нарушения конфиденциальности их данных. Кроме фактического ущерба, как финансового, так и выраженного в потраченном времени, повышенный риск стать жертвой мошенничества в будущем должны тоже покрывать организации, допустившие утечку данных, а не жертвы, как сейчас.

СИГНАЛЫ О БЕЗОПАСНОСТИ

Повышайте стимулы инвестировать в безопасность, оживляя рынок надежной, независимой оценки мер безопасности данных.
Все мы – заказчики, пользователи, сотрудники и даже организации, доверяя наши данные другой стороне, оказываемся в ситуации фундаментальной информационной асимметрии. От нее же страдают и сборщики данных, желающие получить преимущество от повышения собственной безопасности. В разделе «Проблемы» мы рассматривали ситуацию с рынком подержанных машин, где продавцу трудно продемонстрировать покупателю качество машины, и последующее вырождение авторынка в «рынок лимонов», так как плохие машины фактически вытесняют хорошие с рынка. Также мы видели, что даже у новых автомобилей имеется набор интересующих нас атрибутов и ряд способов проверить их наличие.
Как это применимо к нашей ситуации? Вернемся к примеру с менеджером паролей. Пользователи могут проверять поисковые атрибуты – например, облачная это услуга или нет, и составлять себе мнение об опытных атрибутах в рамках пробного пользования. Но оценить безопасность услуги заранее они не могут. К сожалению, тут до утечки ничего не узнать, а после утечки что-то делать уже поздно.
Вспомним также историю с Target и поговорим о подборе подрядчиков. И Target, и другие компании явно выбирали подрядчиков на основе критериев, связанных с предлагаемыми услугами – поставщика холодильного оборудования проверяли только на это. В той мере, в которой безопасность данных вообще играет роль до момента, когда поставщик получает право подключиться к информационной системе, очень трудно оценить безопасность систем и бизнес-практики каждого подрядчика без больших затрат. Как мы видим, у многих компаний проблемы с обеспечением безопасности собственных систем, не говоря уже об оценке безопасности каждого подрядчика, с чьими информационными системами приходится взаимодействовать.
Поэтому у организаций должна быть возможность сигнализировать пользователям, подрядчикам и сотрудникам о своем уровне защиты от утечек данных, а также других аспектах безопасности, включая безопасность устройств Интернета вещей. Как мы уже говорили, реализовать такие сигналы можно тремя способами: это рейтинги, сертификация и принудительная реализация.
Рейтинги. Журнал Consumer Reports уже начал составлять рейтинги программных продуктов по набору атрибутов, призванных помочь пользователю выбрать лучший программный продукт для защиты своих устройств. При всей полезности таких рейтингов они не затрагивают безопасность данных напрямую. Насколько нам известно, еще никто не начал осуществлять подобную оценку онлайн-услуг для потребителей. Она была бы полезна при принятии решений о том, какому интернет-банку, медицинскому сервису и т.п. доверить свою личную информацию. В то же время такая услуга могла бы давать полезную информацию, оценивая условия пользовательских соглашений с точки зрения безопасности данных и помогая пользователям выбрать лучшую защиту в случае утечки или ее попытки. Мы надеемся, что это подвигнет поставщиков онлайн-услуг к конкуренции за более дружественные к пользователю условия обслуживания в плане безопасности данных.
Еще один пример рейтингов в области безопасности: новая независимая компания начала составлять рейтинги безопасности организаций, что помогает страховым компаниям выбирать полисы киберстрахования. Эта компания, стартап под названием UpGuard, разработала рейтинг оценки угроз кибербезопасности (Cybersecurity Threat Assessment Rating, CSTAR), в котором уровень киберриска основывается на внешней оценке из общедоступных интернет-источников и внутреннего поиска (www.forbes.com/sites/brucerogers/2016/02/11/upguard-out-todisrupt-7-5-billion-global-cybersecurity-insurancemarket/#6b7370112dda).
