"Мы должны защищать любую информацию, которая может быть использована против нас"
Эксклюзивное интервью по безопасности от эксперта по защите данных компании Lattelecom Дайниса Лукашевича.
Сохранность личной информации является самой непростой и важной задачей в эпоху активной информатизации. И чем большим влиянием и капиталом располагает человек, тем дороже стоят личные данные - и его, и его родных и близких. С одной стороны, крупнейшие корпорации и компании инвестируют миллиарды долларов в системы безопасности. С другой - в СМИ появляются новости об утечках и взломах с кражей данных миллионов клиентов. Например, в 2015 году была взломана база данных IRS - государственной Налоговой службы США.
О важности безопасности личной информации говорит тот факт, что крупнейшие государства на уровне законов рассматривают информационную или кибератаку как реальное объявление военных действий.
Family Office встретился с человеком, который знает о защите данных практически все. Дайнис Лукашевич – руководитель проектов по защите данных крупнейшей латвийской телеком-компании Lattelecom. Эта компания является одним из самых крупных обработчиков данных в странах Балтии. Предприятие более полутора лет работало над внедрением GDPR - Общего регламента по защите данных ЕС.
Lattelecom сотрудничает с Украиной далеко не первый год. Помимо услуг центров обработки данных и консультационной работы, компания также начала предоставлять услуги по аудиту на соответствие предприятий новому регламенту работы с персональными данными жителей стран Евросоюза (GDPR). Под требования регламента попадают практически все украинские компании, которые работают с Европой или планируют это в будущем.
Дайнис с командой сертифицированных специалистов с удовольствием делится собственными знаниями с украинскими предпринимателями, связавшими свой бизнес с Европой. Дайнис – занятой человек, уделяющий очень много внимания личной безопасности, в том числе безопасности данных. Ведь он часто и помногу работает с конфиденциальной информацией Lattelecom.
GDPR и Украина
- Какие сегодня в мире существуют
возможности по защите персональных
данных? В особенности для VIP-клиентов и
людей, которым действительно важно
качество защиты, а не ее стоимость.
- В первую очередь, стоит упомянуть
о глобальных трендах в сфере безопасности.
С каждым годом количество кибератак увеличивается. Хищение личных
данных станет еще более массовым в
ближайшие годы, как и атаки на критическую
инфраструктуру. Это значит, что необходимо
защищать как инфраструктуру, так и
конечных пользователей.
В Lattelecom мы сами используем и предлагаем решения, учитывающие риски и объем обрабатываемой информации. Например, резервирование инфраструктуры, шифровка данных, защита от DDos-атак, классификация документов, а также решения, которые позволяют фильтровать входящий трафик, вплоть до защиты конечного пользователя или же устройств работника.
Для
нужд клиентов мы предоставляем различные
мониторинговые системы, которые
анализируют данные и сообщают об
аномалиях. Например, Lattelecom ежедневно
анализирует миллионы лог-файлов, и
система каждый день выдает 2-3 критичные
записи для более детального анализа.
- И все же, какую информацию сейчас
имеет смысл защищать и что делать, если
действительно критичная информация
попадает в открытый доступ?
- Если рассматривать это с точки зрения GDPR, то персональными данными является практически любая информация: имя, фамилия, персональный номер телефона, вплоть до IP-адреса и места локации. При этом мы в любом случае должны понимать, какие риски являются для нас допустимыми в случае потери такой информации. А отвечая на вопрос "что мы должны защищать", я бы сказал - практически все, что может быть использовано против нас. Начиная от имени и заканчивая кредитными данными.
Новый порядок защиты персональных данных в Европе был введен именно с целью защиты субъекта, которому принадлежат эти данные, то есть физического лица. В современном мире любая информация, которая может быть доступна кому-либо, должна быть защищена. Каким образом это будет реализовано – выбирает сама компания.
Даже имя и фамилия могут стать большой проблемой, если будут использованы для создания так называемых фейковых новостей. Фотография, персональные данные, данные об используемых вами услугах – все это может позволить злоумышленникам создать фейковый профиль и использовать его против самого пользователя.
Мы провели в Украине очень интересный эксперимент по защищенности данных, но его результаты оказались неутешительными. Зная номер договора клиента, в Украине можно абсолютно спокойно узнать и личные данные большинства других клиентов методом простого подбора цифр в адресной строке интернет-провайдера.
В Латвии такой проблемы нет: мы сами по личной инициативе пересмотрели все подобные открытые базы регистров жителей для того, чтобы убедиться, что они недоступны для третьих лиц. Также у провайдеров номера договора состоят их множества цифр и букв, а не из пары номеров, которые легко подобрать.
