О конфиденциальности корпоративных сетей. Часть 4
Статья с упоминанием разработок компании "Аладдин Р.Д."
В статье приводятся данные о сборе web-сайтами и web-сервисами различной информации о пользователях корпоративных АРМ, о применяемом в корпоративных сетях программном обеспечении (ПО), средствах защиты информации, аппаратных средствах, структуре сетей и пр. Указывается на отсутствие законодательного регулирования сбора телеметрической информации разработчиками и владельцами web-сайтов и web-сервисов.
Ключевые слова: информационная безопасность, таргетированные атаки, корпоративные сети, конфиденциальность, телеметрическая информация, персональные данные, сбор информации веб-ресурсами, механизмы слежки
Авторы статьи
Георгий Георгиевич Петросюк, директор департамента информационных технологий ФГБУ (petrosyukgg@nrczh.ru)
Иван Сергеевич Калачев, начальник отдела департамента информационных технологий ФГБУ "Национальный исследовательский центр "Институт имени Н. Е. Жуковского (kalachevis@nrczh.ru)
Андрей Юрьевич Юршев, кандидат технических наук, ведущий эксперт направления "Защита АСУ ТП" ГК "ИнфоВотч" (ay@infowatch.com)
В предыдущих частях мы осветили вопросы никем и ничем не ограниченного сбора производителями оборудования и разработчиками системного и прикладного ПО информации о внутренней структуре корпоративных вычислительных сетей, включая телеметрическую информацию, информацию для "улучшения программного обеспечения" и пользовательской информации о сотрудниках наших организаций. Рассказали мы и о возникающих при этом угрозах для корпоративных сетей организаций и их сотрудников.
Но это же еще не всё!
Современная реальность такова, что без подключения к сети Интернет не может существовать практически ни одна организация. Хочешь не хочешь, а подключиться придется. Это связано и с обязательным для всех организаций обменом информацией с государственными структурами (например, с налоговой инспекцией), с банками (без них вообще никак), поставщиками товаров и услуг, подрядными организациями, обслуживающими удаленно саму ИТ-инфраструктуру компании, поддержкой программного обеспечения, тех же систем информационной безопасности и множеством других, необходимых для деятельности компаний сервисов и ресурсов. А ведь деятельность многих компаний вообще напрямую связана с их присутствием в Интернете.
Вот и получается, что компаниям в наше время без Интернета уже никак не обойтись, а предоставлять доступ в Интернет приходится всё большему количеству сотрудников, а в большинстве случаев таковой предоставляется по умолчанию всем сотрудникам организации. В результате, к обязательным для бизнеса информационным интернет-ресурсам как правило добавляется великое множество сервисов и ресурсов, которыми сотрудники компаний (или большинство из них) пользуются уже в личных целях.
Работники организаций доверяют этому великому множеству информационных ресурсов и сервисов не только свою личную, но и корпоративную информацию. Так, согласно исследованию "Лаборатории Касперского", больше половины (51 %) посетителей сайтов и приложений для знакомств заходят на них с тех же ноутбуков и телефонов, которые используют для работы. Причём 38 % респондентов хранят на тех же устройствах деловую переписку, а 33 % – рабочие документы, которые могут быть крайне интересны потенциальным конкурентам или просто киберпреступникам.
Всё бы ничего, но пользователи таких сервисов, как правило, также настроены на откровенность. А потому, мягко говоря, не склонны скрывать свои место работы и должность, иногда и вовсе намеренно афишируя эти сведения, пытаясь произвести впечатление на окружающих: 20 % идентифицируют себя как менеджеров среднего звена, 19 % – как высококвалифицированных работников (учёных, инженеров), а 11 % – как топ-менеджеров или владельцев бизнеса.
Взамен же за такую откровенность практически все интернет-ресурсы начинают с большим удовольствием следить за доверчивыми пользователями! А вы как думали? За все эти "бесплатные" сервисы и ресурсы мы, как стало уже привычным, рассчитываемся приватными данными своих организаций и сотрудников. Но не сгущаем ли мы краски? Что-ж, посмотрим на статистику.
