Едвард Лукас

Цифровий неспокій

27 Вересня 2017
Новина про те, що хакери отримали доступ до даних 143 млн. осіб, зламавши систему американського кредитного бюро Equifax, вразила усіх нас так само, як повідомлення про ураган на Карибах: жах, але ми, на щастя, далеко. Хоча насправді ми мали б теж набивати мішки піском і запасатися питною водою. Ми дійшли до критичної точки: персональні дані, які підлягають захисту і використовуються для ідентифікації, стають загальновідомими, а отже повністю втрачають сенс.

Найбільш абсурдним зловживанням є давно поширена практика використовувати дати народження і дівочі прізвища матерів для контрольних запитань (часом сюди додають ще й домашні адреси й номери телефонів). Такі дані часто доступні широкому загалу. В записі «Вікіпедії» про мене зазначено мою дату народження і посилання на статтю про мого батька, з якої можна дізнатися дівоче прізвище моєї матері. З огляду на те, що я керівник Центру аналізу європейської політики, мою адресу й індекс можна дізнатися в один клік. Тепер ці відомості є не більш таємними, ніж те, як пишеться моє ім’я.

Не може не тривожити те, що ця легковажність вже призводить до маскувань під законного користувача (що хибно називається «крадіжкою персональних даних»). Далі буде тільки гірше. Ви не можете змінити дату народження чи матір, так само як ніколи не матимете інших відбитків пальців, іншого обличчя, іншої сітківки ока чи іншого голосу. Усі ці дані можна оцифрувати і використати для встановлення особи. Ці важливі й незамінні біометричні дані невдовзі потраплять у бази даних по всьому світі. Достатньо недбалості на одному комп’ютері, і ви втрачаєте «коштовності» своєї цифрової ідентичності.

Технологія розпізнавання обличчя на новому iPhone свідчить, що час бити на сполох. Хоча треба віддати Apple належне: у плані безпеки компанія має зразкові технології. Камера телефону записує і розпізнає обличчя власника в такий вигадливий спосіб, що фотографією чи маскою її не обдуриш. Упевнившись, що обличчя відповідає збереженому в пам’яті, телефон видає код автентифікації, з допомогою якого можна розблокувати пристрій або здійснити платіж. Програма на телефоні, яка цим займається, знаходиться в захищеній з допомогою технології Secure Enclave зоні апарату, що ускладнює втручання у збережені дані. До того ж, до неї належно написано код (на кожному етапі проводилися математичні перевірки), на відміну від абсурдно заскладних програм, які в торгівлі прозвали «спагеті-кодами»). Та сучасне життя переважно залежить саме від такого програмного забезпечення. Уся інформація користувачів Apple зберігається на телефонах, а не в централізованій базі даних. Тому хакерська атака на Apple не мала б сенсу.

Читайте також: Техніка інформаційної безпеки

Однак інші хранителі наших даних — менш відповідальні. Уряд США проґавив відбитки пальців 20 мільйонів працівників, що зберігалися в бюрократичному сховищі — в базі Офісу з управління персоналом (OPM), яку 2014 року зламали китайські шпигуни.

Рано чи пізно хакери візьмуться за бази даних з фотографіями облич або біометричними даними, і втрати будуть ще більш дошкульними. Через те, що ми жадібні й ліниві, питання ціни і зручності зазвичай переважають над безпекою. Хоча розраховувати на засоби боротьби не варто. Хто компенсує вам втрати, якщо зловмисник надрукує реалістичну латексну маску і з допомогою неї придбає щось на іншому кінці світу, де використовується технологія розпізнавання обличчя? Не дуже обнадіює й те, як банки розбираються з махінаціями з PIN-кодами: спочатку звинувачують клієнта, а не з’ясовують, чи було зламано банківську систему.

У реальному світі ми б ніколи не примирилися із системою, що вимагає копій паспортів і ключів від дому щоразу, як треба підтвердити свою особу. Проте онлайн-світ вимагає саме цього.

Технічні засоби безпеки вже існують. Наполегливо рекомендую вам почати використовувати для будь-яких онлайн-операцій багатофакторну автентифікацію (MFA), щойно дочитаєте цю статтю. MFA посилює ваші ненадійні набори логінів, паролів й контрольних запитань додатковими ступенями захисту. Наприклад, Google Authenticator на вашому телефоні генерує серію шестизначних чисел, що постійно змінюються, їх можна використати для авторизації на Amazon, Gmail й інших сайтах. За кілька фунтів ви можете придбати схожий ґаджет Yubikey завбільшки з ніготь на пальці руки, який вставляється в комп’ютер і підтверджує вашу особу. VPN-сервіс (віртуальна приватна мережа), на зразок Freedome від F-Secure, дбає про безпеку, коли ви користуєтеся громадськими wifi-мережами на телефоні чи ноутбуку. Поєднані, усі ці засоби захистять вас від махінацій, якщо, звісно, не йдеться про масштабну кібератаку росіян чи китайців (у такому разі ви маєте зовсім інші проблеми).

Спецтема: Інформаційна безпека

Так само як кожний зобов’язаний слідкувати за технічним станом машини і бути обережним водієм, усім нам слід взяти на себе відповідальність за цифрову безпеку.

Перш за все слід створити культуру прозорості інформації щодо потенційних упущень. Зразком для наслідування може бути Естонія, що має найкращу в Європі систему цифрової ідентифікації (до речі, доступну для іноземців). Ця країна чесно повідомила, коли нещодавно виявила теоретичну проблему з електронними ID-картками, і це при тому, що наразі все працювало як слід. Фахівці лише зрозуміли, що майбутні потужніші комп’ютери зможуть зламати частину криптографії, використану для ID-карток. Естонці визнали проблему і заходилися працювати над її вирішенням.

Натомість самовдоволена, несвоєчасна та ухильна реакція Equifax на злам її даних лише викликала безпорадний гнів американських користувачів, цифрових невільників, чиїми персональними даними нехтують так само, як незайманістю селянки. За нових правил із захисту інформації, що наберуть чинності в Європі наступного року, Equifax мав би великі проблеми. В очікуванні Brexit нам треба буде вирішити: приєднуємося до загальноєвропейського руху проти свавілля фінансового сектору й технологічних компаній чи живемо в цифровому феодалізмі, як американці?

---------------

автор The Economist, старший віце-президент аналітич­ного центру CEPA

 

Новини RedTram

Loading...