- Если говорить об Украине и украинском бизнесе – какие самые существенные риски в плане GDPR Вы видите?
- Самый большой риск в этом случае – несоответствие регламенту.
Для того, чтобы украинские компании могли работать на территории Евросоюза или оперировать данными субъектов (под защитой не только граждане, но и любое лицо, которое находится на территории ЕС) Евросоюза, они должны соответствовать GDPR. Здесь я выделил бы четыре так называемых фактора риска.
Первый – это когда в компании нет ответственного лица, которое отвечало бы за контроль обработки данных.
Второй – не разработаны правила по защите данных и все соответствующие процедуры.
Третий риск связан непосредственно с обработкой данных: в Украине мы довольно часто видим, что данные собираются в гораздо большем объеме, чем это требуется, хранятся дольше, чем это требуется, и практически никак не фиксируются при удалении. Основным принципом GDPR является минимизация данных, собираемых компанией, сокращение времени их обработки и удаление после окончания процедуры.
Четвертый риск – это договоры с субподрядчиками, которые обрабатывают данные для вашей компании и могут “сливать" их на сторону при том, что за сами данные ответственность продолжает нести ваша компания.
Это то, на что нужно обратить внимание украинским компаниям, которые хотели бы работать с Европой или уже взаимодействуют с ней.
Еще один важный момент работы с личными данными – это их доступность для сотрудников компании. Хотелось бы спросить у читателей – у кого в бизнес-процессах четко прописано разделение прав доступа к информации и передачи информации между сотрудниками? У кого подписаны строгие соглашения с работниками о неразглашении информации после окончаниях трудовых отношений?
Недавно мы получили информацию о том, что клиника в Португалии схлопотала штраф в размере €400 тыс. за неправильный учет доступности данных пациентов во внутренней системе клиники. Право доступа к данным было передано порядка 900 аккаунтам, при этом врачей было в клинике всего 300. Вопрос: для кого открыты оставшиеся 600 аккаунтов и кому была доступна конфиденциальная информация пациентов?
- Назовите топ-5 возможных
проблем и методы их решения.
- Первым делом я бы посоветовал провести аудит, чтобы понять, с каким объемом данных компания работает, с какой целью они обрабатываются, какое правовое обоснование для их обработки, кто за это отвечает и как эти данные будут удаляться. Потом сравнить этот массив с тем, что действительно необходимо для работы, дабы понять, что можно изъять из рабочего процесса без потери в качестве, а что нет. К примеру, если вы сервис по доставке еды – вам не нужна информация о том, есть ли у клиента домашнее животное.
Еще одним вызовом новой системы защиты персональных данных является необходимость систематизировать и согласовывать все документы по безопасности: как внутренние (по отдельным подразделениям), так и касающиеся информационных систем, к примеру, службы безопасности.
Для примера: в
нашей компании ежедневно осуществляются
миллионы лог-записей. Для того, чтобы
обработать такой массив информации, у
нас запущена специальная система, анализирующая все поступающие
данные на аномалии и помогающая вычленить
из них те, которые могут быть небезопасными.
Если мы видим, что сотрудник пытается
залогиниться на рабочий компьютер и
более 15 раз вводит неправильный пароль
– мы смотрим, откуда начата сессия. И
если она, к примеру, из Австралии, а наш
сотрудник должен находиться за соседней
стенкой – это априори небезопасная
сессия, означающая, что кто-то, возможно,
пытается взломать аккаунт сотрудника. Также
очень важно помнить о том, что в любой
компании есть так называемые
“неструктурированные данные”. Это все
файлы типа Word, Excel и тому подобные,
содержащие персональные данные ваших
клиентов, сотрудников. И в случае если
у компании нет специального решения,
как находить и работать с такими данными,
здесь также может иметь место проблема
с безопасностью, особенно если ты не
знаешь, где хранятся данные и как их
удалять.
- В Украине сейчас очень
популярно создание корпоративных
чат-ботов. Их учат обращаться к клиенту
по имени, запоминать тонну его личной
информации. Как введение GDPR повлияет
на работу таких чат-ботов, осложнит ли
оно ее?
- Хороший вопрос, учитывая,
что мы сами уже год как запустили
собственный чат-бот. И сейчас он, по
сути, обрабатывает около 20% входящих
запросов отдела обслуживания клиентов.