Сертификация. Некоторые подвижки в направлении создания процедуры сертификации безопасности данных уже имеются. UL, уже проводящая сертификацию широкого спектра электронных устройств, теперь сертифицирует и аспекты финансовой кибербезопасности, например, для кассовых терминалов, и начала разрабатывать стандарт сертификации устройств интернета вещей (www.ul.com/newsroom/pressreleases/ul-launchescybersecurity-assurance-program/). А Пейтер Затко, известный специалист в области кибербезопасности, основал Независимую лабораторию кибертестирования (Cyber Independent Testing Laboratory) для сертификации безопасности устройств, ПО и услуг. По его замыслу, результаты тестирования должны быть похожи на информацию о пищевой ценности на упаковках продуктов, т.е. не просто сообщать о сертификации, но и содержать данные о разных атрибутах безопасности (также blogs.cfr.org/cyber/2015/12/18/qa-withpeiter-zatko-aka-mudge-setting-up-the-cyberindependenttesting-laboratory/). Кроме того, система правил международной безопасности APEC требует от сертификационных учреждений (агентов ответственности) сертифицировать уровень безопасности организации согласно требованиям программы (см. документ APEC Cross-Border Privacy Rules Program Requirements).
Процессы сертификации, главным образом, предназначены для того, чтобы помочь заказчикам (и организациям, и конечным пользователям) выбрать лучшие сервисы, что будет очень полезно. Также они повышают уровень прозрачности в индустрии.
Еще один подход заключается в том, чтобы поощрять внедрение признанных индустрией стандартов и передовой практики. Этот процесс может быть как сертифицируемым, так и самосертифицируемым. Например, Национальный институт стандартов и технологий США (NIST), работая совместно с заинтересованными сторонами, разработал систему кибербезопасности на основе президентского указа от 2013 года (www.nist.gov/cyberframework). Такие стандарты отражают передовую практику индустрии и являются добровольными, а не обязательными. Их внедрение помогает повысить безопасность организаций. Хотя соответствие нормам оценивается самой организацией, оно может использоваться как сигнал между партнерами, что они соответствуют определенным стандартам, перед вступлением в деловые отношения. Полное соответствие на сегодняшний момент ограничено, но этот подход довольно многообещающий.
Принудительная реализация. И, наконец, там, где независимых рейтингов или сертификации недостаточно или адекватные добровольные стандарты не приняты повсеместно, может потребоваться госрегулирование. Это особенно важно там, где несостоятельность рынка имеет значительные последствия – будь то большие суммы экстерналий или крайняя асимметрия информации. Минимальные требования к безопасности данных обычно содержатся в законах о конфиденциальности и защите данных. Как уже говорилось, есть ряд ситуаций, когда именно госрегулирование лучше всего подходит для борьбы с несостоятельностью рынка. В этом случае нашим принципом было бы регулирование результатов мер безопасности данных (например, чтобы сохраненные данные не могли быть прочитаны посторонними), а не инструменты или методы для ее обеспечения (такие, как тип шифрования), чтобы организации могли изобретать все более эффективные способы достижения нужного результата.
И, наконец, Internet Society верит в то, что свобода инновации (permissionless innovation) была и является главной движущей силой Интернета, где каждый может создать новую услугу или приложение, не получая на это предварительного разрешения ни от кого. Важно, чтобы никакие меры госрегулирования или сертификации не вступали в конфликт с этим принципом. Они должны применяться лишь в крайнем случае и быть спроектированы так, чтобы не представлять барьера для выхода на рынок (см. www.internetsociety.org/internetinvariants-what-really-matters).
Утечки данных являются все более острой проблемой во всем мире. Чтобы снизить остроту и экономический ущерб от этой проблемы, мы предлагаем изменить подход к борьбе с утечками, включив в нее все заинтересованные стороны. Так как пользователи переносят все большую часть собственной жизни в Интернет, раскрытие полного спектра его преимуществ по всему миру немыслимо без доверия пользователей. Это доверие зависит от того, насколько защищены данные пользователей от утечки. Каждая утечка создает новую группу обманутых пользователей, чей негативные опыт распространяется и на знакомых по принципу сарафанного радио, и через новостные отчеты, сея опасения, подрывая доверие пользователей в целом.