Ещё в 2016 году (к сожалению, более свежей аналитики нам найти не удалось) на всех из 1000 самых посещаемых ресурсов, на которые заходят пользователи, включенные в сеть Kaspersky Seсurity Network (а к этой сети подключаются в том числе и компании), используется хотя бы один сервис слежки. Большинство Web-ресурсов применяют больше одного подобного сервиса, а некоторые – десятки или даже сотни (до 700!).
Какие же это такие "следящие сервисы"? Это в первую очередь рекламные агентства, социальные сети, инструменты Web-аналитики и так называемые Web-маяки. На рис. 1–3 можно увидеть, кому эти сервисы принадлежат.
Как мы видим из рис. 1–3, подавляющее большинство таких "следящих сервисов" принадлежит иностранным компаниями, а доминирует среди них, как и в случае со своим браузером, компания Google. Этакий глобальный "следящий сервис".
Google собирает данные о корпоративных сетях и их пользователях не только с помощью своего браузера Chrome и его добровольных помощников, как мы уже рассказывали в предыдущей статье, но и следя за пользователями Web-ресурсов на самих Web-ресурсах (наверное, чтобы отследить тех пользователей, которые не используют Chrome).
Может быть, с 2016 года что-то изменилось в лучшую сторону и следить за посетителями Web-ресурсов стали меньше? Но ведь это очень легко проверить! Попытаемся пройтись по некоторым отечественным Web-ресурсам.
Для начала зайдем на ряд "обязательных" для деятельности многих компаний (мы про них писали выше) Web-ресурсов и посмотрим на текущую ситуацию на небольшом примере, а дабы никого не рекламировать, взглянем на них через бесплатное расширение для браузера uBlock Origin. Сразу же оговоримся, что не будем указывать конкретные наименования ресурсов. Посмотрим только на наличие этих самых "следящих сервисов".
Как можно увидеть из рис. 4, на многих "обязательных" для компаний сайтах "аналитика Google" (см. врезку) присутствует, причем на некоторых сайтах даже не в одном экземпляре, впрочем не только Google, но и другие аналитические сервисы, но тоже в большинстве своем зарубежные.
А что, если пройтись по другим, не обязательным, но необходимым для деятельности большинства компаний Web ресурсам? Возьмём для примера ряд сайтов банков, присутствующих на отечественном рынке. Как нетрудно догадаться, ситуация абсолютно та же (рис. 5). И в этом случае практически везде присутствуют "следящие сервисы" во главе с вездесущим Google и вновь, в некоторых случаях, в нескольких экземплярах.
Про сайты же, которыми пользуются работники организаций в личных целях, не стоит даже рассказывать. "Лаборатория Касперского" абсолютна права: следят все!
Здесь стоит обязательно отметить: по нашему мнению, владельцы упомянутых ресурсов просто не могут знать, какие "следящие сервисы" размещаются на их информационных ресурсах. Зато компании-разработчики данных интернет-ресурсов это точно знают, ведь они сами их туда разместили. Зачем выдумывать что- то свое, если есть отлично работающий, да ещё и бесплатный импортный сервис аналитики или статистики. Сколько времени и денег можно сэкономить, да и заказчик будет доволен. Хотя есть и положительные в этом смысле примеры: например, сайт https://www.tinkoff.ru/).
Но, как ни странно это прозвучит, следят за посетителями интернет-ресурсов и те компании, которые сами занимаются информационной безопасностью и разрабатывают средства для защиты от отслеживания (ниже мы остановимся на этом подробнее).
Зачем же все эти информационные сервисы и ресурсы с таким усердием следят за пользователями и посетителями? Как и в ситуации с бесплатными интернет-браузерами – для монетизации. И пользовательские данные – это новая "нефть" современной экономики. А используются они, со слов владельцев "следящих сервисов", для маркетинговых целей, то есть для осуществления таргетированной рекламы (то есть персональной или целевой), а также для статистических и аналитических целей и улучшения собственных продуктов.
