Статья по истории информационной безопасности ориентирована на базовый уровень компьютерных знаний, поэтому в тексте не приводятся детали методов. Рассмотрим историю защиты данных в глобальной сети за ~25 лет её развития.
Вначале были незащищённые системы общения
"Слово", написанное на просторах Интернета прошлого века, публиковалось посетителями на страницах гостевых книг и не было защищено даже простым паролем.
Чтобы войти в примитивный чат достаточно было написать свой ник, который невозможно было проверить на соответствие настоящему имени пользователя. Поэтому общение было анонимным или псевдонимизированным.
Парольная защита и псевдонимы
С развитием технологий на сайтах стали появляться личные кабинеты (профили), которые запирались простым паролем. Для открытого общения в форумах предлагалось указать псевдоним (ник).
Многие пользователи тех лет, подобно мошенникам, использовали вымышленное имя и соответственно псевдоним. Исходящие от незнакомых пользователей персональные данные обычно не проверялись организаторами сайтов.
Были в Интернете и достоверные данные, которые размещали компании, получившие их от своих клиентов в личном контакте в офисах. Такие компании создавали личные кабинеты своим клиентам для перевода некоторых видов услуг в дистанционный вид. В целях защиты некоторые компании переводили на серверы в Интернет только часть данных своих клиентов, храня полные наборы только на внутренних серверах.
Иногда в Интернет передавалась данные о клиентах с псевдонимами в виде буквенного позывного или клиентского номера. Эта мера не полностью защищала данные от мошенников, которые могли получить недостающие сведения из внутренних сетей компании с помощью хакерской атаки или от самого клиента.
Двухфакторная аутентификация
В начале 21-го века достаточно надёжным способом проверки пользователя стала схема "что знает и чем владеет пользователь". По этой схеме проверялось знание пользователем своего логина и пароля, а владение - например, адресом электронной почты, на который отправлялся проверочный PIN-код или секретная ссылка входа в личный кабинет.
Позже в системах защиты стали использоваться мобильные устройства пользователей для отправки PIN-кода в СМС или уведомлениях мобильных приложений (push-уведомлений).
Иногда в качестве второго фактора проверки выступало наличие у пользователя зарегистрированного в системе устройства - доверенное устройство. В этом случае проверялось знание пользователем логина и пароля, а также устройство с которого осуществляется заход на Интернет-ресурс через браузер или мобильное приложение.
Использование криптографического протокола
Одним из современных требований защиты персональных данных является использование в системах, обрабатывающих такие данные (ИСПДн), криптографической защиты при передачи информации в компьютерных сетях.
Для передачи персональных данных в Интернете используется протокол "https://". В протоколе задействованы специальные криптографические сертификаты, позволяющие повысить надёжность проверки подлинности сайта и безопасность передачи данных между компьютерами.
Шифрованное и распределённое хранение данных
С развитием криптографических технологий увеличивается использование облачных технологий. В соответствие с техническими и правовыми нормами защиты персональных данных облачные серверы шифруют всю хранящуюся информацию и используют технологии распределения сегментов данных с помощью сложных алгоритмов.
Эти меры помогают защитить информацию в случае утечек с носителей. Теоретически, получаемая злоумышленниками с носителя серверного хранилища информация, может быть непригодна для использования или может требовать сложного криптоанализа для приведения похищенных данных в читабельный вид.
Иногда единственной целью злоумышленников, атакующих информационную систему, может быть уничтожение данных. Для защиты против этой угрозы облачные хранилища используют совершенствующиеся технологии резервного копирования данных.
Законодательные запреты избыточной обработки данных
Ограничение сбора персональных данных, произведения операций над ними и срока их хранения - это меры правового обеспечения защиты персональной информации.
Для того чтобы правовая норма работала, нужно реализовать её применение на практике (правоприменение). С этой целью созданы отделы Роскомнадзора, контролирующие обработку персональных данных операторами. Законодательно ограничиваются и контролируются обработки персональных данных в заявленных операторами целях и запрещаются нецелевые обработки.
Надзору подлежат:
- цели и способы обработки персональных данных;
- цели и способы передачи данных третьим лицами;
- территориальная реализация процессов (локализация и трансграничная передача персональных данных);
- процессы защиты данных методом обезличивания, блокирование персональных данных и их удаление;
- и многое другое.
Создание государственных платформ обработки первичных персональных данных
Наиболее важным сегодня направлением является создание реестров первичных персональных данных и контроль за их использованием средствами защищённой государственной платформы.
В качестве примера можно привести российскую разработку платформы "Единая биометрическая система". Биометрические данные граждан, которые были обработаны разными операторами (компаниями), передают в единый Реестр (ЕБС), который теперь будет обеспечивать надёжное хранение и контроль за обработкой биометрических данных.
Для полноценной реализации прав граждан на контроль за обработкой персональных данных в системе "ГосУслуги" в 2024 году появится возможность отслеживать свои согласия на обработку биометрических данных.
На "ГосУслугах" можно будет:
- увидеть список своих согласий на обработку биометрических данных;
- отозвать отдельное согласие;
- предоставить согласие на обработку биометрических персональных данных;
- отслеживать историю выдачи и отзыва согласий.
В этой статье перечислены несколько основных методов и направлений защиты персональных данных, которые использовались в разные годы. Общая тенденция развития информационной защиты указывает на внедрение в будущем информационных технологий во все сферы жизни человека и его взаимодействия с окружающей средой на планете и в ближнем космосе.
Другие статьи этого канала:
9 сентября 2023 года.
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, соблюдайте правила комментирования публикаций, указанные на главной странице этого канала.
