Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Дооцифровались. Почему сканы паспортов россиян оказались под угрозой утечки

Глава Smart Engines Арлазаров сравнил хранилища оцифрованных документов с «черным ящиком»

Оцифровка данных для компаний стала тяжелым бременем, и они стали отдавать документы сторонним сервисам. Только вот паспорта россиян из-за этого находятся под угрозой утечки, считает глава Smart Engines Владимир Арлазаров. Опрошенные «Газетой.Ru» ИБ-специалисты согласны с опасениями. О том, через какие дыры могут просочиться в Сеть секреты российских компаний, — в материале «Газеты.Ru».

Дыры в безопасности

Оцифровку данных проводят с целью создания электронного архива всей документации компании. Чаще всего ее рассматривают в качестве альтернативы другим способам управления документами — созданию архива внутри компании, внеофисному хранению, переводу бумаг в микрофильмы. Также создание электронных версий документов повышает скорость и качество работы любой компании.

Сервисы по оцифровке данных россиян (паспортов, рабочих документов о финансах и разработках) имеют потенциальные дыры в безопасности, заявил «Газете.Ru» генеральный директор Smart Engines Владимир Арлазаров.

По его словам, эти проблемы достаточны, чтобы отказаться от такой модели обработки персональных данных. Потенциальные риски проявились из-за того, что все больше компаний предпочитают работать через сервисы, порой в нарушение договоренностей с партнерами.

«Проблема даже не в том, как конкретные компании работают с персональными данными. Должно быть принципиальное решение компаний — в текущих условиях сервисная модель опасна», — уверен Арлазаров.

Он заметил, что такие сервисы достаточно закрыты и проверить их действия невозможно, однако они косвенно намекают на то, что используют чужие облачные сервисы для хранения оцифрованных данных, а также привлекают сторонних людей для экономии денег.

Обе дыры — простор для утечек, считает эксперт. «Количество мошенничеств с этими данным будет чудовищное. И может быть потенциальный иск. Он не возместит ущерб, лишь накажет компанию, данные из утечки уже не закрыть», — констатировал он.

В чем проблема?

По словам главы Smart Engines, сервисная модель устроена так, что частично данные для обработки передаются наружу другой компании, на аутсорс.

«Эти сервисы уже внутри себя распознают документы, а как у них все устроено, — это «черный ящик», ничего нельзя узнать. Некоторые «хвастаются», что привлекают сторонних лиц, а это же вообще не дело», — возмутился Арлазаров.

По его словам, первая проблема кроется в том, что после того, как документ отсканирован, его образ передается в облако.

«Но ведь неизвестно, где это облако. Может, в Америке, может, и в России. И непонятно, просматривается ли как-то это облако извне. Это ведь дыра в безопасности. Например, если облако было поднято на Amazon. Даже если сами компании ничего не делают плохого с данными, может быть атака на облачный сервис, и оттуда данные утекут», — пояснил специалист.

Вторая проблема — сервисы перестают использовать внутренних операторов, чтобы вносить правки в оцифрованные данные. По словам Арлазарова, этот процесс также находится на аутсорсе.

«Некоторые используют сервис от Amazon Mechanical Turk, другие «Яндекс.Толоку». Если по-простому, то основная задачка разделяется на подзадачи, и они передаются рандомным пользователям. В Индию, Турцию — там, где дешевле. Это способ экономить на внутренних операторах», — заметил он.

Арлазаров привел в пример нескольких отечественных сервисов по оцифровке: Beorg, Dbrain и Soica. «Они утверждают, что у них есть 50 тысяч операторов, которые верифицируют то, что распознается. Но это проверить невозможно», — пояснил спикер.

Он считает, что при таких масштабах должен быть проверен каждый оператор, и маловероятно, что это было сделано.

«Они говорят про 50 тысяч, а ведь даже если их всего одна тысяча, то есть в 50 раз меньше, то можно найти слабые звенья, из-за которых информация «уйдет». Подобные сервисы с многотысячным числом операторов — это огромное поле для утечек», — добавил глава Smart Engines.

