Оцифровка данных для компаний стала тяжелым бременем, и они стали отдавать документы сторонним сервисам. Только вот паспорта россиян из-за этого находятся под угрозой утечки, считает глава Smart Engines Владимир Арлазаров. Опрошенные «Газетой.Ru» ИБ-специалисты согласны с опасениями. О том, через какие дыры могут просочиться в Сеть секреты российских компаний, — в материале «Газеты.Ru».
Дыры в безопасности
Оцифровку данных проводят с целью создания электронного архива всей документации компании. Чаще всего ее рассматривают в качестве альтернативы другим способам управления документами — созданию архива внутри компании, внеофисному хранению, переводу бумаг в микрофильмы. Также создание электронных версий документов повышает скорость и качество работы любой компании.
Сервисы по оцифровке данных россиян (паспортов, рабочих документов о финансах и разработках) имеют потенциальные дыры в безопасности, заявил «Газете.Ru» генеральный директор Smart Engines Владимир Арлазаров.
По его словам, эти проблемы достаточны, чтобы отказаться от такой модели обработки персональных данных. Потенциальные риски проявились из-за того, что все больше компаний предпочитают работать через сервисы, порой в нарушение договоренностей с партнерами.
«Проблема даже не в том, как конкретные компании работают с персональными данными. Должно быть принципиальное решение компаний — в текущих условиях сервисная модель опасна», — уверен Арлазаров.
Он заметил, что такие сервисы достаточно закрыты и проверить их действия невозможно, однако они косвенно намекают на то, что используют чужие облачные сервисы для хранения оцифрованных данных, а также привлекают сторонних людей для экономии денег.
Обе дыры — простор для утечек, считает эксперт. «Количество мошенничеств с этими данным будет чудовищное. И может быть потенциальный иск. Он не возместит ущерб, лишь накажет компанию, данные из утечки уже не закрыть», — констатировал он.
В чем проблема?
По словам главы Smart Engines, сервисная модель устроена так, что частично данные для обработки передаются наружу другой компании, на аутсорс.
«Эти сервисы уже внутри себя распознают документы, а как у них все устроено, — это «черный ящик», ничего нельзя узнать. Некоторые «хвастаются», что привлекают сторонних лиц, а это же вообще не дело», — возмутился Арлазаров.
По его словам, первая проблема кроется в том, что после того, как документ отсканирован, его образ передается в облако.
«Но ведь неизвестно, где это облако. Может, в Америке, может, и в России. И непонятно, просматривается ли как-то это облако извне. Это ведь дыра в безопасности. Например, если облако было поднято на Amazon. Даже если сами компании ничего не делают плохого с данными, может быть атака на облачный сервис, и оттуда данные утекут», — пояснил специалист.
Вторая проблема — сервисы перестают использовать внутренних операторов, чтобы вносить правки в оцифрованные данные. По словам Арлазарова, этот процесс также находится на аутсорсе.
«Некоторые используют сервис от Amazon Mechanical Turk, другие «Яндекс.Толоку». Если по-простому, то основная задачка разделяется на подзадачи, и они передаются рандомным пользователям. В Индию, Турцию — там, где дешевле. Это способ экономить на внутренних операторах», — заметил он.
Арлазаров привел в пример нескольких отечественных сервисов по оцифровке: Beorg, Dbrain и Soica. «Они утверждают, что у них есть 50 тысяч операторов, которые верифицируют то, что распознается. Но это проверить невозможно», — пояснил спикер.
Он считает, что при таких масштабах должен быть проверен каждый оператор, и маловероятно, что это было сделано.
«Они говорят про 50 тысяч, а ведь даже если их всего одна тысяча, то есть в 50 раз меньше, то можно найти слабые звенья, из-за которых информация «уйдет». Подобные сервисы с многотысячным числом операторов — это огромное поле для утечек», — добавил глава Smart Engines.
По его словам, все из перечисленных сервисов говорят об использовании искусственного интеллекта в своих проектах. «Наверное, какие-то элементы там даже присутствуют. Однако ручным вводом они также занимаются — это указано на их сайтах», — заключил Арлазаров.
Риски слишком велики
Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков рассказал «Газете.Ru», что оцифрованные данные россиян действительно находятся под угрозой утечки — как из Сети, так нечистым на руку сотрудником.
«Сервис может стать целью хакеров и подвергнуться кибератакам с целью вымогательства. Тогда оцифрованные копии будут зашифрованы или уничтожены», — пояснил он.
Также утечка может произойти по вине одного из работников. «Должны быть установлены строгие политики безопасности, которые будут выполняться беспрекословно и зависеть не от опыта работы сотрудника, а от необходимости предоставления доступа или отсутствия этой необходимости в конкретный момент», — уверен Зубриков.
По его словам, еще один риск — отсутствие шифрования данных при хранении или пересылке. В таком случае их крайне легко перехватить.
Он подтвердил, что данные после оцифровки чаще всего хранятся в облаке, поэтому необходимо использовать проверенную компанию для таких систем хранения.
Опасность содержания данных без шифрования у сервисов по оцифровке отметил в разговоре с «Газетой.Ru» и эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
«Учитывая, что такие сервисы для своей работы используют фотографии, которые передаются на сервер и там обрабатываются, важно, например, чтобы эти данные передавались в зашифрованном виде, а лицензионное соглашение неукоснительно соблюдалось», — добавил он.
Решение проблемы
По мнению Владимира Арлазарова, лучшее решение — вернуться к стандартному формату обработки данных, когда договор заключается с одной проверенной компанией. В итоге все происходит внутри конкретной организации, не покидая ее системы.
«Документ фотографируется или сканируется, во внутренней системе распознается, ошибки распознавания правятся сотрудниками организации. Итоговый результат передается в информационную систему предприятия, которое оформляло заказ на оцифровку», — описал он процесс работы.
Таким образом, вероятность утечки данных из этих документов минимизируется и зависит в первую очередь от информационной безопасности самой организации, уточнил спикер.
Еще один плюс, считает глава Smart Engines, — при таком процессе не происходит нарушения режима коммерческой тайны, когда данные могут передаваться только между двумя компаниями, без посредников в лице сервисов по оцифровке.
Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков посоветовал даже при отказе от использования сторонних сервисов следовать четырем правилам работы в процессе оцифровки.
По его словам, необходимо шифровать документы на всех этапах сканирования, сортировки и передачи данных, а также разбивать данные на фрагменты, передавая операторам сканирования только часть информации, а не весь документ целиком, чтобы снизить риск утечки вследствие человеческого фактора.
«Также необходимо настроить автоматическое уничтожение данных сразу после передачи оцифрованных документов заказчику и обсудить возможности резервного копирования и аварийного восстановления, чтобы не допустить потерю данных», — заключил специалист.
- Главная
- →
- Выпуски
- →
- Компьютеры
- →
- IT-защита
- →
- Дооцифровались
IT-защита
Группы по теме:
Популярные группы
- Рукоделие
- Мир искусства, творчества и красоты
- Учимся работать в компьютерных программах
- Учимся дома делать все сами
- Методы привлечения денег и удачи и реализации желаний
- Здоровье без врачей и лекарств
- 1000 идей со всего мира
- Полезные сервисы и программы для начинающих пользователей
- Хобби
- Подарки, сувениры, антиквариат