Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.
Утечка данных может произойти и через роботов, которых часто используют для скрэппинга интернет-сайтов, ориентированных на потребителей, с целью извлечения информации о пользователях. Лучшие практики обеспечения сохранности данных включают создание систем обнаружения и закрытия аккаунтов, показывающих необычную активность. Например, пользователь, ежесекундно переходящий со страницы на страницу, вряд ли является человеком. Роботы и их операторы становятся умнее и уже сейчас избегают настолько бросающихся в глаза стереотипов поведения. В условиях стремительно развивающейся «гонки вооружений» более высоких оценок в области сохранности данных заслуживают инфопереработчики, которые используют в борьбе против несанкционированного использования данных возможности машинного обучения.
Роботы способны извлекать данные даже в условиях очень продвинутых систем наблюдения. В этом на собственном печальном опыте убедились пользователи социальной сети для людей с хроническими заболеваниями PatientsLikeMe
[373]. На форумах сайта люди делились весьма деликатной информацией о своих медицинских диагнозах, самочувствии, рецептурных и безрецептурных медикаментах, побочных эффектах и прогнозах. Многие обменивались советами по преодолению физического и эмоционального бремени таких хронических болезней, как рассеянный склероз, ВИЧ/СПИД, посттравматическое стрессовое расстройство и депрессия. Это был замечательный пример того, как свободный обмен информацией помогает найти других людей со схожими проблемами, узнать об их опыте и сравнить пользу от разных методов лечения.
Хотя часть пользователей сайта скрывались под псевдонимами, это делали далеко не все, а в личных профайлах или подписях под комментариями многие публиковали адреса своей электронной почты и прочую персональную информацию. Это упрощало контакты с коллегами по несчастью, но наряду с этим упрощало и возможность увязки псевдонимов с настоящими именами. В этой связи можно представить себе шок, испытанный пользователями PatientsLikeMe, когда выяснилось, что на форумы сайта проникли роботы, тайком собирающие информацию для консалтинговой компании Nielsen в рамках маркетингового исследования по заказу неназванной фармацевтической компании
[374]. Сайт закрыл аккаунты-роботы, но они успели скопировать около 5 процентов постов. Стандартный аудит сохранности данных должен оценивать, насколько быстро можно выявлять аккаунты-роботы и скрэппинг информации при существующих в компании процедурах.
Подобные инициативы должны стать частью широкомасштабной целенаправленной работы по своевременному обнаружению брешей в системах защиты данных. Начиная с 2011 года Facebook предлагает денежную премию любому, кто обнаружит и сообщит компании о программной ошибке или зоне уязвимости. В рамках этой инициативы хакеры-энтузиасты обнаружили более двух тысяч ошибок, за что получили от компании премии на общую сумму более четырех миллионов долларов (что составляет лишь незначительный процент от общих затрат Facebook на безопасность
[375]. Сумма премии каждому из «этичных» «белых» хакеров рассчитывалась исходя из оценки обнаруженного риска, а также из того, известно ли было о проблеме самой компании. На сегодняшний день самую большую премию в сумме 33 500 долларов получил бразилец, который смог взломать серверы Facebook через ошибку в программе, используемой для восстановления забытого пароля
[376]. Не каждая компания, работающая с информацией, может позволить себе полноценный департамент безопасности, но привлекательная призовая программа способна оперативно и относительно недорого закрыть системные бреши.
КОМПЛЕКС
СОЦИОМЕТРИЧЕСКИХ ДАННЫХ
МОЖЕТ ДАТЬ ПРЕДСТАВЛЕНИЕ
ОБ УРОВНЕ СПЛОЧЕННОСТИ
КОЛЛЕКТИВА И О СТАТУСЕ
ЧЕЛОВЕКА ВНЕ ЗАВИСИМОСТИ
ОТ ТОГО, ЧТО НАПИСАНО
НА ЕГО ВИЗИТКЕ
Последствия хакерских атак выглядят особенно пугающе, когда речь идет об «интернете вещей». Огромное количество информации, которую анализируют компьютерные системы самолетов, поездов и автомобилей, а также повсеместное распространение компьютерных сетей, в том числе в жилых домах и больницах, влекут за собой физические риски для людей. В главе 4 мы говорили о том, как при помощи имитатора GPS-сигнала можно направить людей в нежелательное для них место. Преподаватель Университета штата Техас Тодд Хамфриз провел шокирующий эксперимент: используя радар-имитатор и удаленный контроллер, он перехватил управление яхтой при полном неведении ее экипажа
[377]. В другом случае двое хакеров доказали, что могут дистанционно управлять джипом, проникнув в его рулевое управление, тормозную систему и трансмиссию через мультимедийную систему с выходом в интернет
[378].