Хотя в конечном счете именно пользователи являются жертвами утечек данных, и именно их доверие страдает больше всего, сейчас ни пользователи, ни их доверие не находятся в фокусе мер по борьбе с утечками данных. Например, организации собирают и хранят больше пользовательских данных, чем нужно, и охраняют их хуже, чем могли бы. А после утечки оказывается, что у пользователей не так уж и много прав на защиту. Анализ потерь от утечек данных, в основном, учитывает ущерб организаций, а пользователи там «учитываются», в основном, в виде упущенной выгоды.
Internet Society предлагает переориентировать методологию борьбы с утечками данных так, чтобы пользователи оказались в ее центре, а организации приняли ответственность за вверенные им пользовательские данные, равно как и коллективную ответственность за повышение безопасности Интернета. Организациям также следует стать прозрачнее относительно происходящих утечек данных и их последствий. Благодаря этому безопасность данных станет приоритетной задачей, а значит, возникнет спрос на лучшие средства безопасности и методы профилактики/смягчения последствий. Чтобы у организаций был стимул использовать эти инструменты, нужно повысить их ответственность за убытки от утечек данных по сравнению с нынешним положением дел. Также они должны нести и больше расходов. Но в то же время у организаций должен появиться способ убедительно демонстрировать рынку наличие дополнительных мер предотвращения утечек данных.

Итоги

Очень показательна параллель между нынешней ситуацией в индустрии безопасности данных и попытками повысить безопасность автомобилей за последние 50 лет. Как ни трудно сегодня в это поверить, у ранних автомобилей не было ремней безопасности, детские автокресла появились только в 60-е годы прошлого века, а закон об обязательной установке подушек безопасности вызвал бурное сопротивление автопроизводителей.
Попытка Ford получить конкурентное преимущество, повысив безопасность автомобилей, была воспринята в США как провальный ход. Эти ранние средства обеспечивали пассивную безопасность, защищая пассажиров в случае аварии – в нашей терминологии это средства смягчения последствий. Сегодня все они стали стандартными, и автопром наперебой вкладывает в безопасность большие деньги, разрабатывая все новые средства активной безопасности, призванные предотвращать столкновения, такие как автоматические тормоза. В нашей терминологии это средства профилактики.
За это время на рынке появилось множество хорошо узнаваемых движущих сил. Первым шло просвещение – независимые стороны, такие как Ральф Нейдер с его книгой 1965 года «Опасен на любой скорости» (Unsafe at any Speed), трубили во все трубы о нежелании индустрии внедрять меры безопасности. Затем появились обязательные государственные стандарты, вызвавшие сопротивление индустрии, такие как подушки безопасности; независимые организации занялись составлением рейтингов автомобилей; а госорганы принялись тестировать машины на безопасность при опасности столкновения с препятствием, включая знаменитый шведский «лосиный тест». Все это привело к значительному сокращению смертности при авариях (в пересчете на суммарный пробег). Говоря о будущем, многие полагают, что новые, полностью или частично автоматические машины, еще больше увеличат безопасность, автоматически избегая ДТП. И тут мы, пройдя полный круг, возвращаемся к теме нашего отчета.
Ведь автоматические автомобили будут управляться компьютером и иметь встроенные средства коммуникации с водителем, а возможно, и с другими машинами. В результате компьютер станет потенциальной жертвой дистанционного взлома, как уже случилось с Chrysler Jeep. Это может привести к значительной утечке данных о расположении и действиях водителей, не говоря уже о возможности перехвата управления автомобилем (а то и группой автомобилей).
В более широком плане многие из наших рекомендаций пригодны и для профилактики и предотвращения последствий утечек данных во всем спектре устройств интернета вещей. Мы говорим не только о данных, которые такие устройства собирают с помощью сенсоров, но и о пробелах в защите, могущих привести к рискам для личной или общественной безопасности, ярким примером которых являются автоуправляемые машины. Поэтому мы призываем применять выводы из этого отчета к соответствующим проблемам в сфере интернета вещей.
Источник: Global Internet Report 2016