Как утекают наши персональные данные
Откуда вообще берётся такая жестокая и неразрешимая проблема с вашими персональными данными? Почему по нескольку раз в месяц вы вдруг осознаёте, что вся наша персональная информация вместе с телефонами, датами рождения и суммами кредитов находится то у каких-то зеков, то в "Житомирском филиале" Центробанка РФ, и всякие подонки используют её в своих преступных схемах?
Ну вот представьте себе: огромный солидный Банк. Высшая степень защиты информации. Операторы входят в специальную дико защищённую сертифицированную программу, авторизуясь с помошью пароля и электронного ключа, который они хранят как зеницу ока. Даже войдя в программу, они имеют доступ только к необходимым им данным. Сеть защищена экранами, ведутся журналы доступа и выдачи электронных ключей, бдит отдел защиты информации. В здание и сеть просто так не проникнуть, ключ не добыть, пароль не узнать. Да даже если ты и узнаешь пароль, ты спалишь оператора, который тебе его дал и получишь ничтожнейшие возможности - разве что сможешь скопировать с экрана несколько цифр и фамилий. Казалось бы, добыть данные в такой ситуации просто нереально...
Постойте! А кто это сидит за железной дверью на четвёртом этаже в захламлённой каморке со старыми коробками и дохлыми винчестерами?! - Да это банковский сисадмин! Он как раз только что сделал резервную копию Базы данных той самой дико защищённой и сертифицированной программы, в которой содержится вся информация по клиентам и транзакциям. И как ни странно, данная резервная копия - это не какая-то секретная мумба-юмба, это обычный файл, который можно просмотреть в текстовом редакторе или открыть на любом компьютере с аналогичной стандартной базой данных, и делать с этой информацией всё, что душеньке угодно. Ну, просто таким образом эта информация хранится на диске. Если банковская система рухнет, сисадмин возьмёт резервную копию базы и полностью восстановит весь сервер. Можно не давать ему делать эти резервные копии, тогда в случае поломки системы можно будет считать, что банка всё равно что не было, и всё надо начинать с нуля. Итак, программа дико защищена, даже база данных хорошо защищена. Но бэкап базы данных - просто большой файл, с которым можно делать вообще что угодно, имея к нему доступ, и вот за этим как правило никто не следит. И тут сисадмин от греха подальше решает: перепишу-ка я этот файл ещё и вот в это в дисковое хранилище - авария, пожар, а база будет цела. А потом у него рождается следующая мысль: "А почему мне не переписать этот бэкап на переносной жёсткий диск, что лежит у меня в кармане? Просто на всякий случай?" - и он переписывает.
А потом наступает этот "всякий случай" - админа вызывает к себе начальник и не отпускает его в отпуск, ему урезают зарплату или вообще увольняют. "Ну что же" - решает он - "Теперь я вообще не связан никакими нравственными обязательствами перед этой гнилой конторой и могу делать, что хочу!" - и в этот момент молодой человек, положим, уже даже не работающий в банке, идёт к полупреступным типам и сливает им за тысячу-другую долларов файлик со своего диска, в котором находится вся корпоративная база с людьми, отчествами, адресами, суммами - после чего всякие подпольные структуры его начинают перепродавать, до тех пор, пока не перепродадут всем, кому только можно и как финальный аккорд - выложат в сеть для всеобщего доступа.
Конечно, наше государство озаботилось такой бедственной ситуацией с утечкой персональных данных. Ведутся работы. Вводятся законы, где ужесточены требования к защищенной программе, в которой работает оператор и кассир. Ещё жестче учитываются пароли и ключи, введены статьи и сроки за отсутствие сертификатов и ненадлежащий уровень секретности программы. Назначены специальные государственные проверки по соблюдению 115-ФЗ. Но все эти проверки то ли со временем стихли, то ли от них откупились, или наверху решили, что слишком жестоко кошмарить организации из-за каких-то смутных требований к компьютерной программе.
В итоге от всех этих мероприятий остался только один рудимент: когда ты приходишь в какое-нибудь госучреждение, чтобы получить какую-то справку, тебе дают специальную форму - "согласие на обработку персональных данных" - бумажная анкета, которую ты должен заполнить от руки с двух сторон. Ты оглядываешься в поиске ручки, и видишь вокруг всяких мучеников - бабок, дедов, которые трясущимися руками безуспешно пытаются вписать свои каракули в мелкие линейки, и ты становишься в очередь на ручку. И вместо получаса получение справки занимает у тебя целый час.
Но вписывая зачем-то в тысячный раз в коричневатый бумажный бланк полное название отделения полиции, которое тебе выдало когда-то паспорт, ты должен знать: таким вот парадоксальным образом государство заботится о сохранности твоих персональных данных, чтобы всякие мерзавцы ими не завладели и не дай Бог, начали тебя разводить, а то и шантажировать!
