Не успели пользователи забыть утечку интимных фото американских звёзд, как появился новый повод для обсуждения: около миллиона паролей почты «Яндекса» попали в Сеть, а за ними вылились и пароли от аккаунтов на Mail.ru. Во всех случаях компании снимают с себя ответственность и заявляют: дело не в уязвимости системы, а в легкомысленности пользователей.

«Яндекс» отметил, что больше 85 % аккаунтов  уже были известны системе и пользователям рекомендовалось сменить пароли. Многие из аккаунтов заброшены, и у почти 40 тысяч в базе был простейший пароль — 123456. В качестве основных причин взлома называют фишинг, вирусы, простые и одинаковые пароли на разных сервисах, что даёт злоумышленникам возможность вскрыть сразу несколько аккаунтов пользователя.

The Village даёт ответы на самые популярные вопросы, связанные с персональными данными.

 

Что включают в себя персональные данные?

В законе «О персональных данных» так называют любую информацию, которая позволяет определить личность пользователя. То есть это фамилия, имя и отчество, дата и место рождения, адрес, семейное положение, паспортные данные, профессия, доходы и другая информация. При этом пароли к аккаунтам не являются персональными данными, так как не сообщают ничего о человеке.

С согласия пользователя данные могут становиться общедоступными — например, номер телефона или e-mail, которые вы передаёте компании. При этом по требованию пользователя эти данные должны быть убраны из общего доступа.

 

Где хранятся данные?

Большинство серверов крупнейших интернет-компаний находятся в Америке. «Яндекс» построил дата-центр в Рязанской области на территории девяти бывших цехов машиностроительного завода «Саста», до конца 2019 года там будет установлено около 100 тысяч серверов. Кроме России, у компании есть дата-центры в Нидерландах, США и Финляндии. У Mail.Ru Group в России пять дата-центров плюс аренда серверов за границей.

В связи с новым законом, по которому российское правительство обязует компании хранить данные российских пользователей только на территории страны, ожидается, что дата-центров в России станет больше. Однако пока зарубежные интернет-компании не комментируют их будущую работу в России, и в СМИ время от времени появляется информация о том, что власти ведут переговоры с Facebook, Google, Twitter и другими интернет-гигантами.

 

Как передаются персональные данные?

За свободный интернет и бесплатные сервисы пользователи платят данными. Крупные компании вроде Google и «Яндекса» синхронизируют информацию из различных источников, чтобы точнее определить предпочтения пользователя. Они зарабатывают на рекламе, и чем понятнее будут интересы пользователя, тем более точное объявление можно ему показывать. Так, в Facebook пользователю предлагают спонсируемые истории, исходя из страниц, которые ему нравятся, и оставленной информации в публичном доступе (в его профиле). Рейтинговые системы и кнопки шейринга вроде Pluso или Liveinternet приносят компаниям больше знаний о пользователях, которые можно анализировать и продавать для создания рекламы. Когда пользователь обращается к сервису, он принимает условия соглашения, где прописаны условия обращения с его данными. Мы передаём данные каждый раз, когда авторизуемся в сервисе, и показываем своё поведение, переходя по страницам и нажимая лайки.

Владимир Иванов, «Яндекс»: «Архитектура нашего почтового сервиса устроена так, что данные о логинах, письмах, которые им принадлежат, и содержание писем зашифрованы, лежат в трёх разных местах, за которые отвечают три разные группы системных администраторов. Чтобы получить доступ к содержанию писем пользователей, необходимо участие всех этих трёх групп людей, которое невозможно без соблюдения ряда внутренних процедур. Все подобные действия автоматически логируются и находятся на контроле у службы безопасности компании».

 

Как государство защищает данные россиян?

Организации и отдельные люди, которые хранят, собирают, передают или обрабатывают персональные данные, по закону относятся к операторам персональных данных. Все они с июля 2016 года должны хранить информацию о российских пользователях на территории России. Интернет-компании, нарушающие этот закон, получат предупреждение от Роскомнадзора. Если нарушения не устранят в течение дня, компании внесут в специальный реестр, а доступ к ним по решению суда будет заблокирован. Недавно депутаты решили приблизить начало работы закона, заявив, что компании готовы к тому, чтобы он вступил в силу уже в январе 2015 года.  

В рамках пакета «антитеррористических поправок», предложенных руководителем комитета Госдумы Ириной Яровой, без указания персональных данных можно делать электронные платежи на сумму до 1 000 рублей в день. Это поможет узнать, кто совершил пожертвования через платёжные системы тому или иному человеку или компании. По словам парламентариев, практически все платежи за рубежом подконтрольны государству и могут отслеживаться. 

Ещё одной инициативой, которая должна помочь предотвратить теракты, стало предложение подключаться к публичному Wi-Fi по паспорту. Это означает, что власти, во-первых, создают новую волну ограничений к интернет-доступу, во-вторых, хотят следить за всеми, кто в него заходит. Премьер-министр Медведев отмечал: «Хочу обратить внимание, что ни у кого не было задачи, чтобы все носили с собой паспорта. Ведь идентификация возможна гораздо более современными способами — по SMS или кредитной карте. Многие страны после самых разных печальных событий решили, что надо идентифицировать пользователей. Это нормальная задача государства — понимать набор существующих угроз и пытаться им противодействовать. Ведь абсолютное большинство преступлений террористического характера осуществляется сейчас с использованием интернета и мобильной связи».

