Более того, некоторые самые крупные утечки являлись результатом небрежного отношения к работе с данными, а не враждебных происков. Взять, к примеру, случай с жестким диском, на котором правительственное учреждение хранило медицинские карты и послужные списки более 70 миллионов ветеранов американской армии[372]. Диск вышел из строя, и ответственный чиновник отправил его поставщику в надежде, что тот исправит дефект. Сделать это не получилось, и поставщик отправил диск на утилизацию еще одному стороннему подрядчику. Все это время данные оставались на диске. Госучреждение, в ведении которого были эти архивные записи, потом ссылалось на условие контракта с производителем об обеспечении сохранности данных. Но преступникам наплевать на такие юридические тонкости. И обращение с информацией, и реакция на ее утечку были неприемлемы.
Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.
Утечка данных может произойти и через роботов, которых часто используют для скрэппинга интернет-сайтов, ориентированных на потребителей, с целью извлечения информации о пользователях. Лучшие практики обеспечения сохранности данных включают создание систем обнаружения и закрытия аккаунтов, показывающих необычную активность. Например, пользователь, ежесекундно переходящий со страницы на страницу, вряд ли является человеком. Роботы и их операторы становятся умнее и уже сейчас избегают настолько бросающихся в глаза стереотипов поведения. В условиях стремительно развивающейся «гонки вооружений» более высоких оценок в области сохранности данных заслуживают инфопереработчики, которые используют в борьбе против несанкционированного использования данных возможности машинного обучения.
Роботы способны извлекать данные даже в условиях очень продвинутых систем наблюдения. В этом на собственном печальном опыте убедились пользователи социальной сети для людей с хроническими заболеваниями PatientsLikeMe[373]. На форумах сайта люди делились весьма деликатной информацией о своих медицинских диагнозах, самочувствии, рецептурных и безрецептурных медикаментах, побочных эффектах и прогнозах. Многие обменивались советами по преодолению физического и эмоционального бремени таких хронических болезней, как рассеянный склероз, ВИЧ/СПИД, посттравматическое стрессовое расстройство и депрессия. Это был замечательный пример того, как свободный обмен информацией помогает найти других людей со схожими проблемами, узнать об их опыте и сравнить пользу от разных методов лечения.
Хотя часть пользователей сайта скрывались под псевдонимами, это делали далеко не все, а в личных профайлах или подписях под комментариями многие публиковали адреса своей электронной почты и прочую персональную информацию. Это упрощало контакты с коллегами по несчастью, но наряду с этим упрощало и возможность увязки псевдонимов с настоящими именами. В этой связи можно представить себе шок, испытанный пользователями PatientsLikeMe, когда выяснилось, что на форумы сайта проникли роботы, тайком собирающие информацию для консалтинговой компании Nielsen в рамках маркетингового исследования по заказу неназванной фармацевтической компании[374]. Сайт закрыл аккаунты-роботы, но они успели скопировать около 5 процентов постов. Стандартный аудит сохранности данных должен оценивать, насколько быстро можно выявлять аккаунты-роботы и скрэппинг информации при существующих в компании процедурах.
Подобные инициативы должны стать частью широкомасштабной целенаправленной работы по своевременному обнаружению брешей в системах защиты данных. Начиная с 2011 года Facebook предлагает денежную премию любому, кто обнаружит и сообщит компании о программной ошибке или зоне уязвимости. В рамках этой инициативы хакеры-энтузиасты обнаружили более двух тысяч ошибок, за что получили от компании премии на общую сумму более четырех миллионов долларов (что составляет лишь незначительный процент от общих затрат Facebook на безопасность[375]. Сумма премии каждому из «этичных» «белых» хакеров рассчитывалась исходя из оценки обнаруженного риска, а также из того, известно ли было о проблеме самой компании. На сегодняшний день самую большую премию в сумме 33 500 долларов получил бразилец, который смог взломать серверы Facebook через ошибку в программе, используемой для восстановления забытого пароля[376]. Не каждая компания, работающая с информацией, может позволить себе полноценный департамент безопасности, но привлекательная призовая программа способна оперативно и относительно недорого закрыть системные бреши.
КОМПЛЕКССОЦИОМЕТРИЧЕСКИХ ДАННЫХМОЖЕТ ДАТЬ ПРЕДСТАВЛЕНИЕОБ УРОВНЕ СПЛОЧЕННОСТИКОЛЛЕКТИВА И О СТАТУСЕЧЕЛОВЕКА ВНЕ ЗАВИСИМОСТИОТ ТОГО, ЧТО НАПИСАНОНА ЕГО ВИЗИТКЕПоследствия хакерских атак выглядят особенно пугающе, когда речь идет об «интернете вещей». Огромное количество информации, которую анализируют компьютерные системы самолетов, поездов и автомобилей, а также повсеместное распространение компьютерных сетей, в том числе в жилых домах и больницах, влекут за собой физические риски для людей. В главе 4 мы говорили о том, как при помощи имитатора GPS-сигнала можно направить людей в нежелательное для них место. Преподаватель Университета штата Техас Тодд Хамфриз провел шокирующий эксперимент: используя радар-имитатор и удаленный контроллер, он перехватил управление яхтой при полном неведении ее экипажа[377]. В другом случае двое хакеров доказали, что могут дистанционно управлять джипом, проникнув в его рулевое управление, тормозную систему и трансмиссию через мультимедийную систему с выходом в интернет[378].
Подобные опыты меняют отношение компаний к цифровой безопасности. В 2015 году клиника Майо наняла с десяток лояльных «белых» хакеров, чтобы проверить на возможность взлома систему, управляющую сотнями устройств поддержания жизни пациентов по всей больнице. Результаты оказались поразительными и отрезвляющими. Устройства оказались крайне уязвимыми, причем настолько, что хакерам, многие из которых были звездами кибербезопасности, не хватило предоставленного недельного срока, чтобы разобраться со всеми изъянами в области защиты систем. Часть оборудования по-прежнему работала на паролях по умолчанию, оставшихся от заводских настроек, что для потенциального взломщика примерно равносильно полному отсутствию пароля[379]. Изучив доклад специалистов, клиника Майо пересмотрела свою закупочную политику и рабочие процедуры, предъявив к поставляемому медицинскому оборудованию жесткие требования правил безопасности. Но для системы здравоохранения в целом это нетипичный случай[380].
Слишком часто решения относительно сохранности данных принимаются на базе самой примитивной оценки экономического эффекта. Типичный пример такого мышления продемонстрировал в 2007 году топ-менеджер Sony Pictures, заявивший за пару месяцев до большого взлома системы