К работе чат-ботов относится 13-й пункт
регламента, который говорит о том, что
компания-контроллер чат-бота перед тем,
как начать обработку персональных
данных клиента, обязана предоставить
ему информацию о том, какие именно данные
и для чего будут использоваться, кем
они будут собираться, обрабатываться
и храниться, будут ли передаваться
третьим лицам. Соответственно, перед
тем, как начать использовать чат-бот,
компания обязана отправить пользователю
определенный Privacy Note, в котором указано,
что это за чат-бот, какая компания
обрабатывает информацию и в каких целях. И в этом случае правовым
обоснованием возможности обработки
персональных данных будет непосредственное согласие пользователя.
- Я правильно
понимаю, что в этом случае требуется
"согласие действия", а не "согласие
умолчания"?
- Совершенно верно. В этом случае необходимо активное действие со стороны пользователя, которое подтвердило бы его согласие на обработку информации. Однако преувеличивать тоже не нужно, так как общение с чат-ботом и желание задать вопрос уже расценивается как согласие от пользователя. Ответственность компании в этом случае – предоставить информацию о том, кто и как будет обрабатывать полученный запрос.
Но
мы очень часто видим на рынке ситуации,
когда клиент даже не знает, разговаривает
ли он с компьютером или с реальным
человеком. Когда на фронт-энде идет
заявление о том, что коммуникацию
проводит реальный человек, а по сути там работает именно чат-бот. Это решение
каждого предпринимателя – играть со
своими пользователями или нет. В нашем
случае вся информация предоставляется
абсолютно открыто и без утаивания.
Теперь мы имеет другую проблему – найти
работников со специализацией "учитель
роботов" или "тренер искусственного
интеллекта" на рынке труда не так уж
просто.
- Следующий вопрос будет
относиться к искусственному интеллекту.
Недавно в Украину привозили робота
Софию, что вызвало удивительный ажиотаж
во всех кругах общества. Скажите, как внедрение
GDPR относится к подобным интеллектуальным
системам, по сути, собирающим огромные
массивы информации?
- Этот
регламент в первую очередь относится
к физическим лицам и их информации. А
значит любой искусственный интеллект
стоит рассматривать как продукт той
или иной компании, обрабатывающей данные
физлиц. И именно эта компания будет
отвечать за действия робота.
"Стопроцентной защищенности не может быть никогда"
- Системные усилия по защите информации компании — это всегда хорошо. А если говорить о Ваших персональных данных: как Вы защищаете свою информацию, включая то, что находится в интернете, на Ваших личных коммуникаторах, в компьютере? Ведь как топ-менеджер крупной компании Вы ежедневно работаете с документами под грифом “секретно”. Что Вы предпринимаете для того, чтобы информация оставалась действительно конфиденциальной?
- Наши личные данные подвергаются риску ежедневно. Лично я всегда стараюсь использовать двухфакторную авторизацию на сайтах и сервисах, работать с защищенным соединением или пользоваться программами для шифрования трафика, отдельно хранить пароли, следить за мобильными приложениями и тем, какие данные они собирают, использовать VPN, работая с открытыми Wi-Fi точками.
Стопроцентной защищенности не может быть никогда. И этому пример те компании, которые предоставляют данные из социальных сетей, получая их при помощи различных ухищрений. Так что лично я пытаюсь не логиниться там, где запрашивают регистрацию через Facebook. Ведь, по сути, на этой цепочке уже включается передача данных третьим лицам. Также очень важно понимать - все, что предлагается в сети бесплатно, делается с целью сбора ваших личных данных. Проще говоря, если на вас никто не зарабатывает, значит вы товар.
Я стараюсь по возможности нигде не оставлять свою личную информацию в электронном виде. Хороший пример того, что может случиться в ином случае – ситуация с Cambridge Capital, которая передавала огромные массивы информации третьим лицам, естественно без уведомления об этом непосредственных владельцев персональных данных.
Используя любую информацию в сети интернет, мы должны осознавать все риски, которые могут последовать за распространением этой информации. Все бесплатные страницы в соцсетях, домашние страницы, игры и приложения – все они являются потенциально небезопасными и могут привести к утечке ваших данных.
В случае использования смартфона стоит также позаботиться об антивирусе. Конечно же, хорошо, чтобы он был лицензированным, а еще лучше - разработан с учетом пожеланий компании, в которой вы работаете.
В Lattelecom имеются специальные средства защиты информации – у нас работает двойная аутентификация e-mail, удаленный доступ к телефону, который позволяет работодателю стереть всю рабочую информацию в телефоне в случае его потери или кражи. Ну и, естественно, дополнительные приложения от нашей компании, которые фильтруют домашние страницы на наличие нежелательного трафика, вирусов и т. д.
