Любую информацию о вас можно купить недорого. Государство не защищает данные. Интервью Владислава ЗдольниковаУ вас есть враги? Или просто люди, с которыми у вас конфликт? Каждый из них за небольшую мзду может получить почти любую информацию о вас, вплоть до кадров записей видеокамер, по которым можно отследить ваши передвижения с точностью до секунды. Базы данных, где хранятся данные десятков миллионов россиян, защищены так плохо, что информация утекает из них как вода из решета. Особенно плохая ситуация сложилась с государственными базами данных, рассказал It’s My City IT-консультант, ведущий популярного Telegram-канала «IT и СОРМ» Владислав Здольников. Мы поговорили с ним о том, почему из государственных органов уходят последние хорошие айтишники, чем простым россиянам грозит слив данных и как граждане могут защитить свою личную информацию от государства. 
18+

«На места IT-специалистов назначают секретарш или любовниц»

Любую информацию о вас можно купить недорого. Государство не защищает данные. Интервью Владислава Здольникова

11 Августа, 17:00, 2020 г.
Автор: Дмитрий Колезев
Фото: Kremlin.ru

У вас есть враги? Или просто люди, с которыми у вас конфликт? Каждый из них за небольшую мзду может получить почти любую информацию о вас, вплоть до кадров записей видеокамер, по которым можно отследить ваши передвижения с точностью до секунды. Базы данных, где хранятся данные десятков миллионов россиян, защищены так плохо, что информация утекает из них как вода из решета. Особенно плохая ситуация сложилась с государственными базами данных, рассказал It’s My City IT-консультант, ведущий популярного Telegram-канала «IT и СОРМ» Владислав Здольников. Мы поговорили с ним о том, почему из государственных органов уходят последние хорошие айтишники, чем простым россиянам грозит слив данных и как граждане могут защитить свою личную информацию от государства. 

«Все институты выродились»

— Насколько серьезной и распространенной является проблема утечек данных из государственных баз?

— Все зависит от конкретной страны. Ключевых факторов два. Первый — то, как государство само относится к таким утечкам. Наказывают ли чиновников, сотрудников государственных органов, которые допускают утечки? Насколько чиновники мотивированы не допускать их?

Владислав Здольников. Кадр видео It's My City

Второй важный фактор — общественный контроль за тем, как хранится информация в государственных базах данных. Общество должно знать, какие люди, с каким разграничением прав и на каких основаниях имеют доступ к этим базам. Каким образом контролируется этот доступ? Как собираются данные, сколько времени они хранятся? И так далее.

Эти два фактора определяют то, как часто происходят подобные утечки. В России с обоими факторами все плохо. Чиновники у нас не несут ответственности за утечки, в большинстве случаев они даже не лишаются должностей. По крайней мере мне неизвестно о таких случаях. И нет никакого общественного контроля. Поэтому абсолютно любые данные из любой базы данных можно достать.

— Насколько трудно это сделать?

— Сложность варьируется в диапазоне от «бесплатно всем желающим» до «за небольшие деньги». Например, данные с камер видеонаблюдения легко купить через сотрудников полиции.

— Какие утечки за последнее время кажутся вам наиболее вопиющими?

— Моя любимая история — данные электронного голосования по поправкам в Конституцию. Российская власть активно продвигает электронное голосование, говорит, что это очень удобно, особенно в эпидемию. Якобы оно с помощью блокчейна защищает от фальсификаций, (что, конечно же, ложь: сам по себе блокчейн ни от чего не спасает).

И вот, для голосования по поправкам в Конституцию удалось собрать самую большую базу: зарегистрировались 1,1 млн человек. И база паспортов всех этих людей оказалась в открытом доступе. Само по себе это, может быть, не так страшно, но профильные продавцы таких баз в даркнете уже объединили ее с другими утекшими базами данных, и в совокупности получилась база, которая может нанести большой ущерб. Она может использоваться, например, мошенниками и шантажистами.

Это очень показательно. Ведь это электронное голосование задумывалось как демонстрация того, что сохранность данных важна государству, что из этой базы ничего не утечет. Неформальный пресс-секретарь мэра Москвы Сергея Собянина Алексей Венедиктов распинался на «Эхе Москвы», что все это точно безопасно. Нужно было убедить людей, что данные в сохранности, так как электронное голосование собираются распространить повсеместно. Но даже в этом случае они ничего не сделали, чтобы защитить эти данные. Они фактически сами выложили их в открытый доступ. Система для проверки паспортов была сделана таким образом, что из нее можно было получить эту базы данных.

