18/07/2018
Редакция обратилась в Роскомнадзор с просьбой прокомментировать утечки персональных данных пользователей через поисковики, в частности, через поисковик "Яндекса". В ведомстве нам ответили, что "на основании закона о "Персональных данных" Роскомнадзор направил
"В связи с этим ответить на ваши вопросы на сегодняшний день не представляется возможным.
Обращаем внимание, что согласно закону «О персональных данных», организация обязана ответить на запрос уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации не позднее 30 дней с моменты получения запроса."
Напомним, что вчера прошла информация об утечке данных клиентов "Сбербанка", "Альфа Страхования", ВТБ, РЖД и других через поисковые системы "Яндекса", неделю назад был скандал с Google Docs.
17/07/2018
Не прошло и двух недель после скандала c Google Docs в поисковой выдаче «Яндекса», как обнаружилась новая утечка. Оказалось, что в выдаче поисковика можно найти и персональные данные некоторых пользователей Сбербанка,
09/07/2018
А вы знаете, как соблюдать сетевую гигиену?
Пользователю необходимо лично выставить более надежные настройки
Дмитрий Березин
Эксперт направления информационной безопасности "КРОК"
Виновными в сложившейся ситуации могут быть частные или бизнес-пользователи, которые выбрали недостаточно безопасные настройки безопасности при создании документа в Google Docs. Кроме того, утечка могла возникнуть и из-за неверных настроек файла robots.txt в Google Groups for Business.
Что касается предотвращения повторений подобного кейса — все довольно просто. В индексацию поисковиков могут попасть документы, доступные по ссылке или общедоступные для поиска и просмотра. Таким образом, пользователю необходимо лично выставить более надежные настройки доступа.
Существует несколько версий относительно того, что произошло
Венера Шайдуллина
Финансовый университет при Правительстве Российской Федерации
В прессе сейчас активно обсуждается происшествие, которое потрясло всех интернет-пользователей 4 июля – внезапно Яндекс начал индексировать Google-документы, не защищенные настройкам приватности и паролями. Поднялся невероятный скандал. В Яндексе до сих пор на вопросы не отвечают. Но при этом важно заметить, что поисковик не нарушил российское законодательство, потому что приватные гугл-документы не были защищены настройками приватности, и имели публичный доступ. В то же время Яндекс не смог бы случайно подобрать пароли для адресов, потому что они невероятно длинные, и имеют хорошую защиту. Соответственно, ссылки появились неспроста. На данный момент существует несколько версий относительно того, что произошло. Одна из правдоподобных – это то, что кто-то из сотрудников сервиса "случайно"что-то напутал, то есть фактически это была запланированная акция. Разумеется, сейчас в структуре идут серьезные разбирательства и, возможно, этого человека или команду людей вскоре разоблачат. Что делать? Все очень просто. Если вы не хотите, чтобы миллионы интернет-пользователей получили доступ к вашим приватным данным, защищайте все созданные гугл-документы паролями. Желательно не такими, которые можно взломать с первого раза.
Вся ответственность лежит на пользователе, который не относится серьезно к настройкам приватности
Алексей Гришин
Руководитель направления информационных технологий компании Аладдин Р.Д.
Основной проблемой сложившейся ситуации стала недостаточная компьютерная грамотность пользователей, большинство из которых привыкли к тому, что система сама заботится о безопасности конфиденциальных данных. Всецело доверяя информационной системе, мы не читаем уведомления и предупреждения, выдаваемые ей в процессе работы, а людей, которые изучили пользовательское соглашение и обдуманно подтвердили использование программного комплекса, можно занести в Красную книгу. В ситуации с Google Docs данные были утеряны или разглашены только у тех пользователей, которые делали возможным доступ на чтение для любого неавторизированного участника сети. На самом деле сервис неоднократно уведомляет о последствиях такого обращения с конфиденциальными данными, но зачастую все игнорируют подобные предупреждения, надеясь на сохранность ссылки, по которой документ будет доступен. В случаях с индексацией и поиском по контенту, которые стали возможны благодаря современным технологиям, ссылка, как инструмент защиты, теряет свою значимость, а данные пользователя становятся легко доступными. Винить Google или Yandex в такой ситуации нельзя, так как сервисы просто выполняют работу по стандартному алгоритму, реализуя свой заявленный функциональность. Вся ответственность лежит на пользователе, который не относится серьезно к настройкам приватности.
Часть глобальной проблемы перехода человечества в цифровой мир
Алексей Николаев
Автор книги "Мобильная связь на пути к 6G"
Проблема внезапных утечек личной конфиденциальной информации – это часть глобальной проблемы перехода человечества в цифровой мир. Переход идет столь стремительно, что наш мозг даже не может просчитать риски.
Взять, как пример, те же пароли для аккаунтов. Допустим, у кого-то была привычка записывать пароли на бумажку и вешать рядом с компьютером. Казалось бы ничего опасного – квартира своя и без физического проникновения в помещение их не узнать. И тут вдруг выясняется, что видеокамеру компьютера можно взломать и получить изображения обстановки, что друг может придти в гости, сделать фото интерьера в высоком разрешении, выложить в интернет, и этого хватит, чтобы разглядеть ваши записки в другом конце комнаты.
