Кому-то может казаться, что регулирование безопасности – необходимое для общества дело. Однако в реальности из-за действий регуляторов всё происходит с точностью до наоборот – бесконечные проверки и отчёты по безопасности, которые вроде должны нас защищать, на самом деле делают ровно обратное. Компании тратят бешеные деньги и кучу времени, чтобы казаться защищёнными перед чиновниками. А на настоящую защиту данных уже не хватает ни сил, ни нервов, ни бюджета. Результат? Очередной взлом, очередная утечка.
Например, вспомним 23andMe. Крутые ребята делают тесты ДНК, чтобы ты узнал, что ты на 3% монгол, на 5% швед, а на 92% – обычный человек, которому просто нечем заняться вечером в пятницу. Казалось бы, должны охранять данные как Форт-Нокс. Только вот в позапрошлом году хакеры вытащили почти половину всех пользовательских данных, и теперь миллионы генетических профилей гуляют по интернету.
Думаете, это исключение? Нет, это скорее правило. Возьмём наш Сбер. Казалось бы, крупный банк, законы жёстче стали, необходимо постоянно отчитываться. А тут – бац, утечка данных 52 миллионов клиентов. И это только из программы лояльности «Спасибо». Видимо, клиенты сказали банку спасибо, но кое-кто решил, что «на здоровье» – это про то, что их данные разлетелись по даркнету.
Но и это не всё. Помните «Яндекс.Еду»? Там вообще был анекдотический случай: доставили пиццу кому-то в секретную квартиру сотрудника ФСБ. Утечка данных из сервиса раскрыла адреса известных людей и сотрудников силовых структур. Так государство ненароком само себе наступило на хвост. Получилось даже смешно, но не тем, чьи адреса стали общедоступны.
Почему так выходит? Потому что регуляторы любят ставить галочки. Они обожают бумажки и отчёты. Условный Вася из отдела безопасности тратит 70% времени на отчётность, и только 30% на борьбу с реальными угрозами. И вот хакеры ломают защиту, которую никто не успел укрепить, пока Вася пытался понять, как заполнить очередную форму в Роскомнадзор. Получается замкнутый круг: взломали → штраф → ещё больше отчётов → снова взломали.
А государство только подбрасывает дровишек. Помните «пакет Яровой»? Телеком-компании вынуждены хранить гигантские объёмы данных, тратя миллиарды рублей. А теперь угадайте, кто слизывает слюнки, глядя на эти огромные массивы данных? Правильно – хакеры. Потому что собрать всё это в одном месте – это как поставить огромный сейф посреди города и повесить записку: «Дорогие воры, тут ценности, мы их не охраняем, потому что деньги ушли на покупку сейфа».
Конечно же, в США картина примерно такая же. Утечки медицинских данных там уже стали народным спортом. За прошлый год слилось столько записей, что их можно подарить каждому американцу по несколько штук на человека. Взлом Equifax, гиганта по кредитным историям – это вообще «классика жанра». 147 миллионов записей уплыли в руки преступников, а компания получила штраф в $700 млн. Представляете, на сколько бы можно было улучшить безопасность, если бы эти деньги заранее пустили в дело, а не в бумаги и штрафы? Мораль тут простая: чем больше стационарный бандит насильно «защищает» наши данные, тем чаще эти данные теряются.
Итак, что же делать? Наверное, меньше заставлять компании тратить силы на бессмысленное заполнение бумажек. Вместо сотен обязательных проверок пусть будет один чёткий стандарт: «Защити данные или плати, но уж не отчётами, а деньгами». И компании сами найдут лучший способ. А то сейчас получается анекдот про слона в посудной лавке: государство топает ногами, посуда разбивается, а виноват, конечно, слон. Поэтому необходимо обходиться лишь простыми и понятными правилами. Регуляторы всё равно приходят и уходят, а наши данные почему-то остаются гулять по сети навсегда!