— Они вообще никак не были защищены?

— Это база данных была захэширована, то есть переведена в белиберду. Почти любой айтишник знает, что хэширование, которое применялось в данном случае, обратимо. То есть из белиберды можно превратить информацию обратно в данные паспортов. Нужно еще поискать айтишников, которые были бы настолько неквалицифированы, что не понимают этого.

Photo by ThisisEngineering RAEng on Unsplash

— Почему так происходит? Государство не хочет защищать данные? Или не может?

— Все институты выродились. Гигантская машина чиновничьего аппарата ужасно деградировала в профессиональном плане. Если вокруг вырождение, не может быть все хорошо в одной конкретной области безопасности данных. Даже если чиновники будут очень стараться сохранить данные, ничего не получится.

Еще один пример, который я приводил в своем Telegram-канале: оказывается, на Россию пришлось больше трети утечек данных о больных COVID-19 во всем мире. Это тоже показательно.

В этом смысле Россия — это Зимбабве. С точки зрения сохранности данных разницы между нами и Зимбабве никакой. Разница только в том, что в Зимбабве эти данные вообще не собирают. Мы скатились до кошмарного уровня. Каждый месяц — по 3-4 громких случая утечек данных из государственных баз. Пристально наблюдая за этой темой, я уже сбиваюсь со счета.

— Вы сказали, что мы «скатились». Получается, когда-то ситуация была лучше? Или вся цифровизация сразу пошла по плохой траектории?

— Сильное влияние на этот процесс оказала деградация IT-специалистов, которые работают в государственном аппарате. Государство уже давно собирает данные, но такого количества утечек не было.

Да, раньше тоже можно было купить базу данных автовладельцев или другие базы. Но это не всегда были свежие данные, не всегда были полные данные, нельзя было найти любую базу. Сейчас же фактически любые данные можно получить бесплатно или приобрести.

— Вы сказали, что деградировали не только чиновники, но и государственные IT-специалисты — «технари», которые непосредственно решают задачи по безопасности баз данных. Почему это произошло?

— У меня раньше было довольно много знакомых, которые работали в государственных органах или государственных компаниях, в том числе занимались безопасностью данных. Среди них были действительно хорошие специалисты. Но в последние годы они уходили из госструктур, во многом как раз из-за деградации госаппарата. Иногда их места банально отдают своим знакомым, секретаршам или любовницам.

Я знаю такие примеры: в государственных структурах работает хороший специалист-«безопасник». На рынке он стоит дорого. Однако он сидит и получает не очень высокую зарплату, в не очень хорошем коллективе и с довольно токсичным работодателем, потому что убежден, что делает важное дело. Но вот добавляется дополнительный фактор в виде идиота-начальника. Или его просто убирают, потому что по меркам государственной службы место у него высокооплачиваемое, и на это место можно трудоустроить свою любовницу. И безопасностью данных заниматься больше некому.

Важно и то, что не будет нормального продакт-менеджемента, который есть в любой IT-компании. Когда ты работаешь на государство, к тебе сначала прибегает один чувак и говорит, что надо что-то сделать, потом другой чувак говорит, что надо сделать другое, потом третье, и все это противоречит одно другому. В таких условиях никто не хочет работать.

Фото: Kremlin.ru

— А политические причины присутствуют?

— Для многих айтишников работа на государство — это зашквар абсолютный. Приведу в пример такую историю. Если помните, некоторое время назад государство занялось строительством «суверенного интернета». Стояли две ключевые задачи: заблокировать Telegram и сделать так, чтобы внешний интернет можно было выключить, а в стране все работало.

Вторую задачу на 99% технически решить вообще невозможно. А первую задачу пытались решать, внедрив возможность блокировки по протоколам. Нужно было поставить всем операторам России DPI (deep packet inspection) — средство глубокой фильтрации трафика. Чтобы решить эту задачу, государство в лице «Ростелекома» купило компанию RDP.Ru. Она должна была за государственный счет установить всем это оборудование. Но как только компанию купили, ее сотрудники почувствовали, чем пахнет, и оттуда побежали хорошие специалисты. Хотя у них не уменьшалась зарплата, не менялись условия.

