Чому смартфон знає про нас більше, ніж рідні і чим це загрожує

Сьогодні ми не мислимо життя без смартфона і Інтернету. А разом з тим - не можемо обійтися без додатків, які знають про нас все. Скільки кроків проходимо в день, як багато калорій спалюємо, що читаємо і дивимося, де буваємо, коли лягаємо спати. Це здається зручним, поки ми не знаємо, що по іншу сторону барикад є зловмисники. Вони зламують сервера і додатки, яким ми надаємо інформацію про себе, влаштовують кібератаки, створюють цифрові портрети користувачів і отримують доступ до фінансових рахунках. Звучить зловісно? Проте, про це потрібно знати кожному, хто користується мобільним телефоном.

Що таке персональні дані?

Персональними даними називають будь-яку особисту і корпоративну інформацію, відомості про фінансовий рахунку (особливо, мається на увазі доступ до онлайн-банкінгу), а також будь-які факти життя, які людина не бажає розголошувати. При цьому, за чинним законодавством, кожен має право знати, ким і з якою метою використовуються персональних даних. А в разі, якщо виявлено, що особиста інформація потрапила в чиїсь руки, людина за законом має право дізнатися, які конкретно дані стали доступні громадськості. І вирішити, яку інформацію він би хотів тримати в секреті.

Як ми передаємо персональні дані?

Як би дивно це не звучало, ми ділимося персональною інформацією постійно - і навіть не підозрюємо, з ким. Як саме це відбувається?

• ми встановлюємо програми, але, не читаючи положення та умови користування, погоджуємося на обробку персональних даних;
• забуваємо регулярно оновлювати програми та програмне забезпечення, або користуємося неліцензійним антивірусом;
• використовуємо недостатньо надійні паролі, не змінюємо їх - або користуємося старими, давно забутими нами паролями, які, на жаль, можуть бути розпізнані кіберзлочинцями;
• постійно тримаємо включеним Bluetooth і не відключаємо з мережі так званий Інтернет речей;
• завантажуємо файли з неперевіреними джерел;
• не перевіряти регулярно комерційні акаунти, в яких здійснюємо покупки, або переходить за посиланнями, що пропонують великі знижки за шопінг, не розуміючи, що це виверт шахраїв, і нас чекає не економія коштів, а, навпаки, втрата грошей.

Навіщо ми це робимо?

Додатки просять у нас дозволу отримати доступ - і часто інформація, яку ми надаємо, перевищує необхідну. Наприклад, фото-редактор захоче отримати доступ до медійних файлів, і це очевидно. Але навряд чи варто дозволяти доступ до контактів.

Або, припустимо, додаток Uber не зможе працювати, не отримавши доступ до локації клієнта. У той же час, володіючи такою інформацією, водії можуть «спостерігати» за переміщенням господаря смартфона і після закінчення поїздки. За це відповідає функція Trip Related Data. До речі, мова йде не тільки про автомобілі. на офіційному сайті затверджується: «У деяких випадках ми зобов'язані передавати дані про поїздки Uber в муніципальні та федеральні органи влади, а також до місцевих транспортні служби. Щоб дотримати ці вимоги, ми збираємо дані про місцезнаходження і часу поїздок на велосипедах і самокатах ».

Що відбувається далі?

Припустимо, наші персональні дані зберігаються в додатку онлайн-школи, що спеціалізується на вивченні англійської. Сервер зламали хакери, і стався витік інформації - електронна пошта та інші відомості, доступ до яких був для додатка відкритий, потрапляє в чужі руки. І як зловмисники цим скористається, нікому не відомо.

До речі, якщо ви хочете перевірити, чи не траплялося подібне з вашим електронним ящиком, скористайтеся одним з порталів типу Have I Been Pwned. Особисто я, ввівши свої емейл, виявила, що два з них в ході хакерської атаки на сервер, через який стався витік інформації.

Як захищати персональні дані?

