Что нужно знать о защите персональных данных в интернете

Не успели пользователи забыть утечку интимных фото американских звёзд, как появился новый повод для обсуждения: около миллиона паролей почты «Яндекса» попали в Сеть, а за ними вылились и пароли от аккаунтов на Mail.ru . Во всех случаях компании снимают с себя ответственность и заявляют: дело не в уязвимости системы, а в легкомысленности пользователей.
«Яндекс» отметил, что больше 85 % аккаунтов уже были известны системе и пользователям рекомендовалось сменить пароли. Многие из аккаунтов заброшены, и у почти 40 тысяч в базе был простейший пароль — 123456. В качестве основных причин взлома называют фишинг, вирусы, простые и одинаковые пароли на разных сервисах, что даёт злоумышленникам возможность вскрыть сразу несколько аккаунтов пользователя.
Что включают в себя персональные данные?
В законе «О персональных данных» так называют любую информацию, которая позволяет определить личность пользователя. То есть это фамилия, имя и отчество, дата и место рождения, адрес, семейное положение, паспортные данные, профессия, доходы и другая информация. При этом пароли к аккаунтам не являются персональными данными, так как не сообщают ничего о человеке.
С согласия пользователя данные могут становиться общедоступными — например, номер телефона или e-mail, которые вы передаёте компании. При этом по требованию пользователя эти данные должны быть убраны из общего доступа.
Где хранятся данные?
Большинство серверов крупнейших интернет-компаний находятся в Америке. «Яндекс» построил дата-центр в Рязанской области на территории девяти бывших цехов машиностроительного завода «Саста», до конца 2019 года там будет установлено около 100 тысяч серверов. Кроме России, у компании есть дата-центры в Нидерландах, США и Финляндии. У Mail.Ru Group в России пять дата-центров плюс аренда серверов за границей.
В связи с новым законом, по которому российское правительство обязует компании хранить данные российских пользователей только на территории страны, ожидается, что дата-центров в России станет больше. Однако пока зарубежные интернет-компании не комментируют их будущую работу в России, и в СМИ время от времени появляется информация о том, что власти ведут переговоры с Facebook, Google, Twitter и другими интернет-гигантами.
Как передаются персональные данные?
За свободный интернет и бесплатные сервисы пользователи платят данными. Крупные компании вроде Google и «Яндекса» синхронизируют информацию из различных источников, чтобы точнее определить предпочтения пользователя. Они зарабатывают на рекламе, и чем понятнее будут интересы пользователя, тем более точное объявление можно ему показывать. Так, в Facebook пользователю предлагают спонсируемые истории, исходя из страниц, которые ему нравятся, и оставленной информации в публичном доступе (в его профиле). Рейтинговые системы и кнопки шейринга вроде Pluso или Liveinternet приносят компаниям больше знаний о пользователях, которые можно анализировать и продавать для создания рекламы. Когда пользователь обращается к сервису, он принимает условия соглашения, где прописаны условия обращения с его данными. Мы передаём данные каждый раз, когда авторизуемся в сервисе, и показываем своё поведение, переходя по страницам и нажимая лайки.
Владимир Иванов, «Яндекс»: «Архитектура нашего почтового сервиса устроена так, что данные о логинах, письмах, которые им принадлежат, и содержание писем зашифрованы, лежат в трёх разных местах, за которые отвечают три разные группы системных администраторов. Чтобы получить доступ к содержанию писем пользователей, необходимо участие всех этих трёх групп людей, которое невозможно без соблюдения ряда внутренних процедур. Все подобные действия автоматически логируются и находятся на контроле у службы безопасности компании».
Как государство защищает данные россиян?
Организации и отдельные люди, которые хранят, собирают, передают или обрабатывают персональные данные, по закону относятся к операторам персональных данных. Все они с июля 2016 года должны хранить информацию о российских пользователях на территории России. Интернет-компании, нарушающие этот закон, получат предупреждение от Роскомнадзора. Если нарушения не устранят в течение дня, компании внесут в специальный реестр, а доступ к ним по решению суда будет заблокирован. Недавно депутаты решили приблизить начало работы закона, заявив, что компании готовы к тому, чтобы он вступил в силу уже в январе 2015 года.
В рамках пакета «антитеррористических поправок», предложенных руководителем комитета Госдумы Ириной Яровой, без указания персональных данных можно делать электронные платежи на сумму до 1 000 рублей в день. Это поможет узнать, кто совершил пожертвования через платёжные системы тому или иному человеку или компании. По словам парламентариев, практически все платежи за рубежом подконтрольны государству и могут отслеживаться.
Ещё одной инициативой, которая должна помочь предотвратить теракты, стало предложение подключаться к публичному Wi-Fi по паспорту. Это означает, что власти, во-первых, создают новую волну ограничений к интернет-доступу, во-вторых, хотят следить за всеми, кто в него заходит. Премьер-министр Медведев отмечал: «Хочу обратить внимание, что ни у кого не было задачи, чтобы все носили с собой паспорта. Ведь идентификация возможна гораздо более современными способами — по SMS или кредитной карте. Многие страны после самых разных печальных событий решили, что надо идентифицировать пользователей. Это нормальная задача государства — понимать набор существующих угроз и пытаться им противодействовать. Ведь абсолютное большинство преступлений террористического характера осуществляется сейчас с использованием интернета и мобильной связи».