В итоге заблокировать Telegram так и не смогли. Потому что все сбежали. Эта история меня воодушевила. Я думал, в России люди менее принципиальные.

«Речь о криворукости конкретных исполнителей»

— Такая картина по всей стране? Или есть органы власти или субъекты РФ, где ситуация лучше? Вот правительство Москвы гордится своим технологическим уровнем.

— У департамента информационных технологий (ДИТ) Москвы огромный бюджет (34,5 млрд рублей в 2019 году — прим. It’s My City). Даже если украсть 80% из этого бюджета, то все равно останется достаточно средств, чтобы нанять хороших специалистов и купить оборудование. Но даже в ДИТ мы видим акты профнепригодности. Утекшая база данных электронного голосования — это как раз зона ответственности ДИТ.

Я слышал, что в ДИТе платят хорошо, зарплаты там адекватны рынку. Но сегодня любой мало-мальски грамотный IT-специалист может получить достойную зарплату, хорошие условия труда, разумный менеджмент. И при сопоставимой зарплате специалисты выбирают другие места. А в ДИТ остаются олухи.

Сейчас у меня уже не осталось личных знакомых, которые бы работали в государственных структурах и занимались там информационной безопасностью.

— Утечки чаще происходят из-за криворукости государственных айтишников и разложения госаппарата или данные злонамеренно сливают? Например, продают?

— Это сочетание причин, но в последнее время речь чаще идет не о материальной выгоде, а именно о криворукости конкретных исполнителей. Три последние громкие утечки были связаны с тем, что данные просто выложили в открытый доступ, и кто-то смог их найти. Данные просто потеряли. А кто-то их нашел. «Миллион паспортов лежит!». И так почти всегда. Но, конечно, злоумышленники потом обычно продают эти данные за деньги.

В США и Европе картина другая: там большинство утечек происходит из-за намеренного взлома.

«Присылаете фотографию человека — и получаете его кадры с камер виденаблюдения»

— Чем утечки данных опасны для рядовых граждан?

— Это зависит от того, какие конкретно данные утекают. Но вообще, сегодня можно купить любую информацию о человеке. Причем не только от государства, но и от коммерческих компаний. Например, у сотовых операторов можно купить данные о геолокации абонентов.

В первую очередь утекшие данные используют злоумышленники для мошенничества, слежки, шантажа. В группе риска тут находятся предприниматели и люди, которые занимаются общественной и оппозиционной деятельностью.

Photo by Etienne Girardet on Unsplash

— Но оппозиционеров ведь преследует государство, а оно и так владеет всеми этими данными.

— В случае утечки по оппозиционерам начинает работать еще и всякая обслуга государства, вроде пригожинской «фабрики троллей», и другие аутсорсеры.

— А предприниматели как страдают?

— Ко мне часто обращаются бизнесмены, которые столкнулись с теми или иными последствиями утечки их данных. Информацию используют их конкуренты, оппоненты в бизнесе. Есть и случаи откровенных рейдерских захватов, при которых используются утекшие данные.

— Какую информацию чаще всего используют злоумышленники?

— Главный бич сейчас — это утечки из базы данных видеонаблюдения Москвы. Распознавание лиц работает. Компания NTech Labs, к сожалению, наладила эту работу. И сейчас за 2-3 тысячи рублей можно купить один снимок человека в каком-то определенном месте — просто по фотографии. То есть ты присылаешь злоумышленникам фотографию человека, а они тебе информацию, где он был, и даже кадры камер видеонаблюдения. Это все стоит очень дешево. Жертвами этого становится множество людей.

— Если человек не занимается бизнесом или оппозиционной деятельностью, то он в сравнительной безопасности?

— Нет, потому что те же утекшие базы данных используются мошенниками для веерной работы. Чаще всего они соединяют разные базы данных и используют эту информацию. В первую очередь, конечно, это банковские мошенники. Устроены огромные call-центры, которые просто грабят людей, используя их данные. И чем больше у них данных, тем проще обокрасть человека — выманить у него смс-код, например. Или они могут обратиться от имени человека в банк, используя его данные. Так что в зоне риска абсолютно все.

— Про граждан понятно. А самому государству это приносит какие-то проблемы?

