Утренняя реплика 28 октября 2019

Утечка данных о клиентах «Сбербанка» стала той ахиллесовой пятой Германа Грефа, которая продемонстрировала всю суть компании. Ты можешь проводить хакатоны, покупать IT-компании, выступать на конференциях с предсказаниями будущего. Но в отделениях твоего банка продолжат говорить «вот где карту открывали, туда и идите», а данные о твоих клиентах будут продавать по 30 рублей за досье. Может показаться, что Греф и его «Сбербанк» безнадежны, и переубеждать кого-то в этом факте дело неблагодарное. Однако, конкретно по утечке персональных данных нам есть что сказать. Дело в том, что сами по себе такие утечки не зависят от самой компании чуть менее, чем полностью. И вот почему.

Периодически в лентах мелькают тексты типа «Больше половины сотрудников компаний используют простые пароли», и в этом есть определенная правда. Уже несколько десятилетий прошло с момента, как нас всех накрыли цифровые технологии. Все мы вынуждены помнить десятки паролей от разных учетных записей, причем как на работе, так и дома. Казалось, что биометрические способы защиты должны были разгрузить нас от необходимости помнить секретные комбинации букв и цифр, но стало еще хуже. Расслабившись, народ перестал париться и практически все используют два-три пароля для всех своих аккаунтов. Ну а если злой администратор начинает жестить и каждые пару недель принудительно меняет пароли, то провоцирует сотрудников на еще большую дичь — пароли начинают записывать на листочках, которые приклеивают к монитору. И сотрудников тоже можно понять — невозможно помнить эти абсолютно бессмысленные наборы символов.

И тут на сцену выходят так называемые хакеры. Так называемые потому, что у нас часто путают сумрачных гениев, продирающихся через защиту серверов, с людьми, которые просто получают доступ к чужим учетным записям с помощью социальной инженерии. Отличаются эти группы друг от друга так же, как грабители банков от наперсточников. Но, как известно, наперстки зачастую приносят денег больше, а рисков — несравненно меньше. Большая часть неправомерного доступа к персональным данным связана с тем, что злоумышленник как-то узнал — не подобрал, а именно узнал — пароль. А уж как он это сделал — вопрос второй.

Помимо листочков с паролями, которые с большей долей вероятности можно обнаружить около рабочего компьютера, есть масса других замечательных и сравнительно простых способов получить эту информацию. Одним из самых распространенных является банальный подкуп. Вы никогда не задумывались, а кто именно имеет доступ к вашим данным? Ну, например, к банковским? Логичным можно назвать ответ — банк. Но на самом деле это не так, и пример «Сбербанка» нам это наглядно демонстрирует.

Оказывается, утечка данных о клиентах «Сбербанка» стоила всего 40 тысяч рублей. Именно такую сумму инкриминируют найденному злоумышленнику, который продал данные на некоем черном рынке интернета. Им оказался сотрудник коллекторского агентства, сотрудничавшего со «Сбербанком». Сама сумма, конечно, поражает воображение любого, кто не очень хорошо знаком с индустрией слива данных. Но на самом деле цена не такая уж и низкая. Просто сами по себе персональные данные в нашей стране практически ничего не стоят. Да и ответственности за их утечку компании если и несут, то лишь номинальную.

Прежде чем метать гневные молнии в сторону «Сбербанка», вспомните — сколько раз вы давали свои паспортные данные, чтобы зайти в какой-нибудь бизнес-центр. А после этого представьте, что вахтер этот, сосредоточенно переписывающий данные вашего паспорта в толстую тетрадь, завтра уволится. И будьте уверены, тетрадку эту у него приобретут. Ведь с паспортными данными можно много чего интересного сделать. SIM-карты оформить. Кредиты. Ну а главный вопрос простой — неужели вы думаете, что за эту тетрадку вахтер получит какие-то вменяемые деньги? Хотя бы 40 тысяч рублей?

И хорошо, если эта тетрадка не окажется на помойке. Где, собственно, и добывается 90% всех персональных данных.