Сетевая гигиена: какие выводы нужно сделать после скандала с Google и Яндекс
09/07/2018
Мы попросили наших экспертов прокомментировать, что делать и кто виноват.
Пользователю необходимо лично выставить более надежные настройки
Дмитрий Березин
Эксперт направления информационной безопасности "КРОК"
Виновными в сложившейся ситуации могут быть частные или бизнес-пользователи, которые выбрали недостаточно безопасные настройки безопасности при создании документа в Google Docs. Кроме того, утечка могла возникнуть и из-за неверных настроек файла robots.txt в Google Groups for Business.
Что касается предотвращения повторений подобного кейса — все довольно просто. В индексацию поисковиков могут попасть документы, доступные по ссылке или общедоступные для поиска и просмотра. Таким образом, пользователю необходимо лично выставить более надежные настройки доступа.
Существует несколько версий относительно того, что произошло
Венера Шайдуллина
Финансовый университет при Правительстве Российской Федерации
В прессе сейчас активно обсуждается происшествие, которое потрясло всех интернет-пользователей 4 июля – внезапно Яндекс начал индексировать Google-документы, не защищенные настройкам приватности и паролями. Поднялся невероятный скандал. В Яндексе до сих пор на вопросы не отвечают. Но при этом важно заметить, что поисковик не нарушил российское законодательство, потому что приватные гугл-документы не были защищены настройками приватности, и имели публичный доступ. В то же время Яндекс не смог бы случайно подобрать пароли для адресов, потому что они невероятно длинные, и имеют хорошую защиту. Соответственно, ссылки появились неспроста. На данный момент существует несколько версий относительно того, что произошло. Одна из правдоподобных – это то, что кто-то из сотрудников сервиса "случайно"что-то напутал, то есть фактически это была запланированная акция. Разумеется, сейчас в структуре идут серьезные разбирательства и, возможно, этого человека или команду людей вскоре разоблачат. Что делать? Все очень просто. Если вы не хотите, чтобы миллионы интернет-пользователей получили доступ к вашим приватным данным, защищайте все созданные гугл-документы паролями. Желательно не такими, которые можно взломать с первого раза.
Вся ответственность лежит на пользователе, который не относится серьезно к настройкам приватности
Алексей Гришин
Руководитель направления информационных технологий компании Аладдин Р.Д.
Основной проблемой сложившейся ситуации стала недостаточная компьютерная грамотность пользователей, большинство из которых привыкли к тому, что система сама заботится о безопасности конфиденциальных данных. Всецело доверяя информационной системе, мы не читаем уведомления и предупреждения, выдаваемые ей в процессе работы, а людей, которые изучили пользовательское соглашение и обдуманно подтвердили использование программного комплекса, можно занести в Красную книгу. В ситуации с Google Docs данные были утеряны или разглашены только у тех пользователей, которые делали возможным доступ на чтение для любого неавторизированного участника сети. На самом деле сервис неоднократно уведомляет о последствиях такого обращения с конфиденциальными данными, но зачастую все игнорируют подобные предупреждения, надеясь на сохранность ссылки, по которой документ будет доступен. В случаях с индексацией и поиском по контенту, которые стали возможны благодаря современным технологиям, ссылка, как инструмент защиты, теряет свою значимость, а данные пользователя становятся легко доступными. Винить Google или Yandex в такой ситуации нельзя, так как сервисы просто выполняют работу по стандартному алгоритму, реализуя свой заявленный функциональность. Вся ответственность лежит на пользователе, который не относится серьезно к настройкам приватности.
Часть глобальной проблемы перехода человечества в цифровой мир
Алексей Николаев
Автор книги "Мобильная связь на пути к 6G"
Проблема внезапных утечек личной конфиденциальной информации – это часть глобальной проблемы перехода человечества в цифровой мир. Переход идет столь стремительно, что наш мозг даже не может просчитать риски.
Взять, как пример, те же пароли для аккаунтов. Допустим, у кого-то была привычка записывать пароли на бумажку и вешать рядом с компьютером. Казалось бы ничего опасного – квартира своя и без физического проникновения в помещение их не узнать. И тут вдруг выясняется, что видеокамеру компьютера можно взломать и получить изображения обстановки, что друг может придти в гости, сделать фото интерьера в высоком разрешении, выложить в интернет, и этого хватит, чтобы разглядеть ваши записки в другом конце комнаты.
Взрослые уверены, что они жутко засекреченные, т.к. "их нет в социальных сетях" и они "нигде ничего в интернете не оставляют". Это смешно. Стоит зайти на страницы их детей, где все подробно расписано с метками: "это мой дядя", "это моя тетя" и т.д. Мы не можем даже детей научить обращению с информацией, что говорить про нас самих?