Якщо питання лежить в компетенції Європейського Союзу, можна звернутися в міжнародний суд і оперувати до деяких законів:

• Європейська конвенція про захист фізичних осіб при автоматизованій обробці персональних даних (1981) - відповідно до закону, персональна інформація може бути доступна уряду і приватним компанія тільки за рішенням суду;
• Закон про конфіденційність електронної комунікації (1986) - при підписуванні договорів, банки і фінансові організації зобов'язані запитувати у клієнтів дозвіл на доступ до персональних даних;
• Закон Гремма-Ліча-Блайлі (1999) регулює процес управління даними фінансовими інституціями і суворо забороняє використовувати персональну інформацію для дискримінації за будь-якою ознакою;
• Закон про захист конфіденційності дітей в Інтернеті (2010) - онлайн-провайдери не мають права збирати і зберігати персональну інформацію, що стосується дітей, без згоди їх батьків або опікунів;
• Загальний регламент щодо захисту даних (2016) - той самий гучний GDPR: кожен має право дізнатися, яку саме персональну інформацію отримали додатки або компанії, після цього вирішивши, залишати ці дані у відкритому доступі або вимагати їх вилучення з бази.

Зауважимо, що в разі, якщо порушення прав людини, пов'язане з крадіжкою персональних даних, відносять до загальнонаціонального питання, потрібно звертатися в суд, спеціальну інстанцію або урядовий орган національного значення.

Незважаючи на прийняте законодавство, на сьогоднішній день захист персональних даних має стільки «лазівок» для порушення закону, що станом на травень 2020 статистика невтішна. Так, 79% опитаних в ході дослідження, Проведеного Pew Research Center, висловлюють стурбованість тим, що компанії збирають їх дані. При цьому, 64% стурбовані тим, що персональними даними цікавиться держава. 81% респондентів відчувають себе незахищеними і нездатними захищати свої дані. А 46%, по інформації Salesforce, говорять про те, що втратили контроль над особистою інформацією.

Чому так відбувається?

Великий Брат стежить за нами

У деяких випадках виникає кризова ситуація, в якій держава вважає правомірним втрутитися в особистий простір громадян. При цьому деякі люди зазвичай підтримують прийняті рішення і добровільно повідомляють свої дані, а інші скаржаться на те, що порушені їх права. Наприклад, навесні в Австралії уряд

стверджувало, що якщо більшість людей завантажив додаток COVIDSafe, Режим самоізоляції пройде швидше, і життя швидше увійде в звичне русло. Першими обурилися академічні інституції. Так, Сіднейський університет спільно з виданням The Conversation публічно заявили, Що додатки зі збору медичної інформації порушують права людини.

А йшлося ось про що.

В кінці квітня більш 5.87 мільйонів жителів Австралії завантажили додаток COVIDSafe, створене для того, щоб представникам сфери охорони здоров'я було простіше знайти, з ким контактував людина, що виявила у себе COVID.

Збір інформації відбувається за наступним принципом. додаток збирає анонімні id, використовуючи Bluetooth, і в зону уваги потрапляють ті, хто знаходяться в безпосередній близькості від хворого, причому час перебування поруч з хворою людиною - не менше п'ятнадцяти хвилин назад. Людям пропонують постійно тримати Bluetooth включеним - вимикати вирішувати лише тоді, коли ви приходите додому.

У той же час, включаючи Bluetooth, ви дозволяє зчитувати персональні дані також і іншим додаткам, так що використання COVIDSafe не так безпечно, як хотілося б.

Говорячи про вторгнення в особистий простір, варто зауважити, що воно обґрунтоване, в зв'язку з загрозою масового спалаху епідемії COVID. Однак світова громадськість продовжує заперечувати проти використання подібних додатків. Так, The Guardian вдалося довести, Що медична онлайн-система My Health Record не виконує міжнародні вимоги в сфері кібербезпеки, незважаючи на те, що в неї інвестували 1,5 млрд доларів. Хоча система була визнана ефективною, уряд не зміг гарантувати, що доступ до персональних медичних даних особистості є легальним.