И эти данные уже стали предметом очень активной торговли. Создаются даже целые рынки по сбору, анализу и перепродаже пользовательских данных с объёмом только в России в размере более 3 млрд руб. в год. Ввиду того что участники этого рынка не любят афишировать себя, количество компаний, участвующих в этой деятельности, даже в США не поддается точному учёту, но, по некоторым оценкам, их количество достигает 4000 (причем гиганты индустрии – Acxiom и Experian оперируют миллиардными оборотами).
Также не любят афишировать свою деятельность на этом рынке интернет-провайдеры и поставщики CDN-услуг для отечественных провайдеров, такие как Akamai4.
При этом, никто из владельцев информационных ресурсов и сервисов, в том числе "следящих", не выражает намерения поинтересоваться у посетителей этих интернет-ресурсов, согласны ли они на сбор данных или нет. Но ведь посетители этих ресурсов в том числе являются сотрудниками определенных организаций, и посещают эти ресурсы, зачастую используя служебные персональные компьютеры, установленные в корпоративных сетях! Какую же информацию о пользователях корпоративной сети может собрать владелец сайта или "следящего сервиса"? Оказывается, очень даже много.
Вот очень краткий перечень того, что потенциально может стать известно владельцу любого интернет-сайта о корпоративной сети и её пользователях:
- страна и приблизительное географическое нахождение сети организации, а при использовании в сети организации мобильных устройств – и точное;
- аппаратная и программная конфигурации компьютера, с которого осуществляется подключение к интернет-ресурсу, что позволяет сделать определенные выводы о конфигурации всей сети организации, собрав, таким образом, информацию для проведения кибератаки;
- IP-адрес интернет-провайдера и локальный IP-адрес компьютера пользователя в корпоративной сети (и, соответственно, диапазон внутренних IP-адресов корпоративной сети);
- параметры учетной записи пользователя, в том числе его регистрационные данные на Web-ресурсах (в том числе и размещённых в локальной сети), а в некоторых случаях и данные кредитных карт и пароли доступа;
- предпочтения пользователей;
- и даже то, открывалось ли полученное рекламное письмо (или не рекламное) или нет, и если открывалось, то сколько раз, а также многое другое.
Таким образом, получается, что перечень собираемой Web-сайтами информации практически ничем не отличается от того, что собирают сами браузеры, а в чем-то даже его превосходит. Причем всю эту информацию собирают уже не разработчики программного обеспечения с их хотя бы понятной и доступной политикой конфиденциальности. Эту информацию при желании может собрать владелец любого Web-сайта в сети Интернет или поставщик интернет-услуг!
В отличие от разработчиков браузеров, у каждого сайта может быть своя собственная политика конфиденциальности, а может таковой не быть вовсе. Многие сайты изначально разрабатываются для сбора и последующей продажи пользовательских данных или в иных противоправных целях. Про угрозы же, которые создают утечки такой информации корпоративным сетям и сотрудникам компаний, мы уже неоднократно рассказывали – повторяться не будем, тем более, что известных на весь мир примеров тому благодаря средствам массовой информации уже очень и очень много.
Может быть и поэтому, обращаясь в какое-либо рекламное интернет-агентство, можно увидеть перечень так называемых "таргетов" (рис. 6) – показателей интересующей заказчика целевой аудитории для показа рекламы и возможных методов проведения аналитики. Но ведь подобные "таргеты" могут быть и по сотрудникам конкретной компании или организации. И эта информация уж точно известна владельцам "следящих сервисов", о наличии которых, кстати, прекрасно осведомлены: их даже "подсчитали" (рис. 7). И их возможности действительно впечатляют. На что же тогда способны криминальные группировки, а тем более специальные службы? Подозреваем, что на большее, чем общеизвестные рекламные и аналитические партнёры последних типа Google, Facebook и др.