Поисковые роботы ходят везде, а не только там, где им можно
Анна Ольяная
Директор по развитию интернет-агентства "Орех"
Каждый год летом происходит какая-нибудь утечка. И с каждым годом данные все более серьезные. Уже утекали данные внутренних форумов Яндекса, данные о покупателях интернет-магазинов и многое другое. Поисковые системы уже не отрицают того, что поисковые роботы ходят везде, а не только там, где им можно, что запрещающие индексацию директивы практически не работают. Кто виноват – уже не разберешься. Что делать – тут все просто:
-
Не хранить важные персональные данные в публичных источниках.
-
Открывать через Google Doc просмотр четко на определенную почту, а не через доступ по ссылке.
Безопасность персональных данных выходит на первый план
Олесья Горьковая, CEO высшей школы IT и безопасности HackerU в России
Роль человека в цифровой экономике меняется, он зачастую уже не исполнитель каких-то действий, а создатель. Поэтому безопасность персональных данных все чаще выходит на первый план.
Мы, пользователи, постоянно генерируем массив контента, включая различные пароли. Хочется, чтобы цифровые динозавры типа Google жили в контексте пяти−десяти лет вперед и понимали эти вещи во избежании повторения подобных ситуаций. Я думаю, инцидент с Google Docs — это техническая ошибка, не человеческий фактор.
Законопроекты на эту тему, безусловно, нужны — это важный инструмент сохранения персональных данных. Именно это поможет жестко контролировать необходимую конфиденциальность.
Я бы рекомендовал использовать анонимные браузеры
Денис Шелестов
Cооснователь и технический директор DeNet
Ситуация с утечкой личных файлов в поисковике «Яндекс» в очередной раз всполошила общественность. Казалось бы, доступ к вашим файлам открыт только вам и тем, кому вы сами отправили ссылку личным письмом или сообщением. Кто еще может об этом знать? Ответ прост — ваш браузер.
Например, если вы предпочитаете Яндекс.Браузер, то вы даете Яндексу доступ ко всему своему контенту, который хранится в сети. В данном случае пользователи Яндекс.Браузер заходили через него в Google Docs и по сути сами предоставили нужную ссылку, которая проиндексировалась и попала в публичный доступ. Самостоятельно Яндекс, как и любая другая поисковая система, не может случайно сгенерировать ссылку на файл, который вы где-то разместили.
Многие эксперты советуют при открытии доступа к информации на Google Docs использовать только режим «для выбранных пользователей» (доступ к документу по приглашению). Но таких мер недостаточно.
Я бы рекомендовал использовать другие браузеры, которые не видят информацию о вас, когда вы переходите по каким-то ссылкам. Это так называемые анонимные браузеры. Например, Tor Browser или Epic Privacy Browser. Если вы уже привыкли к своему браузеру и не готовы с ним расставаться, то используйте хотя бы адблок. Он блокирует отслеживающую вас информацию. А если вам действительно важна безопасность и приватность данных, используйте более защищенные сервисы типа DeNet.Storage. Пока они обладают чуть меньшим функционалом, но зато вы никогда не потеряете свои данные.
Безопасность твоих документов - это, в первую очередь, твоя задача
Наталья Фефилова
Директор по развитию 404 Group
Кто виноват в том, что ваши документы попали в общий доступ, если вы сами не закрыли к ним доступ? Можно обвинять сами сервисы, хакеров и прочих причастных и непричастных, но прежде всего стоит обратить внимание на собственные навыки в работе с документами. Очевидно, что тот, чьи документы оказались в сети, пренебрег настройками конфиденциальности в Google Docs, которые позволяют открывать доступ к документу избранным людям. У нас в компании строго запрещено делать общий доступ для внутренних документов. Сотрудник, создающий файл, расшаривает его нужным коллегами и дает им нужные права. Кто-то может лишь просматривать файл, а кто-то имеет право его редактировать и т. д. в зависимости от внутренних задач.
Что делать? Понять, что безопасность твоих документов - это, в первую очередь, твоя задача. Прописать политику конфиденциальности в компании, четко обозначив критерии по доступу к документам, способам их “расшаривания” и коммерческой тайне и т.д. Сделать памятку для сотрудников и проводить регулярные инструктажи на эту тему. Провести внеочередную проверку. Удалить ненужное, установить необходимые права доступа. Если нет такого человека, то назначить ответственного, который будет осуществлять проверки на уровне компании.