Почему персональные данные продолжают утекать

На днях Минцифры предложило штрафовать компании за утечку персональных данных на суммы до 3% годового оборота. Со стороны кажется, будто три процента — это пустяк, однако в реальности это как если бы обычного наёмного сотрудника штрафовали на несколько месячных зарплат, то есть невероятно больно.

Утечка персональных данных — это когда в Сеть утекает база клиентов какой-нибудь пиццерии, где прописаны телефоны и адреса покупателей, или база комментаторов развлекательного сайта, в которой кроме адресов с логинами есть ещё и незашифрованные пароли.

Если всерьёз наказывать компании за утечки, полагаю, проблема будет быстро решена. С технической точки зрения свести утечки к минимуму несложно. Данные так часто утекают ровно по одной причине — корпорациям на защиту данных клиентов глубоко наплевать. Ну, утекут у компании с миллиардными оборотами данные миллиона клиентов. Ну, оштрафуют её за это на 100 тысяч рублей. И что? Да дешевле каждый месяц платить такие штрафы, чем расширить штат хотя бы на одного девопса, не говоря уже о том, чтобы дать ему достаточно полномочий для работы.

Вот несколько моих соображений по поводу защиты данных — что можно было бы сделать, и чего пока что не делают.

1. Всю бюрократию с согласием клиентов на обработку персональных данных следует отменить. Пользы от неё ноль целых ноль десятых, а вред — весьма существенный. Во-первых, на заполнение всех этих согласий уходит бесценный ресурс, время. В масштабах страны — миллионы человеко-часов, потраченных на глупые бланки.

Для справки, год состоит из 2000 рабочих часов, а вся карьера обычного человека — из 70 тысяч рабочих часов. Если мы тратим в масштабах страны каждый год 7 миллионов человеко-часов на заполнение согласий, это как если бы мы каждый год отрезали руки у сотни студентов, лишая их возможности продуктивно работать. Воровство времени — огромная, мало кем сознаваемая беда.

Кроме того, сбор данных клиентов — нормальная практика, ответственный бизнес прямо-таки обязан изучать свою клиентуру, чтобы лучше удовлетворять её потребности. Если повар в пиццерии видит пометку «Рудольфу Обжорину нужна двойная порция сыра» — ущерба тут нет. Проблема не в том, что пометку видит повар, а в том, что менеджер пиццерии сливает базу хакерам за 15 тысяч рублей, и потом все собранные о Рудольфе данные утекают в публичный доступ.


2. Продолжу пример с пиццей и поваром. Повару не нужно видеть имя Рудольфа и его адрес. Курьеру не нужно видеть фамилию Рудольфа и его вкусовые предпочтения. Менеджеру поддержки нужно видеть только ту часть данных Рудольфа, которая относится к проблеме, с которой Рудольф ему звонит. Пароль Рудольфа не надо видеть вообще никому, его достаточно хранить в зашифрованном виде.

Это называется «разграничение прав доступа», и специалисты по безопасности умеют настраивать его ещё с античных времён, когда не то что компьютеров, даже механических часов ещё не изобрели.

Да, на настройку прав доступа надо потратить силы и время, поэтому проще дать каждому полные права. Но если у корпораций появится минимальная мотивация, они несомненно смогут настроить права доступа так, чтобы каждый видел только узкий, нужный ему участок.

3. Ещё по поводу узких участков. Допустим, у пиццерии 200 ресторанов по всей стране. Она может хранить все данные клиентов локально, отдельно по каждому из ресторанов. Тогда из отделения в Белогорске в самом худшем случае можно будет украсть только данные по клиентам из Белогорска. А если клиент из Белогорска поедет отдыхать, например, в Черногоск, оттуда можно будет отправить в Белогорск автоматический запрос: так и так, выдайте данные по такому-то клиенту, которые хранятся у вас. Если же из Черногорска поступит больше пяти запросов в неделю, зазвонит колокольчик у безопасника, и он начнёт проверять вручную — не пытаются ли хакеры выкачать базу удалённо.

4. Другой вариант, тоже рабочий, хорошо защищённая база в бункере под Москвой, которая выдаёт данные клиентов поштучно. Работает, допустим, курьер в Задонске, разносит по 30 пицц в день. Каждый раз при получении заказа он обращается к центральной базе, откуда лично ему выдают адрес и имя (не фамилию) конкретного клиента. При этом в базе фиксируется: такому-то курьеру выданы такие-то данные.

Украсть таким образом базу тяжело, так как ни у курьера, ни у менеджеров, ни у поваров просто нет к базе доступа — они получают данные поштучно, по мере необходимости. При этом каждая выдача данных записывается, и если данные позже всплывают у хакеров, несложно вычислить: ага, вот эти фамилии запрашивал сотрудник техподдержки из такого-то города, следовательно, он-то их налево и слил.

5. Есть и другие проверенные способы защитить данные технически — любой специалист по информационной безопасности может часами рассказывать про простые, дешёвые и эффективные рецепты обороны серверов.

Однако есть ещё и человеческий фактор. Сейчас наказания за слив базы данных налево фактически нет. Это несправедливо, так как утечки персональных данных наносят ущерб миллионам людей — вот как если бы злоумышленники сыпали бациллы холеры в городской водопровод. Будет и правильно, если наказание за слив служебных данных будет соответствовать преступлению — то есть будет составлять несколько лет реального тюремного срока.

В той же пиццерии есть кассы, а в кассах — наличные. Теоретически любой кассир может вынуть из кассы 100 тысяч рублей и положить себе в карман. Однако такие случаи редки, так как все понимают — будут искать, найдут, посадят в тюрьму. При воровстве данных волноваться клеркам не о чем. Даже если их будут искать и найдут, им грозит разве что выговор или увольнение, не более того.

Корпорации отлично умеют лоббировать законы. Напомню, не далее как в этом году корпорации пролоббировали чудовищный закон по уничтожению мелкого ювелирного бизнеса, нанеся тем самым российскому бизнес-климату, пожалуй, самый серьёзный единовременный ущерб за последние 10 лет (ссылка).

Понятно, что при таких возможностях корпорациям будет несложно пролоббировать и изменения в Уголовном Кодексе, чтобы сделать наказание за воровство данных соразмерным тяжести преступления. Повторюсь, не делают этого они ровно по одной причине — сейчас на утечки данных клиентов им наплевать.

Таким образом, если Минцифры удастся заставить корпорации платить штрафы, корпорации решат проблему утечек очень быстро, и в течение одного-двух лет утечки практически прекратятся.

Что же касается бумажек с согласием на обработку данных, то тут, света в конце туннеля я не вижу. Государство начнёт всерьёз бороться с бюрократией только после того, как общество научится ценить своё время. Пока что у нас с этим плохо: несправедливый штраф в 100 рублей вызывает вспышку благородной ярости, а излишняя бюрократия, крадущая 20 часов личного времени, воспринимается как мелкое и неизбежное неудобство.