Несмотря на постоянные новости о кибербезопасности, новые законы и рекордные инвестиции компаний в защиту (фаерволы, шифрование, обучение), контроль над личными данными ускользает. Центр ресурсов по борьбе с кражей личных данных сообщил о 1,3 миллиарда уведомлений об утечках данных, отправленных пострадавшим в 2024 году. Это втрое больше, чем в 2023 году. Темп компрометации персональной информации не снижается, а ускоряется.
Защита данных — не только техническая задача. Технические средства важны, но недостаточны сами по себе. Эффективная приватность требует трех взаимосвязанных опор: доступных технических средств, осведомленности общества о важности приватности и государственной политики, ставящей приватность во главу угла. Слабость любой из этих опор ставит под угрозу всю систему.
Технические средства — первая линия обороны, контролирующая доступ и шифрующая передаваемые данные. Однако они бесполезны при неправильном использовании или настройке. Шифрование, использующее сложную математику для защиты данных, стало стандартом для передачи (HTTPS). Почти весь веб-трафик сейчас зашифрован. Ключевая проблема — защита данных в покое (хранимых). Хотя современные смартфоны шифруют файлы по умолчанию, лишь 10% организаций сообщают, что хотя бы 80% их информации в облаке зашифрованы (опрос 2024). Незашифрованные хранимые данные подобны незапертому шкафу с файлами.
Второй ключевой контроль — мультифакторная аутентификация (MFA), требующая нескольких способов подтверждения (пароль + код со смартфона + отпечаток). Она усложняет взлом на 99,22%. Хотя 83% компаний требуют MFA от сотрудников, это оставляет миллионы аккаунтов защищенными только паролями. Ликвидация пробела в 17% внедрения MFA критически важна из-за изощренных атак и краж учетных данных. MFA проста, эффективна, но недоиспользуется; ее массовое внедрение резко сократило бы успешные атаки.
Человеческий фактор остаётся ахиллесовой пятой: 68% утечек данных в 2024 (отчёт Verizon) произошли из-за ошибок людей. Организации борются с этим через обучение сотрудников, минимизацию данных (сбор только необходимого, своевременное удаление), строгий контроль доступа, политики, аудиты, планы реагирования, защиту от внутренних угроз и физические меры безопасности (закрытые серверные).
Государственная политика обеспечивает подотчетность организаций и контроль людей над своими данными. Общий регламент по защите данных (GDPR) Европейского Союза — один из самых строгих в мире. Он обязывает к надежной защите и дает людям право доступа, исправления и удаления их данных. В 2023 году М⃰ была оштрафована на €1,2 млрд (US$1,4 млрд) за нарушения GDPR в работе Ф⃰.
В США ситуация иная: нет всеобъемлющего федерального закона о приватности, несмотря на многолетние обсуждения и законопроекты в Конгрессе. Действует лоскутное одеяло из законов штатов и отраслевых норм, таких как HIPAA для медицинских данных и GLBA для финансовых институтов. Это создает неравную защиту для американцев и сложности соответствия для бизнеса.
Инструменты для защиты данных — шифрование хранимых данных, MFA, обучение, четкие правовые стандарты — существуют и работают. Проблема в их недостаточном применении людьми и институтами. Требуется коллективная воля и, в случае США, единый федеральный мандат для их повсеместного внедрения. Технологии вроде Clearview AI или новые подходы к анонимности подчеркивают остроту проблемы и необходимость комплексных решений.
Изображение носит иллюстративный характер
Защита данных — не только техническая задача. Технические средства важны, но недостаточны сами по себе. Эффективная приватность требует трех взаимосвязанных опор: доступных технических средств, осведомленности общества о важности приватности и государственной политики, ставящей приватность во главу угла. Слабость любой из этих опор ставит под угрозу всю систему.
Технические средства — первая линия обороны, контролирующая доступ и шифрующая передаваемые данные. Однако они бесполезны при неправильном использовании или настройке. Шифрование, использующее сложную математику для защиты данных, стало стандартом для передачи (HTTPS). Почти весь веб-трафик сейчас зашифрован. Ключевая проблема — защита данных в покое (хранимых). Хотя современные смартфоны шифруют файлы по умолчанию, лишь 10% организаций сообщают, что хотя бы 80% их информации в облаке зашифрованы (опрос 2024). Незашифрованные хранимые данные подобны незапертому шкафу с файлами.
Второй ключевой контроль — мультифакторная аутентификация (MFA), требующая нескольких способов подтверждения (пароль + код со смартфона + отпечаток). Она усложняет взлом на 99,22%. Хотя 83% компаний требуют MFA от сотрудников, это оставляет миллионы аккаунтов защищенными только паролями. Ликвидация пробела в 17% внедрения MFA критически важна из-за изощренных атак и краж учетных данных. MFA проста, эффективна, но недоиспользуется; ее массовое внедрение резко сократило бы успешные атаки.
Человеческий фактор остаётся ахиллесовой пятой: 68% утечек данных в 2024 (отчёт Verizon) произошли из-за ошибок людей. Организации борются с этим через обучение сотрудников, минимизацию данных (сбор только необходимого, своевременное удаление), строгий контроль доступа, политики, аудиты, планы реагирования, защиту от внутренних угроз и физические меры безопасности (закрытые серверные).
Государственная политика обеспечивает подотчетность организаций и контроль людей над своими данными. Общий регламент по защите данных (GDPR) Европейского Союза — один из самых строгих в мире. Он обязывает к надежной защите и дает людям право доступа, исправления и удаления их данных. В 2023 году М⃰ была оштрафована на €1,2 млрд (US$1,4 млрд) за нарушения GDPR в работе Ф⃰.
В США ситуация иная: нет всеобъемлющего федерального закона о приватности, несмотря на многолетние обсуждения и законопроекты в Конгрессе. Действует лоскутное одеяло из законов штатов и отраслевых норм, таких как HIPAA для медицинских данных и GLBA для финансовых институтов. Это создает неравную защиту для американцев и сложности соответствия для бизнеса.
Инструменты для защиты данных — шифрование хранимых данных, MFA, обучение, четкие правовые стандарты — существуют и работают. Проблема в их недостаточном применении людьми и институтами. Требуется коллективная воля и, в случае США, единый федеральный мандат для их повсеместного внедрения. Технологии вроде Clearview AI или новые подходы к анонимности подчеркивают остроту проблемы и необходимость комплексных решений.