Ситуация усугубилась на фоне украинских событий, когда депутаты стали открыто заявлять о том, что интернет влечёт революционную угрозу. Например, член комитета Госдумы по бюджету и налогам Евгений Фёдоров говорил, что «интернет является прямым орудием «оранжевой» интервенции, за которой следует массовое убийство десятков тысяч людей. Первый этап — это работа в интернете, в том числе с интернет-компаниями, которые связаны с «пятой колонной», через санкции, через манипулирования расположенными за рубежом дата-центрами. Именно оттуда производится цензура и ревизия тех процессов, которые происходят в России». То есть вопрос защиты персональных данных для властей — это вопрос защиты суверенитета страны и национальных интересов.
Как часто интернет-компании делятся данными с властями?
Владимир Иванов, «Яндекс»: «Получить содержание почтового ящика пользователя можно только по решению суда. Эта процедура с юридической точки зрения считается выемкой документов. Она проводится только в рамках открытого уголовного дела с составлением протокола и в присутствии двух свидетелей. Вопреки сформировавшемуся общественному мнению, это происходит нечасто: например, у нас таких случаев бывает от силы несколько десятков в год». По данным Google, в 2013 году компания получила 90 запросов от властей и из них предоставила информацию лишь по 3 %. Во «ВКонтакте» The Village сообщили, что такой статистики не ведут, в Mail.ru — тоже, но заверили, что данные о пользователях предоставляются только по решению суда.
Чем принятые инициативы грозят пользователям?
Усиление регулирования неминуемо ведёт к ущемлению свободы пользователей и сервисов, которые всегда существовали в условиях глобального интернет-рынка. Из-за отказа зарубежных компаний хранить данные китайских пользователей на территории страны правительство КНР заблокировало работу Google. Хотя интернет-гиганты стремятся размещать дата-центры как можно ближе к клиентам, так как это повышает скорость работы сервисов, американские компании отказывались идти на уступки из-за угрозы нарушения приватности пользователей.
Российские власти вслед за Северной Кореей и Китаем продолжают принимать поправки, направленные на регулирование работы западных интернет-компаний в России. Крупные платёжные системы Visa и MasterCard уже заявляли о возможности уйти с рынка. В случае ухода Facebook и Google пользователи смогут обращаться к ним только через VPN и TOR в обход законодательства.
Если зарубежные компании вроде Airbnb и Booking не перенесут серверы данных россиян в страну, пользователи не смогут покупать билеты и бронировать отели с вступления в силу закона «О персональных данных». Депутаты уверяют, что компании смогут работать по-прежнему. Но на всякий случай правительство поручило создать систему бронирования авиабилетов и отелей.
Зачем ещё контроль, когда есть ФСБ?
Государство стремится отрегулировать работу интернета с разных сторон, например через работу одного подконтрольного оператора. Параллельно с 1 июля в силу вступили поправки, расширяющие полномочия ФСБ (так называемый СОРМ-2). У структуры есть достаточно рычагов, чтобы узнать про любого пользователя персональную информацию и его локацию.
По приказу Минкомсвязи с 1 июля 2014-го все данные о звонках россиян операторы связи обязаны хранить в течение 12 часов. Компания «Вымпелком» отмечала, что этот закон противоречит статьям Конституции, гарантирующей право на неприкосновенность частной жизни и тайну личной переписки и переговоров. Приказ распространяется и на интернет-операторов, которые должны по запросу предоставлять IP-адреса и данные к аккаунтам сервисов Google, «Яндекса» и Mail, а также сообщать о местонахождении пользователей Skype и других подобных программ. Если предыдущая версия СОРМ могла следить за пользователями выборочно, существующая обеспечивает возможность массовой слежки.
Но все эти возможности доступны только ФСБ и открываются по предоставлению официального запроса. Другим же структурам необходимы отдельные точки контроля, которые может обеспечивать государственный провайдер, поисковик и пр.
Как пользователю сохранить свои данные от утечек и слежки?
Всё, что могут посоветовать интернет-компании, — это бережнее относиться к защите данных: создавать сложные пароли, чаще их менять, использовать двухфакторную авторизацию (привязка аккаунта к номеру телефона). Можно создавать почтовые аккаунты в зашифрованном (глубоком) интернете и на заграничных серверах в странах, где больше других заботятся о безопасности пользователей (например, Швеция или Германия). The Village уже рассказывал о правилах анонимности в Сети.
С другой стороны, вскоре пользователи могут вовсе лишиться анонимности и приватности. В этом случае мы все привыкнем к тому, что любая информация, даже отправленная кому-то персонально, в любой момент может оказаться публичной.