А где-то, на четвёртом этаже, за железной дверью в шуме серверов всё так же сидит в своём свитере администратор баз данных. И начальство, которое его и за человека не считает, уже готово его обидеть. И когда его обидят, нам всем снова не поздоровится!
Ну вот представьте себе: огромный солидный Банк. Высшая степень защиты информации. Операторы входят в специальную дико защищённую сертифицированную программу, авторизуясь с помошью пароля и электронного ключа, который они хранят как зеницу ока. Даже войдя в программу, они имеют доступ только к необходимым им данным. Сеть защищена экранами, ведутся журналы доступа и выдачи электронных ключей, бдит отдел защиты информации. В здание и сеть просто так не проникнуть, ключ не добыть, пароль не узнать. Да даже если ты и узнаешь пароль, ты спалишь оператора, который тебе его дал и получишь ничтожнейшие возможности - разве что сможешь скопировать с экрана несколько цифр и фамилий. Казалось бы, добыть данные в такой ситуации просто нереально...
Постойте! А кто это сидит за железной дверью на четвёртом этаже в захламлённой каморке со старыми коробками и дохлыми винчестерами?! - Да это банковский сисадмин! Он как раз только что сделал резервную копию Базы данных той самой дико защищённой и сертифицированной программы, в которой содержится вся информация по клиентам и транзакциям. И как ни странно, данная резервная копия - это не какая-то секретная мумба-юмба, это обычный файл, который можно просмотреть в текстовом редакторе или открыть на любом компьютере с аналогичной стандартной базой данных, и делать с этой информацией всё, что душеньке угодно. Ну, просто таким образом эта информация хранится на диске. Если банковская система рухнет, сисадмин возьмёт резервную копию базы и полностью восстановит весь сервер. Можно не давать ему делать эти резервные копии, тогда в случае поломки системы можно будет считать, что банка всё равно что не было, и всё надо начинать с нуля. Итак, программа дико защищена, даже база данных хорошо защищена. Но бэкап базы данных - просто большой файл, с которым можно делать вообще что угодно, имея к нему доступ, и вот за этим как правило никто не следит. И тут сисадмин от греха подальше решает: перепишу-ка я этот файл ещё и вот в это в дисковое хранилище - авария, пожар, а база будет цела. А потом у него рождается следующая мысль: "А почему мне не переписать этот бэкап на переносной жёсткий диск, что лежит у меня в кармане? Просто на всякий случай?" - и он переписывает.
А потом наступает этот "всякий случай" - админа вызывает к себе начальник и не отпускает его в отпуск, ему урезают зарплату или вообще увольняют. "Ну что же" - решает он - "Теперь я вообще не связан никакими нравственными обязательствами перед этой гнилой конторой и могу делать, что хочу!" - и в этот момент молодой человек, положим, уже даже не работающий в банке, идёт к полупреступным типам и сливает им за тысячу-другую долларов файлик со своего диска, в котором находится вся корпоративная база с людьми, отчествами, адресами, суммами - после чего всякие подпольные структуры его начинают перепродавать, до тех пор, пока не перепродадут всем, кому только можно и как финальный аккорд - выложат в сеть для всеобщего доступа.
Конечно, наше государство озаботилось такой бедственной ситуацией с утечкой персональных данных. Ведутся работы. Вводятся законы, где ужесточены требования к защищенной программе, в которой работает оператор и кассир. Ещё жестче учитываются пароли и ключи, введены статьи и сроки за отсутствие сертификатов и ненадлежащий уровень секретности программы. Назначены специальные государственные проверки по соблюдению 115-ФЗ. Но все эти проверки то ли со временем стихли, то ли от них откупились, или наверху решили, что слишком жестоко кошмарить организации из-за каких-то смутных требований к компьютерной программе.
В итоге от всех этих мероприятий остался только один рудимент: когда ты приходишь в какое-нибудь госучреждение, чтобы получить какую-то справку, тебе дают специальную форму - "согласие на обработку персональных данных" - бумажная анкета, которую ты должен заполнить от руки с двух сторон. Ты оглядываешься в поиске ручки, и видишь вокруг всяких мучеников - бабок, дедов, которые трясущимися руками безуспешно пытаются вписать свои каракули в мелкие линейки, и ты становишься в очередь на ручку. И вместо получаса получение справки занимает у тебя целый час.
Но вписывая зачем-то в тысячный раз в коричневатый бумажный бланк полное название отделения полиции, которое тебе выдало когда-то паспорт, ты должен знать: таким вот парадоксальным образом государство заботится о сохранности твоих персональных данных, чтобы всякие мерзавцы ими не завладели и не дай Бог, начали тебя разводить, а то и шантажировать!
А где-то, на четвёртом этаже, за железной дверью в шуме серверов всё так же сидит в своём свитере администратор баз данных. И начальство, которое его и за человека не считает, уже готово его обидеть. И когда его обидят, нам всем снова не поздоровится!