Еще нужно отметить важность проверки всех присылаемых ссылок, особенно если вы не уверены в том, что эта ссылка была предназначена именно вам. В первую очередь, когда вы получаете ссылку или письмо по почте – всегда смотрите на домен, с которого пришло письмо, защищено ли соединение.
Да, это очень простые правила, но, к сожалению, их мало кто придерживается на сегодняшний день.
- Если говорить о безопасности личных данных, возникает вопрос, что делать со смартфоном? В последнее время это маленькое устройство знает о нас чуть ли не больше, чем мы сами - сколько мы спим, что мы едим, где мы находимся… Как обезопасить себя от утери этой информации?
- Здесь я в первую очередь посоветую пользоваться стандартными антивирусными программами, которые предоставляются операторами связи. Эти программы сами по себе будут создавать определенную фильтрацию трафика и смогут обезопасить от большинства распространенных проблем. Да, мы никогда не можем с точностью на все 100% сказать, какие цели могут быть у хакеров и на какие сайты мы сегодня будем заходить. Но антивирусные программы уже более или менее приспособлены к стандартным действиям пользователей и умеют обходить большую часть вирусных ловушек. Как минимум, нужно поставить пароль на телефон и дополнительные пароли на почту. Для просмотра ссылок я бы посоветовал дополнительное приложение, через которое идет трафик сайта. Подключите услугу "найти мой телефон", делайте резервные копии. Ну и, конечно, не делайте ничего, что может вас скомпрометировать, особенно пользуясь рабочим телефоном. Любые неструктурированные данные – это риск. Чистите переписки, удаляйте фото.
- Многие компании, в частности Google, позволяют отслеживать девайсы через их собственные настройки. Насколько это безопасно с точки зрения того, что за вами могут проследить?
- В этом случае именно компания - держатель моих персональных данных отвечает за них и должна обеспечить их безопасность. А возможность отследить устройство иногда помогает вернуть его в целости и сохранности. Здесь каждый сам решает, насколько подобные методы уместны в его случае. Так что это ближе к плюсу безопасности, чем к минусу.
- Вы упоминали о разных видах паролей. Скажите, насколько безопасно на сегодняшний день пользоваться такими новыми технологиями, как Face ID или Touch ID?
- Все новое имеет те или иные риски. Чаще всего компании сами смотрят, как развивается продукт, и учатся на своих ошибках. Так что со временем клиент сам будет выбирать, какая аутентификация для него проще и выгоднее или удобнее. Здесь главное, чтобы компания оставляла пользователю выбор, каким именно из возможных вариантов аутентификации пользоваться.
Мне сложно сказать, насколько безопасны на данный момент названные вами технологии. Но первые разработки всегда обладают определенными рисками.
На сегодняшний день я скорее склоняюсь к возможности использования технологии Touch ID как наиболее отшлифованного метода, поскольку технология Face ID еще довольно несовершенна – достаточно вспомнить, как смартфоны были разблокированы с помощью согнутой фотокарточки. В то же время я сам предпочитаю старый проверенный метод - запомнить шесть цифр я всегда смогу. Ну, и ввести их тоже не составит никакого труда.
- А что Вы можете сказать относительно более сложных паролей? Стоит придумывать километровые слоганы или же можно обойтись несколькими цифрами и буквами?
- Ни для кого ни секрет, что очень популярны пароли "QWERTY" или “админ админ” или “пароль пароль”. Ну или же “осень 2018”. Почему? Потому что система меняет пароль каждые 90 дней, и сотрудник компании в таком случае смотрит в окно и пишет “осень 2018”, “весна 2018” или что-либо подобное.
С другой стороны, в среде айтишников есть такое высказывание: чем длиннее пароль, тем он ближе приклеен к компьютеру. Вопросы, как хранить пароли, были всегда. У меня в телефоне есть специальное приложение, в которой я храню все свои пароли. Чтобы зайти в него, я естественно должен пройти аутентификацию. Да, определенные риски есть, но мы сейчас живем в цифровой среде, и без этого просто невозможно.
Тем более, что в нашем постоянном пользовании находится далеко не один пароль. А чем больше паролей в нашей жизни, тем больше рисков их забыть, перепутать или ввести не тот пароль, который необходим в данный момент. Здесь у людей появляется соблазн придумать один или два пароля и применять их ко всем своим системам. И это опять-таки неправильно, потому что, подобрав один пароль, хакер получает доступ ко всем вашим документам, личным данным и прочей конфиденциальной информации.
В
итоге: пароль должен быть легко запоминаем
только вами, и не должен быть приклеен
на обратной стороне вашей клавиатуры
или прямо над экраном.