— Давайте разделим государства на два типа. Одни преследуют интересы граждан, другие нет. Для первых проблемы очевидны — если страдают граждане, то страдает и государство. Россия, на мой взгляд, является государством, которое не преследует интересы граждан. Но и для такого государства есть издержки. Это добавляет еще один штрих в общую картину недовольства властью, в снижение рейтинга власти. Данные утекают, все это видят. А государство просит еще больше данных от частных компаний, например, от сервисов такси. Граждане все более политизируются и видят, что их данные не в безопасности.

Кроме того, у граждан будет меньше доверия к таким процедурам, как электронное голосование. Оно создается, я убежден, чтобы проще было фальсифицировать выборы. Но при этом власти нужно, чтобы граждане ему доверяли, а с такими утечками доверия не будет, и меньше граждан будут участвовать в процедуре. Соответственно, у власти появляется чуть меньше возможностей для фальсификаций.

Photo by Markus Spiske on Unsplash

— Но в других странах, где, как вы говорите, государства больше заботятся об интересах граждан, утечки ведь тоже происходят?

— Они не такие массовые, и каждая из них становится очень громкой историей. Конечно, утечки данных всегда будут происходить. Хранение данных на серверах — вообще сравнительно новая для общества вещь. Но постепенно развитые страны осознают, что за этой сферой нужен общественный контроль. И, скорее всего, по миру этих утечек будет происходить все меньше. В России, к сожалению, наоборот.

 «Отдавайте государству как можно меньше данных о себе»

— Вы в своем Telegram-канале приводили в качестве хорошего примера сервис Wheely, основатель которого Антон Чиркунов отказался передавать данные о поездках москвичей государству, и за это сервис заблокировали на 90 дней. Что бы вы порекомендовали делать бизнесу и гражданам, чтобы ситуация в этой сфере улучшалась?

— Давайте начнем с бизнеса. Интересы простых граждан и интересы бизнеса, который не связан с государством, тут совпадают на 100%. Я понимаю, почему Антон Чиркунов занял такую позицию. С одной стороны, он защищает интересы пользователей сервиса. Но с другой стороны, он не хочет, чтобы какие-то данные утекали его прямому конкуренту — «Яндексу».

Департамент информации Москвы говорит, что запрашивает данные о поездках в интересах безопасности и мониторинга трафика. Но зачем они запрашивают у оператора информацию о водителях? Я не удивлюсь, что бенефициаром этого окажутся конкуренты — «Яндекс» и «Ситимобил». «Яндекс» постепенно превращается в государственную компанию, а «Ситимобил» принадлежит Mail.ru и, в конечном счете, — тоже государству.

Если мы видим, что какой-то бизнес внезапно становится на сторону государства, то мы можем открыть данные о его владельцах и, как правило, увидим там связь с государством или чиновниками. Такой бизнес лоббирует свои интересы через государство, а значит работает в конечном против своих клиентов, против конкуренции и рынка в принципе.

Президент РФ Владимир Путин в офисе компании «Яндекс». Фото Kremlin.ru

— А что делать обычным гражданам?

— Отдавать государству как можно меньше информации о себе. Конечно, какой-то информацией мы неизбежно поделимся. Если мы регистрируем в ГИБДД автомобиль или совершаем сделку с недвижимостью, информация сразу попадает в государственные базы. 

Но если вы можете какие-то данные спасти от государства, то спасите. Каждый раз, когда государство просит вас отдать данные, дерните себя за ухо и спросите: «Это обязательно?». Не регистрируйтесь в электронном голосовании, например. Не пользуйтесь порталом ДИТ. Не добавляйте на «Госуслугах» информацию, которую они очень просят вас добавить. Вроде бы у государства и так есть все данные о вас, а они просят заполнить информацию про ИНН, СНИЛС и так далее. Не заполняйте! Если можете припарковаться на бесплатной парковке, а не на платной, — воспользуйтесь бесплатной. Не рассказывайте мэрии, где вы паркуетесь. Так нужно вести себя во всем, и тогда у вас будет меньше проблем, которые с этим связаны.

И еще — поддерживайте компании, которые не связаны с государством или связаны с ним в меньшей степени. Пользуйтесь их услугами.

Государство стремится иметь как можно больше информации о вас, чтобы контролировать вас.

It’s My City работает в интересах городского сообщества. Если вам важно наличие такого медиа, поддержите нас донатом.