Но это, можно сказать, не вся история. Ведь огромное количество данных сами сотрудники оставляют в таких популярных в наше время социальных сетях или аналогичных Web-сервисах. И эти данные также собираются и используются9 (рис. 8), в том числе и владельцами "следящих сервисов", тем более что некоторые из них являются и владельцами социальных сетей, позволяющих абсолютно точно идентифицировать пользователя, как, например, Facebook, которая на основе данных своего сервиса Instagram и месенджера WhatsApp предлагает Facebook Custom Audiences – решение для таргетированных рекламных объявлений.
Но персональная информация в большинстве случаев – дело личное (хотя и ее можно использовать для доступа к корпоративной). Однако люди по своей воле или по служебной необходимости выкладывают со своих корпоративных персональных компьютеров на общедоступные интернет-ресурсы массу служебной информации, используя для служебной переписки внешние почтовые системы (например, Gmail от Google) или файловые хранилища (например, Google Drive), планируя свои рабочие календари и контакты (опять таки, в Google Календарь) и т. п. Но такие комплексные облачные решения предлагает не только "всеследящий" Google (рис. 9).
При этом мало кто обращает внимание на то, что показываемая пользователю таким сервисом реклама в некоторых случаях может быть прямо связана с последними темами электронных сообщений или событий, добавленных в календарь (например, см. пункт 4.IV по ссылке).
В некоторых организациях вся деятельность построена целиком и полностью на использовании таких "глобальных" интернет-сервисов, принадлежащих владельцам тех самых "следящих сервисов". И все документы организации с корпоративными данными и метаданными хранятся и обрабатываются в облачных хранилищах. Ну, а лидером тут, скорее всего, опять окажется пресловутая Google, которая в результате повсеместного использования его сервисов "очень много знает", да и не только она, но и кто-то из 2 млн ее партнеров, в число которых негласно входят государственные органы (какой страны – США?). При этом "партнёры" взаимно обмениваются собранными данными для заполнения, так сказать, пробелов в своих "знаниях".
Результаты у такого "облачного" подхода тоже очень показательные, мы, правда, о них уже говорили в предыдущей статье (рис. 10) или отчёт в оригинале.
А вы говорите "конкурентная разведка"! Зачем?
С таким огромным количеством собранных данных владельцы "следящих сервисов" и рекламных агентств часто знают о работниках различных организаций и их деятельности значительно больше, чем даже собственные службы безопасности этих компаний и их руководители. Ну и вовсе безграничные возможности по отслеживанию и идентификации работников компаний, их деятельности и деятельности самих компаний предоставляют современные ИТ-технологии, такие как Big Data или искусственный интеллект.
А что же тогда знают о компаниях и их сотрудниках специальные службы и организации, имеющие значительно больше ресурсов, чем рекламные агентства? А ведь все эти общеизвестные "следящие службы" и рекламные компании носят зачастую глобальный характер и охватывают своим "взглядом" фактически все государства мира. Получается, они «знают» всё про всех жителей всех стран мира? Но зарегистрированы-то они, в большинстве своем, в одной стране – США и добросовестно исполняют её законы.
Как же "следящим сервисам" удаётся собрать столь большой объём разнообразной информации? Какие механизмы и технологии отслеживания используются владельцами интернет-ресурсов и сервисов? Увы, их множество. Для примера мы попробуем "огласить не весь список" наиболее часто используемых для отслеживания посетителей Web-сайтов параметров и механизмов, но, ещё раз оговоримся, это лишь верхушка айсберга.
- Отслеживание IP-адреса, с которого пришёл запрос (как правило, это "белый IP-адрес" интернет-шлюза компании/организации).
- Отслеживание внутреннего IP-адреса компьютера в корпоративной сети, с которого пришёл запрос (это позволяет осуществить, например, интернет-браузер с поддержкой технологии WebRTC). Совместно с IP-адресом шлюза можно уникально идентифицировать компьютер в локальной сети организации.
- Использование особенности протокола HTTP, а именно – referer, который является одним из заголовков запроса клиента и содержит URL источника запроса. Если перейти с одной страницы на другую, referer будет содержать адрес первой страницы. Часто на HTTP-сервере устанавливается ПО, анализирующее referer и извлекающее из него различную информацию.