"Мы больше не живем в каменном веке"
- В Украине очень популярно разделять личное и рабочее общение, в том числе через девайсы. Многие топ-менеджеры имеют два мобильных телефона: для работы и для личных контактов. Насколько подобная схема логична с точки зрения безопасности?
- Здесь многое будет зависеть от политики безопасности компании, в которой работает руководитель. Есть две общепринятые схемы, по которым работают компании во всем мире. Первая – позволить руководителю использовать личный мобильный телефон для личных целей и рабочий исключительно для рабочих. В этом случае у работодателя есть возможность удаленно контролировать информацию на устройстве, стереть ее или как-либо повлиять на нее в случае рисков безопасности.
Вторая – установить на личный телефон все необходимые приложения безопасности и тем самым позволить ему пользоваться абсолютно безопасным трафиком как в своих личных, так и в рабочих целях.
В моем случае, если я сейчас зайду на свою рабочую почту и попытаюсь оттуда что-то скопировать, к примеру, на Gmail – у меня ничего не получится. При этом мне придет уведомление о том, что я не могу скопировать данную информацию в связи с внутренней политикой конфиденциальности моей компании.
- Если весь Ваш бизнес по сути сосредоточен на Вашем смартфоне, дадите ли Вы его в руки своему ребенку?
- Нет. Если бы я был работодателем, я бы прописал уже на уровне политики безопасности то, что рабочий телефон, да и планшет тоже, давать детям нельзя. Но мы видим здесь спрос и, соответственно, видим предложение. Многие компании реализуют детские настройки, специальные приложения для детей, ограничивающие их доступ к сети, к информации на устройстве и даже время работы телефона после включения такой программы.
Мы больше не живем в каменном веке, и не давать ребенку обучаться работать в digital-среде – значит ограничивать такого ребенка в его будущих возможностях. Интернет дает возможность развиваться быстро и качественно, но во всем должен быть баланс.
Здесь я как профессионал вижу возможность для операторов в разработке специальной среды интернета для детской и пожилой аудиторий. У этих групп абсолютно разные запросы на информацию, но в то же время определенные ограничения для них также зачастую весьма необходимы.
- Есть еще один вопрос, который хотелось бы задать. У каждого из нас есть свои привычки, не зависящие ни от уровня благосостояния, ни от менталитета. В частности, в Украине это привычка к бесплатному Wi-Fi. Доходит до того, что некоторые министры, заходя в новую для себя локацию, первым делом ищут в ней бесплатный Wi-Fi, несмотря на то, что со связью у них все не так уж и плохо. Насколько такие привычки могут повлиять на безопасность и как?
- Использовать публичный Wi-Fi или нет – каждый выбирает для себя сам. Естественно, есть определенные риски: как нарваться на вирус, так и потерять личные данные, не обратив внимания на авторизованность точки доступа. Часто злоумышленники создают точки доступа к Wi-Fi, сходные с точками доступа компании, рядом с которыми располагают свое оборудование. Таким образом, при подключении вашего терминала к их сетям, они получают доступ к его информации.
Но бесплатный Wi-Fi может навредить не только пользователю, но и самой компании. Создавая такую услугу, в первую очередь ее необходимо отделить от сети компании для того, чтобы не дать возможности злоумышленникам проникнуть во внутренние сети. Проводя аудиты, мы неоднократно наталкивались на ситуацию, когда благодаря взлому публичных сетей злоумышленники получали доступ к серверам компаний и всей имеющейся на них информации.
- Есть ли сейчас какие-либо способы защитить себя при использовании публичного Wi-Fi?
- Подключиться к Wi-Fi можно во многих общественных местах: кафетериях, гостиницах, ресторанах, но зачастую эти открытые сети влекут за собой риски утечки данных. Что бы вы ни использовали — ноутбук, планшет или смартфон, подключение должно максимально обеспечивать защиту ваших данных.
Чтобы повысить сохранность ваших данных при использовании открытых общественных сетей Wi-Fi:
используйте VPN для подключения к точке доступа;
отключите раздачу, если ваш ноутбук настроен на автоматический обмен файлами;
включите брандмауэр, он защитит ваш компьютер от вирусов и потенциальной утечки данных;
используйте защищенное соединение для веб-сайтов и приложений.
Обратите внимание на "золотой совет" – все-таки подумайте, надо ли вам вводить банковские данные и пароли в местах открытого доступа. Лучше использовать мобильный интернет. Если это возможно, то используйте открытые сети только для просмотра новостей, поиска информации, просмотра видео и прослушивания музыки.
Фото: Ксения Панченко
