Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Утечки конфиденциальной информации в поисковые системы подняли множество вопросов. «БО» нашел ответы на некоторые из них, а также попытался оценить последствия. Банкам, по всей видимости, такие утечки не угрожают, но они могут столкнуться с общим кризисом доверия к интернет-сервисам
Напомним, что 18 июля 2011 года в «Яндекс» попали SMS «Мегафона», отправленные с сайта оператора. В Google при этом были видны только номера абонентов, но не сами сообщения. Чуть позже обнаружилась подобная утечке для сайта Sms.prm.ru — стороннего сервиса для отправки сообщений абонентам МТС. Спустя неделю, 25 июля, новый «рассекреченный» запрос выдал подробные персональные данные покупателей интернет-магазинов (в том числе секс-шопов). На следующий день в «Яндексе» появилась информация о железнодорожных билетах, опять же с персональными данными пассажиров. И вот, вечером 26 июля стал известен поисковый запрос в Google, показывающий документы с сайта Gov.ru под грифами «для служебного пользования» и даже «секретно». Эти же документы по похожему запросу можно получить и в «Яндексе».
Насколько удалось выяснить «БО», утечка данных в поисковые системы происходит из-за того, что они хранятся на страницах, не защищенных логином и паролем, а также не заблокированы соответствующими правилами в служебном файле robots.txt. В случае с «Мегафоном» индексация и кэширование страниц «Яндексом» ускорялась за счет использования сайтом счетчика «Яндекс.Метрика», который сообщает поисковому роботу пути к страницам, обычно ему неизвестные. По некоторым данным, помогло «пауку» и наличие у некоторых пользователей надстройки к обозревателю «Яндекс.Бар» — она выполняет похожие функции в части передачи ссылок, но со стороны клиента.
«БО» провело опрос пострадавших клиентов интернет-магазинов о наличии у них установленного «Яндекс.Бара». Утвердительно ответили только двое из шести откликнувшихся. Таким образом, наличие данной надстройки совсем необязательный фактор, хотя не исключено, что он может помочь «Яндексу». Подобные инструменты, кстати, есть и у Google.
Пресс-служба Google на вопрос «БО» о причинах попадания закрытых правительственных документов в поисковик и возможности их удаления ответила следующим образом: «Поисковые системы индексируют только открытые страницы интернета, если владелец сайта хочет скрыть от поисковика какие-то страницы или сайт целиком, то это очень просто сделать, поставив специальный файл-замок на страницы, содержащие конфиденциальную информацию. Это можно сделать в любой момент, и когда робот поисковой системы в следующий раз будет обходить интернет, он уже не может зайти на эти страницы, проиндексировать их, чтобы потом выдавать в результатах поиска».
«Яндекс» также указывает похожие причины, и 25 июля опубликовал даже рекомендации, как избежать подобных инцидентов.
История с онлайн-магазинами доказывает версию «Яндекса» о низкой квалификации персонала, забывающего описать правила доступа поисковика к страницам сайта в файле robots.txt. Небольшие онлайн-магазины создают сайты с минимальными затратами. Как говорят специалисты, большинство из тех, что были проиндексированы поисковиками (в том числе и Google), созданы на базе «движка» WebAsyst Shop-Script.
Обзвон «БО» «провинившихся» магазинов показал, что в них, как правило, даже не знают имени веб-мастера. «Файл robots.txt у нас вроде бы есть, но он, кажется, неправильно сконфигурирован», — таким был наиболее полный ответ, который удалось получить «БО» у руководителя одного из онлайн-магазинов интимных товаров.
Казалось бы, все вопросы к поисковым системам сняты, однако, как ранее отмечал «МегаФон», «особую озабоченность вызывает тот факт, что в данной ситуации компания «Яндекс» не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными. При этом действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей».
В этой связи интересно выглядит политика конфиденциальности «Яндекса»:
«В рамках настоящей Политики под «персональной информацией пользователя» понимаются:
<…>
Данные, которые автоматически передаются Сервисам Яндекса в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе <...> адрес запрашиваемой страницы».
<…>
Яндекс принимает необходимые и достаточные организационные и технические меры для защиты персональной информации пользователя от <...> случайного доступа».
Cайт Prm.ru выпустил пресс-релиз, в котором, в частности, сообщалось: «Возможность передать в строке адреса номер адресата и текст будущей SMS, является дополнительным сервисом, используемым нашим виджетом отправки SMS, размещаемом на главной странице Яндекс, —Пользователь Яндекс может набрать телефон и текст сообщения внутри виджета, размещаемого на главной странице Яндекс, а затем для завершения отправки — перейти на Sms.prm.ru. В процессе взаимодействия виджета на главной странице Яндекс и сервиса Sms.prm.ru происходит информационный обмен, который не является открытой информацией и не предназначен для перехвата, сохранения, индексации и публикации поисковыми системами».
Вопрос, правомерны ли индексация и хранение в кэше страниц, которые иначе были бы недоступны, еще предстоит выяснить. Пока же поисковые системы руководствуются принципом «что не запрещено, то разрешено».
За технической стороной вопроса несколько теряется другой: кому это выгодно? Кто изначально решил задать поисковой системе «слишком умный» вопрос? Одна из версий — это нужно для лоббирования закона «О персональных данных».
По другой версии, произошел просто «каскад» нападок конкурентов и ответов на них, как среди телеком-операторов, так и среди самих поисковых систем.
По фактам утечек инициирован ряд расследований разными органами. Вот что сообщили «БО» в Роскомнадзоре: «20 июля Управлением Роскомнадзора по Москве и Московской области составлен Протокол об административном правонарушении в отношении ОАО «Мегафон» в связи с появлением в открытом доступе в сети Интернет текстов SMS-сообщений абонентов данного оператора. Протокол направлен в Арбитражный суд г. Москвы для рассмотрения дела об административном правонарушении и принятии мер в соответствии с Кодексом Российской Федерации об административных правонарушениях. Вместе с тем, Роскомнадзором в ОАО «Мегафон» и ООО «Яндекс» направлены официальные запросы».
По слухам, идет расследование и по выявлению инициаторов «поискового бума». После утечки секретных данных с сайта gov.ru дело приобретает гораздо более серьезный оборот, и скоро, возможно, мы узнаем много нового.
Банки изначально гораздо лучше защищены от подобного рода инцидентов. Как сообщили «БО» в R-Style Softlab, системы ДБО построены по совершенно другому принципу, и безопасногсть в них гораздо выше. То же самое сказали и руководители служб информационной безопасности банков.
Однако то, что это понятно профессионалам, может быть совершенно не очевидно для их клиентов. Вряд ли многие понимает даже разницу между протоколами http и https, а исследования показали, что большинство из них не задумываются о безопасности интернет-платежей. В то же время поднявшийся «шум» может спровоцировать кризис доверия не только среди покупателей интернет-магазинов (что очевидно), но и сказаться на всей индустрии онлайн-сервисов, в том числе интернет-банкинга. И если банки не хотят потерять и без того небольшую долю интернет-платежей, им, скорее всего, стоит объяснить клиентам разницу между системами безопасности онлайн-магазина и интернет-банка.
Банки смогли преодолеть пик кризиса 2022 года весьма достойно, без существенных вливаний в банковскую отрасль для докапитализации. Участники рынка не раз отмечали, что меры ЦБ были своевременными и точными, но время их действия подошло к концу. На какие меры поддержки может рассчитывать финансовая отрасль в 2024 году?