- Использование файлов cookie. Довольно старая и очень широко используемая технология. Подробнее про разнообразие этого "печенья", в том числе и упомянутого ниже см.
- Использование "неубиваемых cookie" или Evercookie. Это довольно новая технология, сохраняющая cookie в 13 местах на компьютере пользователя. Объединяет в себя HTTPcookies, Flash cookies или Local Shared Objects и контейнеры HTML.
- Использование отпечатка браузера или Browser Fingerprinting – это уникальный идентификатор конфигураций Web-браузера и операционной системы, который формируется на основе собранных данных различными технологиями отслеживания. Позволяет создавать "цифровой отпечаток" компьютера и дает возможность идентифицировать уникальный компьютер (и в корпоративной сети тоже) с точностью дo ста процентов.
- Уже упоминавшиеся Web-маяки – элементы программного кода, включенные в Web-страницы, электронные сообщения и рекламу, которые уведомляют владельца о просмотре этих страниц, электронных сообщений и рекламы или о переходе по соответствующим ссылкам, в том числе на нескольких устройствах и доменах.
- Публичные сервисы службы доменных имён (Google DNS, Яндекс DNS). Многие организации используют в качестве серверов для преобразования IP-адресов в доменные имена глобальные публичные сервисы (да-да, привычные всем "четыре восьмерки"), даже не подозревая, что все обращения к таким серверам журналируются и анализируются, дополняя общую картину собранной информации.
Использование в совокупности даже части этих методов позволяет практически со 100-процентной вероятностью определить в корпоративной сети персональный компьютер, его характеристики и данные работников, его использующих. А ведь есть еще zombie-cookie, специально созданные вредоносные или "следящие" расширения браузеров, уязвимости в самих браузерах, слежка в сетях CDN, чат-боты и много всего прочего.
А ещё имеется такая замечательная технология, как session replay скрипты, которые позволяют повторно воспроизвести всю сессию пользователя на экране владельца Web-ресурса, включая каждый его клик, прокрутку и нажатия клавиш, вплоть до реквизитов и паролей в заполняемых формах, даже не отправленных на сервер!
Исследователи из No Boundaries заявляют, что подобную слежку за пользователями осуществляют многие популярные сайты – как российские, так и зарубежные, в том числе yandex.ru, hp.com, comcast.net, istockphoto.com, intel.com, lenovo.com, autodesk.com, windows.com, t-mobile.com, kaspersky.com, mts.ru, redhat.com, logitech.com, adidas.com, hpe.com, symantec.com, nintendo.com, alfabank.ru, bitrix24.ru и др.
Ознакомиться с перечнем ресурсов, использующих такие скрипты, можно по ссылке, а если хотите посмотреть видео, то просим сюда.
Итак, мы вкратце рассказали о том, кто и зачем собирает данные о сотрудниках организаций и самих организациях. Но сколько же всего собранных данных? Для примера, приведём мнение, озвученное генеральным директором SocialDataHub Артуром Хачуяном: в России проживает 146 млн человек, и SocialDataHub владеет информацией о 137 млн из них. Аккаунты в социальных сетях имеют 98 млн, информацию о 42 млн можно найти в публичных базах данных. Но есть же ещё не публичные и "утекшие" базы различных организаций: так, сервисы заказа такси или покупки авиабилетов могут передавать анонимную информацию о пользователе третьим лицам.
Получается, что только одна частная российская компания владеет информацией о всех работниках всех организаций России? Знает, кто где работает, на какой должности, сколько зарабатывает, где живёт, куда и на чём ездит, с кем общается по служебным и личным вопросам и т. п.
А сколько же тогда о нас и наших организациях знают Google, Microsoft, Facebook, Apple, Yandex и др. с их глобальными механизмами слежки? Согласно отчёту Facebook, компания собирала по каждому пользователю сведения по более чем 90 параметрам, а в 2014 году представители Facebook сообщали, что их серверы принимают примерно 600 терабайт данных каждый день. На дворе уже 2018 год, можно предположить, что эта цифра ныне перевалила за 1000 терабайт в день.