Взрослые уверены, что они жутко засекреченные, т.к. "их нет в социальных сетях" и они "нигде ничего в интернете не оставляют". Это смешно. Стоит зайти на страницы их детей, где все подробно расписано с метками: "это мой дядя", "это моя тетя" и т.д. Мы не можем даже детей научить обращению с информацией, что говорить про нас самих?
Поисковые роботы ходят везде, а не только там, где им можно
Анна Ольяная
Директор по развитию интернет-агентства "Орех"
Каждый год летом происходит какая-нибудь утечка. И с каждым годом данные все более серьезные. Уже утекали данные внутренних форумов Яндекса, данные о покупателях интернет-магазинов и многое другое. Поисковые системы уже не отрицают того, что поисковые роботы ходят везде, а не только там, где им можно, что запрещающие индексацию директивы практически не работают. Кто виноват – уже не разберешься. Что делать – тут все просто:
Не хранить важные персональные данные в публичных источниках.
Открывать через Google Doc просмотр четко на определенную почту, а не через доступ по ссылке.
Безопасность персональных данных выходит на первый план
Олесья Горьковая, CEO высшей школы IT и безопасности HackerU в России
Роль человека в цифровой экономике меняется, он зачастую уже не исполнитель каких-то действий, а создатель. Поэтому безопасность персональных данных все чаще выходит на первый план.
Мы, пользователи, постоянно генерируем массив контента, включая различные пароли. Хочется, чтобы цифровые динозавры типа Google жили в контексте пяти−десяти лет вперед и понимали эти вещи во избежании повторения подобных ситуаций. Я думаю, инцидент с Google Docs — это техническая ошибка, не человеческий фактор.
Законопроекты на эту тему, безусловно, нужны — это важный инструмент сохранения персональных данных. Именно это поможет жестко контролировать необходимую конфиденциальность.
Я бы рекомендовал использовать анонимные браузеры
Денис Шелестов
Cооснователь и технический директор DeNet
Ситуация с утечкой личных файлов в поисковике «Яндекс» в очередной раз всполошила общественность. Казалось бы, доступ к вашим файлам открыт только вам и тем, кому вы сами отправили ссылку личным письмом или сообщением. Кто еще может об этом знать? Ответ прост — ваш браузер.
Например, если вы предпочитаете Яндекс.Браузер, то вы даете Яндексу доступ ко всему своему контенту, который хранится в сети. В данном случае пользователи Яндекс.Браузер заходили через него в Google Docs и по сути сами предоставили нужную ссылку, которая проиндексировалась и попала в публичный доступ. Самостоятельно Яндекс, как и любая другая поисковая система, не может случайно сгенерировать ссылку на файл, который вы где-то разместили.
Многие эксперты советуют при открытии доступа к информации на Google Docs использовать только режим «для выбранных пользователей» (доступ к документу по приглашению). Но таких мер недостаточно.
Я бы рекомендовал использовать другие браузеры, которые не видят информацию о вас, когда вы переходите по каким-то ссылкам. Это так называемые анонимные браузеры. Например, Tor Browser или Epic Privacy Browser. Если вы уже привыкли к своему браузеру и не готовы с ним расставаться, то используйте хотя бы адблок. Он блокирует отслеживающую вас информацию. А если вам действительно важна безопасность и приватность данных, используйте более защищенные сервисы типа DeNet.Storage. Пока они обладают чуть меньшим функционалом, но зато вы никогда не потеряете свои данные.
Безопасность твоих документов - это, в первую очередь, твоя задача
Наталья Фефилова
Директор по развитию 404 Group
Кто виноват в том, что ваши документы попали в общий доступ, если вы сами не закрыли к ним доступ? Можно обвинять сами сервисы, хакеров и прочих причастных и непричастных, но прежде всего стоит обратить внимание на собственные навыки в работе с документами. Очевидно, что тот, чьи документы оказались в сети, пренебрег настройками конфиденциальности в Google Docs, которые позволяют открывать доступ к документу избранным людям. У нас в компании строго запрещено делать общий доступ для внутренних документов. Сотрудник, создающий файл, расшаривает его нужным коллегами и дает им нужные права. Кто-то может лишь просматривать файл, а кто-то имеет право его редактировать и т. д. в зависимости от внутренних задач.
Что делать? Понять, что безопасность твоих документов - это, в первую очередь, твоя задача. Прописать политику конфиденциальности в компании, четко обозначив критерии по доступу к документам, способам их “расшаривания” и коммерческой тайне и т.д. Сделать памятку для сотрудников и проводить регулярные инструктажи на эту тему. Провести внеочередную проверку. Удалить ненужное, установить необходимые права доступа. Если нет такого человека, то назначить ответственного, который будет осуществлять проверки на уровне компании.