Лёха Андреев - Сядьте на пол

Дома я решил почитать, кто проводил эти исследования. В описании проекта Safekids.com наткнулся на фразу"… receives financial support from Google, Facebook and other social media companies " (получают финансовую поддержку от Google, Facebook и других медиа-компаний). Таким образом, мы имеем дело со специальными проектами по управлению общественным мнением, причём финансирует их та самая индустрия, которой выгодно побольше пользователей.

И вот результат — тезисы из исследования «Young children and their internet use» [104], проведенного европейским проектом EU Kids Online в 2013 году:

— благодаря тачскринам, то есть смартфонам и планшетам, в Интернет массово идут дети 3–4 лет (более 70 % В Голландии и Швеции);

— при этом нет никаких серьезных исследований их поведения в Интернете, и даже методы для таких исследований пока непонятны;

— нет понимания правил безопасности для таких маленьких детей; возможны ли вообще правила, которые будут выполняться в таком возрасте?

— многие родители сами публикуют фото и другие персональные данные детей с самого рождения, не задумываясь о том, как такие "цифровые следы" в будущем отразятся на жизни их ребенка;

— производители приложений скрывают сбор персональных данных.

«Вчера в детском саду Кита мне открыл дверь один из детей. У них там домофон на внешней двери, а пульт для открывания находится в группе, на втором этаже. Один пацан заметил, какую кнопку воспитательница нажимает, когда звонят снизу. А когда я позвонил, воспиталка как раз отошла куда-то. Пацан быстро подтащил стул, залез на него и нажал кнопочку. Вот тебе и безопасность в цифровом мире! Трёхлетний ребенок дистанционно открывает большую железную дверь всего детсада — кому угодно». (октябрь 2007)

В апреле 2011 года Иван Касперский, сын Евгения и Натальи Касперских, был похищен с требованием выкупа в 3 миллиона евро. К счастью, всё закончилось хорошо: через пять дней его освободили в результате операции ФСБ, МУРа и спецназа. Один из неприятных уроков этой истории состоял в том, что для подготовки похищения злоумышленники использовали адреса (домашний и рабочий), фотографии и другие данные Ивана из его открытого профиля в социальной сети «Вконтакте» [105].

Многие удивлялись, что такие ведущие эксперты по безопасности, как родители Ивана, не смогли объяснить сыну, какую угрозу представляет публикация персональных данных. Мне такая ситуация не кажется удивительной, поскольку я работаю в той же индустрии — и знаю, что бизнес информационной безопасности закрывает лишь немногие "дыры". И это не потому, что ИБ-эксперты плохо работают.

На одном этаже со мной сидит сотня хакеров, которые находят уязвимости в чём угодно, от детской радионяни до атомной электростанции. Но для того, чтобы дыры были залатаны, их недостаточно найти. Нужно, чтобы этой информацией заинтересовались пользователи и производители тех самых радионянь или атомных станций. Недавно видел исследование, где говорилось, что 70 % утечек персональных данных происходят в медицинской отрасли. Это может создать неприятности похуже, чем социальные сети. Но пока гром не грянул, никто особо не парится.

Между тем процесс появления дыр идёт лавинообразно. Пока вы читаете эти строки, на рынок выходят тысячи новых устройств. Большинство из них имеют новые, никем не исправленные уязвимости. Но все эти устройства тут же подключаются к Интернету по упрощённой процедуре «в пару кликов». Реклама не рассказывает о лишних настройках для защиты, поскольку защита — это всегда ограничения, а бизнесу надо побыстрее получить новых клиентов. Таким образом, все дыры становятся открыты для всех желающих. А среди желающих всё чаще фигурируют роботы, которые способны просканировать тысячи устройств за пару минут. Хотите посмотреть в миллион веб-камер, которые используются для присмотра за детьми? Да пожалуйста: они подключены к Интернету через открытые порты без пароля [106].

Однако я подозреваю, что вам уже надоели страшилки. Хочется узнать, кто виноват и что делать. Ну, по первому вопросу ответ уже прозвучал: есть огромный бизнес, который зарабатывает на цепных реакциях, лавинах и эпидемиях. Это не значит, что они продают именно дыры. Продавцы устройств и интернет-услуг активно разгоняют «свою лавину» — ту, которая вызывает взрывную популярность айфона или тотальное заражение населения «Фейсбуком». Но залогом этих взрывов является отказ от безопасности.

Для меня всегда было символично, что «урановое топливо» для первого интернет-взрыва создали физики-ядерщики, скучавшие без денег после окончания Холодной Войны. До этого Интернет был другим: он рос естественными деревьями почтовых рассылок, ньюс-групп и конференций ФИДО. Но в 1991 году в Европейской лаборатории физики элементарных частиц (CERN) Тимоти Бернерс-Ли придумал ту самую Паутину (World Wide Web), которая очень похожа на цепную ядерную реакцию: ссылки откуда угодно на что угодно. Дикая связность, которую Станислав Лем назвал «Мегабитовой бомбой». Первый веб-сайт CERN заработал 6 августа — день бомбардировки Хиросимы.