Кажется, что остаётся только согласиться с Эдвардом Сноуденом: "Компании, которые зарабатывают деньги, собирая и продавая подробные записи о частной жизни (и о сотрудниках организаций. – Примеч. авт.), когда-то были ясно описаны как шпионские компании".
И ладно бы они хранили все данные, собранные "тяжелым трудом", в обстановке конфиденциальности. Но нет же, эти данные очень активно продаются, передаются аффилированным лицам и партнёрам (которых, напомним, только у Google больше 2 млн), а также государственным структурам страны, где они зарегистрированы, производителям оборудования и другим третьим лицам. Иногда же из-за ошибок в конфигурации программного обеспечения информационного ресурса или сервиса либо в сторонних приложениях, имеющих доступ к данным, либо в результате компьютерной атаки или действий инсайдеров все собранные данные десятков и сотен миллионов пользователей просто утекают в неизвестном направлении. Может быть к преступным группировкам, к спецслужбам или к конкурентам? Или могут просто выкладываться на всеобщее обозрение.
А как же на все это "следящее безобразие" смотрят законодатели?
Можно констатировать, что в настоящее время в различных странах, пусть и крайне медленно, начинают приступать к ограничению сбора данных с компьютеров пользователей, применяя законодательство о защите пользовательских и персональных данных.
Один из самых строгих в мире подходов к защите персональных данных – европейский. Помимо известной конвенции о персональных данных, недавно в ЕС вступил в действие Общий регламент по защите данных (General Data Protection Regulation – GDPR), штраф за нарушения которого при обработке персональных данных граждан ЕС составляет до 20 млн евро или до 4 % годового оборота компании – в зависимости от того, что выше.
В нём отмечено, что "Физические лица могут быть связаны с онлайновыми идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими, как адреса интернет-протоколов, идентификаторы файлов cookie или другие идентификаторы, что может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации". Таким образом то, что собирают все эти "следящие сервисы", в Европе стало персональными данными! Этой же позиции придерживается и наш Роскомнадзор. Но почему тогда просто не внести такое определение персональных данных как дополнение и в наш 152-ФЗ "О персональных данных"?
В соответствии с GDPR, пользователь должен согласиться с использованием cookie файлов или отказаться от них. Владелец сайта обязан сообщить, как используются cookie, как они обрабатываются и кому эта информация может быть передана в соответствии с приведенной на сайте политикой конфиденциальности. Много ли отечественных Web-сайтов, которые об этом спрашивают?
Как итог действия GDPR, за первые 3 месяца после его введения, объём cookie на европейских новостных сайтах сократился примерно на четверть. Серьёзно снизился процент cookie, используемых для оптимизации работы сайтов. Интересно, что многие американские сайты (только новостных порталов – более тысячи) просто закрыли гражданам ЕС доступ к своему ресурсу. Однако меньше всего изменения коснулись cookie-файлов в социальных сетях.
В сентябре опять отметилась компания Google – на нее была подана жалоба о нарушении GDPR, поскольку собранные с помощью ее ПО данные о пользователях отправлялись рекламным платформам с идентифицирующей информацией. Теперь ей грозит соответствующий штраф. Но Google, видимо, не привыкать нарушать законы, если даже закон США, призванный защищать детей от сбора информации о них, – Children Privacy Act, также активно нарушается как этой компанией, так и Facebook.
У Европейской комиссии есть претензии и к Facebook, и к Twitter – там считают, что они нарушают GDPR, так как не сообщают пользователям полную информацию о том, как используются их персональные данные. Причём отмечается, что социальные сети не информируют пользователей, что используют их персональные данные в коммерческих целях, а не только для улучшения своих сервисов, как они это любят представлять. От Европы пытаются не отстать как США, которые планируют ввести свой аналог GDPR с 2020 года – CCPA, так и Великобритания.
