Читаем Big Data. Вся технология в одной книге полностью

Сообщения об очередном случае массовой утечки данных появляются едва ли не каждую пару месяцев. У каждой технологии есть свои плюсы и минусы. Большинство технологий, предполагающих впечатляющие изменения в повседневной жизни, несут и определенные риски, тем более если предусматривают сохранение определенной части работы за человеком. Управление автомобилем может закончиться аварией; предоставление данных для обработки может быть чревато их утечкой или хакерской атакой.

Автор книги «Преступления будущего»[357] и консультант ООН, НАТО и Интерпола Марк Гудман подчеркивает, что от утечек данных нельзя отмахиваться, как от исключительно маловероятных событий. От 15 до 20 процентов мирового ВВП приходится на долю организованной преступности, в сферу интересов которой наряду с наркоторговлей, работорговлей и проституцией входят незаконный оборот информации и кража интеллектуальной собственности, причем доля доходов от киберопераций в общем обороте криминального бизнеса постоянно растет[358].

Самые резонансные утечки данных (например, покупателей eBay[359] и магазинов сети Target[360], финансовой информации из банка JPMorgan Chase[361], сведений сотрудников кинокомпании Sony Pictures[362], пациентов медицинского страховщика Anthem[363], избирателей из избирательной комиссии Филиппин[364]) оказываются в центре внимания СМИ и становятся источником серьезных проблем[365]. Однако случаев, когда отчеты о причинах происшедшего становились бы достоянием гласности, немного, равно как и открытых дискуссий о мерах, которые должны быть приняты той или иной компанией в целях укрепления безопасности. Была ли информация перехвачена на пути от одного узла к другому? Можно ли было выявить уязвимость системы собственными силами? Как можно определить, что инфопереработчик «достаточно надежен», чтобы доверить ему свои данные?

В случаях утечки данных компании обычно утверждают, что они бессильны перед лицом изощренной атаки. Иногда подобная «посмертная» оценка правдива. После взлома данных кинокомпании Sony Pictures ее представитель сказал, что «любые предположения относительно того, что компания могла бы защититься от этой атаки, глубоко ошибочны и идут вразрез с ключевыми выводами и комментариями ФБР»[366]. Глава управления ФБР по борьбе с киберпреступностью свидетельствовал перед сенатом, что «использованная хакерская программа… с вероятностью 90 процентов преодолела бы любые средства сетевой защиты, применяемые сегодня в бизнесе, и, смею предположить, в правительственных учреждениях»[367]. Вредоносная программа, использованная хакерами, по степени предсказуемости была сродни присутствию заразного больного на кухне ресторана: несмотря на все разумные меры предосторожности и значительные инвестиции в кибербезопасность, компания оказалась уязвимой, что привело к неожиданным и крайне негативным результатам.

Аудит сохранности данных должен стать обязательным для любой компании, работающей с социальными данными, а его результаты должны быть доступны пользователям. Исходя из опыта прошлого, потребители имеют право требовать, чтобы предоставление им результатов проверки надежности и безопасности стало нормой. Тем не менее компании не спешат делиться ими, поскольку опасаются, что обнародование результатов аудита сохранности данных сделает их более уязвимыми для хакеров. По их словам, обнародование низкой оценки сохранности данных, не говоря уже об описании слабых мест системы, равносильно тому, чтобы поставить у незапертого дома плакат, приглашающий в него грабителей. Однако взломщики выбирают свои цели по критерию ценности, а не доступности.

Для защиты своих активов Sony Pictures пригласила ведущего эксперта в области кибербезопасности Кевина Мандиа[368]. Консультантов нанимают многие компании, работающие с конфиденциальной информацией, будь то дорогостоящие голливудские киноленты или миллионы номеров кредитных карт. Интересы компаний и пользователей в части безопасности совпадают: ни те ни другие не хотят, чтобы их информацию украли преступники. Но сегодня большей части людей предоставляется слишком мало информации, чтобы они могли судить об уязвимости их данных в конкретной компании. Еще меньше возможностей есть для того, чтобы сравнивать подходы к вопросам безопасности, существующие у различных компаний. Вот почему необходимо распространить практику проведения аудита сохранности данных и публикации результатов на все организации, занимающиеся обработкой и анализом информации.