Ситуация усугубилась на фоне украинских событий, когда депутаты стали открыто заявлять о том, что интернет влечёт революционную угрозу. Например, член комитета Госдумы по бюджету и налогам Евгений Фёдоров говорил, что «интернет является прямым орудием «оранжевой» интервенции, за которой следует массовое убийство десятков тысяч людей. Первый этап — это работа в интернете, в том числе с интернет-компаниями, которые связаны с «пятой колонной», через санкции, через манипулирования расположенными за рубежом дата-центрами. Именно оттуда производится цензура и ревизия тех процессов, которые происходят в России». То есть вопрос защиты персональных данных для властей — это вопрос защиты суверенитета страны и национальных интересов.

 

Как часто интернет-компании делятся данными с властями?

Владимир Иванов, «Яндекс»: «Получить содержание почтового ящика пользователя можно только по решению суда. Эта процедура с юридической точки зрения считается выемкой документов. Она проводится только в рамках открытого уголовного дела с составлением протокола и в присутствии двух свидетелей. Вопреки сформировавшемуся общественному мнению, это происходит нечасто: например, у нас таких случаев бывает от силы несколько десятков в год». По данным Google, в 2013 году компания получила 90 запросов от властей и из них предоставила информацию лишь по 3 %. Во «ВКонтакте» The Village сообщили, что такой статистики не ведут, в Mail.ru — тоже, но заверили, что данные о пользователях предоставляются только по решению суда.

 

Чем принятые инициативы грозят пользователям?

Усиление регулирования неминуемо ведёт к ущемлению свободы пользователей и сервисов, которые всегда существовали в условиях глобального интернет-рынка. Из-за отказа зарубежных компаний хранить данные китайских пользователей на территории страны правительство КНР заблокировало работу Google. Хотя интернет-гиганты стремятся размещать дата-центры как можно ближе к клиентам, так как это повышает скорость работы сервисов, американские компании отказывались идти на уступки из-за угрозы нарушения приватности пользователей. 

Российские власти вслед за Северной Кореей и Китаем продолжают принимать поправки, направленные на регулирование работы западных интернет-компаний в России. Крупные платёжные системы Visa и MasterCard уже заявляли о возможности уйти с рынка. В случае ухода Facebook и Google пользователи смогут обращаться к ним только через VPN и TOR в обход законодательства.

Если зарубежные компании вроде Airbnb и Booking не перенесут серверы данных россиян в страну, пользователи не смогут покупать билеты и бронировать отели с вступления в силу закона «О персональных данных». Депутаты уверяют, что компании смогут работать по-прежнему. Но на всякий случай правительство поручило создать систему бронирования авиабилетов и отелей. 

 

Зачем ещё контроль, когда есть ФСБ?

Государство стремится отрегулировать работу интернета с разных сторон, например через работу одного подконтрольного оператора. Параллельно с 1 июля в силу вступили поправки, расширяющие полномочия ФСБ (так называемый СОРМ-2). У структуры есть достаточно рычагов, чтобы узнать про любого пользователя персональную информацию и его локацию.

По приказу Минкомсвязи с 1 июля 2014-го все данные о звонках россиян операторы связи обязаны хранить в течение 12 часов. Компания «Вымпелком» отмечала, что этот закон противоречит статьям Конституции, гарантирующей право на неприкосновенность частной жизни и тайну личной переписки и переговоров. Приказ распространяется и на интернет-операторов, которые должны по запросу предоставлять IP-адреса и данные к аккаунтам сервисов Google, «Яндекса» и Mail, а также сообщать о местонахождении пользователей Skype и других подобных программ. Если предыдущая версия СОРМ могла следить за пользователями выборочно, существующая обеспечивает возможность массовой слежки. 

Но все эти возможности доступны только ФСБ и открываются по предоставлению официального запроса. Другим же структурам необходимы отдельные точки контроля, которые может обеспечивать государственный провайдер, поисковик и пр.

 

 Иностранные компании уйдут из России?

Руководитель Роскомнадзора Алексадр Жаров встречался с представителями Twitter и договорился о совместной работе, однако компания так и не исполнила приказ ведомства по блокировке аккаунтов. Ведутся переговоры с другими компаниями, но обе стороны от комментариев отказываются.

Правительство РФ обсуждает различные инициативы, направленные на регулирование деятельности компаний. Так, до конца 2014 года предлагается ввести поправку, которая позволит облагать НДС телеком-услуги иностранных компаний, что также усложнит работу сервисов. В августе сообщалось, что с проблемами столкнулись аудиторы. Одна из привлечённых KPMG организаций лишилась лицензии на работу с гостайной. Сообщалось, что у ФСБ есть претензии к тому, как аудиторы хранят информацию, так как их серверы находятся не в России. 

Проблемы могут возникнуть у компании Apple, использующей американские технологии. По словам министра связи Никифорова, в ближайшие годы Россия должна полностью перейти на собственное ПО. Не исключено, что скоро мы увидим айфоны российского происхождения, которые станут единственно возможными.

 

Как пользователю сохранить свои данные от утечек и слежки?

Всё, что могут посоветовать интернет-компании, — это бережнее относиться к защите данных: создавать сложные пароли, чаще их менять, использовать двухфакторную авторизацию (привязка аккаунта к номеру телефона). Можно создавать почтовые аккаунты в зашифрованном (глубоком) интернете и на заграничных серверах в странах, где больше других заботятся о безопасности пользователей (например, Швеция или Германия). The Village уже рассказывал о правилах анонимности в Сети.

С другой стороны, вскоре пользователи могут вовсе лишиться анонимности и приватности. В этом случае мы все привыкнем к тому, что любая информация, даже отправленная кому-то персонально, в любой момент может оказаться публичной.

 

Фотография: Shutterstock