Впрочем, российские компании, работающие на международном рынке, также выполняют требования законодательства о персональных данных, причём не только европейского, но и, в первую очередь, российского. Да-да, наш 152-ФЗ "О персональных данных" вполне позволяет и даже обязывает проводить эту работу – здесь самое важное определиться с тем, что относится к персональным данных (для примера отметим политику конфиденциальности компании Positive Technologies). Но почему остальные отечественные компании не берут пример с лидеров?
Конечно, действующее сегодня законодательство не решает всех вопросов, связанных с защитой пользовательских и корпоративных данных. Ведь помимо сбора всевозможных данных о работниках организаций и их идентификации различными механизмами, продолжает представлять значительную угрозу для организаций сбор данных об их корпоративных сетях, их инфраструктуре и ПО, используемых системах ИБ и другой информации, позволяющий проводить в их адрес целенаправленные компьютерные атаки и другие противоправные действия.
Вместо итогов
В этом небольшом цикле статей мы пытались кратко рассказать читателям о масштабах сбора телеметрической, диагностической и пользовательской (включая и персональные данные) и иной информации производителями оборудования, системного и прикладного программного обеспечения, владельцами информационных сервисов и ресурсов в сети Интернет. Хотим надеяться, что это нам удалось, хотя мы сузили тему конфиденциальности корпоративных сетей и совсем не затрагивали темы BYOD, служебных мобильных устройств, даже не касались служебных автомобилей со встроенным Wi-Fi и т. д.
Да, объемы сбора такой информации просто впечатляют. Мы лишь немного приоткрыли занавес и рассказали лишь о наиболее массово используемых и известных технологиях слежки, а также о наиболее крупных компаниях, их использующих. Для хотя бы примерного понимания сложившейся картины предлагаем представить, как все собранные данные со средств вычислительной техники сетей организаций, с личных компьютеров, смартфонов, устройств умного дома и вообще любых устройств, подключенных к сети Интернет, которые знают практически всё о своих владельцах и имеют аппаратные средства сбора аудио-, видео- и иной информации, попадают в некоторый анализатор больших данных, обобщаются, дополняют друг друга и коррелируются с привязкой к конкретной организации или лицу и складируются в "досье", распространяясь по цепочке международных рекламных компаний и других организаций.
Но что в этой ситуации, на наш взгляд, самое интересное – организации (их персонал, и все граждане в целом) фактически сами и оплачивают всё это "следящее безобразие". Ведь мы приобретаем программное обеспечение за деньги своей организации, которое посредством подключения к сети Интернет (которое также оплачивается за счет организации), начинает передавать на серверы производителя телеметрическую, диагностическую и персональную информацию, которая используется, как минимум, для направления в наши же корпоративные сети целенаправленной рекламы (и также за наши деньги). Но ведь, как правило, при работе в сети Интернет, организации никак не ограничивают весь этот "рекламно-следящий трафик" и, как следствие, оплачивают его из своего кармана! Так, только рекламный трафик, потребляемый нашими организациями, превышает 50 % от общего его объёма.
При этом следует помнить, что "слежка" начинается не в готовой корпоративной сети, а уже на этапе её создания. Ведь производители и разработчики корпоративного оборудования и программного обеспечения (особенно "забугорного") точно знают, какой конечной организации-потребителю их продукт будет поставлен.
На наш взгляд, необходимо менять сложившуюся ситуацию, в которой конечный потребитель за свою корпоративную ИТ-инфраструктуру вынужденно платит и своими деньгами, и личной и корпоративной информацией, и при этом "за свои же деньги" создаёт угрозу безопасности как корпоративной инфраструктуре своей организации, так и ее работникам. И если для малого бизнеса это не так проблемно, то для государственных организаций, предприятий науки, медицины, субъектов критической информационной инфраструктуры, оборонных или иных стратегических производств, такая "тотальная слежка" может создавать и создает реальные угрозы их безопасности (рис. 11). А о том, возможно ли прекратить "следящее безобразие" силами самой организации, мы расскажем в последующих публикациях.
Все части статьи "О конфиденциальности корпоративных сетей"