База даних збирала клінічну інформацію про пацієнтів Австралії з 2012 року, але в 2020 вийшла з обороту, на вимогу служб з інформаційної безпеки.

Справа в тому, що в системі були знайдені деякі проблеми, пов'язані з програмним забезпеченням, які провокували витік інформації.

У той же час, медичні програми - не єдині системи, які варто звинувачувати в нехтуванні персональними даними. Тут потрібно сказати, що в цілому концепція смарт-сіті, що підключає кожного до глобальної мережі, дозволяє спростити багато процесів - але і може потенційно завдати шкоди жителям «оцифрованих» міст.

Наприклад, більше сотні урядових інстанцій отримали доступ до інформації, зібрані через смарт-карту Opal, якою користуються завсідники громадського транспорту в Південному Уельсі.

Ще в минулому році дослідники з Міжнародного інституту комп'ютерних технологій (ICSI) проаналізували роботу 24 000 додатків, що працюють на Android. І прийшли до висновку: 70% з них «крадуть» персональні дані. Це відбувається таким чином: постійний ID відправляється в компанії, які потім отримують можливість стежити за пересуванням і тим, які ще програми використовуються.

Потрапивши в руки до хакерів, дана інформація розповість про людину все - скільки калорій він споживає за день, як багато кілометрів проходить, де буває, скільки годин спить і так далі.

При цьому, дослідники повідомили співробітникам Google про проблеми, які були виявлені, але відповіді так і не отримали. 

Що стосується на перший погляд нешкідливих travel-додатків, дослідники з організації за рішеннями в області мобільної безпеки Zimperium протестували тридцять кращих мобільних додатків, що надають інформацію про польоти, готелях, прокаті авто - і з'ясували, що персональні дані користувачів абсолютно не захищені.

Зокрема, 100% iOS додатків, які ми завантажуємо з GooglePlay, не пройшли тест кібербезпеки

У випадку з додатками на Android справи йдуть трохи краще - зазначені тести провалили 45%. Але все ж 97% мають проблеми, що впливають на витік інформації.

Як зберегти конфіденційність?

Виникає резонне питання, чи може людина на локальному рівні захистити персональні дані, якщо більшість мобільних додатків передає дані третім особам?

Зрозуміло, так. Для початку, потрібно уважно читати правила користування, які пропонують нам сайти і пропозиції. Хоча більшість Інтернет-користувачів пропускають їх, саме там міститься інформація про те, які персональні дані потраплять в інші компанії - отже, таргетована реклама якого роду покажуть ваші гаджети. За підсумком прочитаного, саме ви вирішуєте, чи хочете передавати інформацію чи ні.

І ще кілька практичних рекомендацій:

• Навіть якщо смартфон дозволяє вам завантажувати програми не з власного ресурсу, це робити не слід.
• Зазвичай додатки просять дати доступ до ваших файлів, камері і GPS, а також до контактів та інформації профілю. Хоча неможливо користуватися смартфоном, не надавши доступ додатків, не потрібно давати дозвіл всіх опцій.
• Не забувайте про антивіруси - крім того, важливо з певною періодичністю оновлювати програмне забезпечення.
• Встановіть блокування екрану на вашому телефоні. Якщо ви втратите телефон, без захисту екрану злодій отримає доступ до всіх даних - персональним профілям, фотографій, акаунтів в соціальних мережах, додатків для шопінгу.

Для тих, хто хоче знати більше

• Кібервійни на продаж: як Hacking Team зробила Remote Control System зброєю і товаром
• Гід початківця параноїка: кілька порад з інформаційної безпеки
• Український хакер, який став секретною зброєю, а потім гіршим кошмаром ФБР
• Великий брат не устежить: як в світі навчилися обманювати системи розпізнавання осіб
• Як ведуть біткоіни в даркнета: шахраї використовували модифікований браузер Tor, вкравши десятки тисяч доларів