По его словам, все из перечисленных сервисов говорят об использовании искусственного интеллекта в своих проектах. «Наверное, какие-то элементы там даже присутствуют. Однако ручным вводом они также занимаются — это указано на их сайтах», — заключил Арлазаров.

Риски слишком велики

Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков рассказал «Газете.Ru», что оцифрованные данные россиян действительно находятся под угрозой утечки — как из Сети, так нечистым на руку сотрудником.

«Сервис может стать целью хакеров и подвергнуться кибератакам с целью вымогательства. Тогда оцифрованные копии будут зашифрованы или уничтожены», — пояснил он.

Также утечка может произойти по вине одного из работников. «Должны быть установлены строгие политики безопасности, которые будут выполняться беспрекословно и зависеть не от опыта работы сотрудника, а от необходимости предоставления доступа или отсутствия этой необходимости в конкретный момент», — уверен Зубриков.

По его словам, еще один риск — отсутствие шифрования данных при хранении или пересылке. В таком случае их крайне легко перехватить.

Он подтвердил, что данные после оцифровки чаще всего хранятся в облаке, поэтому необходимо использовать проверенную компанию для таких систем хранения.

Опасность содержания данных без шифрования у сервисов по оцифровке отметил в разговоре с «Газетой.Ru» и эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.

«Учитывая, что такие сервисы для своей работы используют фотографии, которые передаются на сервер и там обрабатываются, важно, например, чтобы эти данные передавались в зашифрованном виде, а лицензионное соглашение неукоснительно соблюдалось», — добавил он.

Решение проблемы

По мнению Владимира Арлазарова, лучшее решение — вернуться к стандартному формату обработки данных, когда договор заключается с одной проверенной компанией. В итоге все происходит внутри конкретной организации, не покидая ее системы.

«Документ фотографируется или сканируется, во внутренней системе распознается, ошибки распознавания правятся сотрудниками организации. Итоговый результат передается в информационную систему предприятия, которое оформляло заказ на оцифровку», — описал он процесс работы.

Таким образом, вероятность утечки данных из этих документов минимизируется и зависит в первую очередь от информационной безопасности самой организации, уточнил спикер.

Еще один плюс, считает глава Smart Engines, — при таком процессе не происходит нарушения режима коммерческой тайны, когда данные могут передаваться только между двумя компаниями, без посредников в лице сервисов по оцифровке.

Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков посоветовал даже при отказе от использования сторонних сервисов следовать четырем правилам работы в процессе оцифровки.

По его словам, необходимо шифровать документы на всех этапах сканирования, сортировки и передачи данных, а также разбивать данные на фрагменты, передавая операторам сканирования только часть информации, а не весь документ целиком, чтобы снизить риск утечки вследствие человеческого фактора.

«Также необходимо настроить автоматическое уничтожение данных сразу после передачи оцифрованных документов заказчику и обсудить возможности резервного копирования и аварийного восстановления, чтобы не допустить потерю данных», — заключил специалист.

Реакция сервиса

Основатель российской компании Beorg («Биорг»), резидента «Сколково» Георгий Зуев рассказал «Газете.Ru», что недавно Госдума утвердила в первом чтении законопроект, в котором продуман вопрос безопасности услуг по оцифровке, в редакции ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).

«В то же время законопроект не содержит указаний, где должна происходить обработка и распознавание документов: в облаке или в контуре заказчика», — пояснил он.

Зуев уточнил, что главное требование к российскому оператору оцифровки, в том числе и к сервисам, — чтобы его деятельность отвечала нормам контролирующих органов — ФСТЭК и ФСБ.

«Компания сама решает, что ей нужно — коробочное решение в своем контуре или облачный сервис. По-другому быть и не может! Такой подход дает свободу маневра и вариативность решений, стимулирует конкуренцию», — уверен глава Beorg.

Он констатировал, что оцифровка как сервис с верификацией распознанных значений силами операторов через облако — единственный способ получить почти стопроцентное качество распознания. «Даже современные нейросети неважно справляются с фотографиями и сканами низкого качества, плохо разбирают рукописный текст», — заключил Зуев.

Поделиться:
Загрузка