Безопасность личных данных при интернет-шопинге - Рыжиков Сергей - Точка - 2011-09-25

А. ПЛЮЩЕВ: Московское время 21 час 7 минут. Добрый вечер, вас приветствует Александр Плющев и Александр Белановский тоже – добрый вечер.

А. БЕЛАНОВСКИЙ: Привет.

А. ПЛЮЩЕВ: Да, и у нас в гостях сегодня Сергей Рыжиков, генеральный директор компании 1С-Битрикс. Добрый вечер, Сереж.

С. РЫЖИКОВ: Добрый вечер.

А. БЕЛАНОВСКИЙ: Мы сегодня говорим о безопасности личных данных. Мы обозначили, что при интернет-шоппинге, но решили расширить тему – вообще о безопасности личных данных поговорить. Шопинг, безусловно, будет у нас краеугольным камнем, потому что там связано это с нашими деньгами, вот все эти операции покупочно-продажные, вот. Несомненно, об этом будем также говорить. Но и не только, надо сказать. +7-985-970-45-45 – это наш смс. Твиттер-аккаунт «vyzvon» - туда можно задавать вопросы. Ну, вот, собственно, и все. Можем начинать. Да?

А. БЕЛАНОВСКИЙ: Да, пожалуйста.

А. ПЛЮЩЕВ: Вперед.

А. БЕЛАНОВСКИЙ: Ну, тему, Саша, ты уже обозначил, безопасность личных данных. Давайте попробуем определить в принципе, в чем могут состоять риски при использовании, там, интернет-шопов, да, магазинов или, ну, при использовании других сайтов. В чем основные риски состоят?

С. РЫЖИКОВ: Наверно, для того чтобы ответить на этот вопрос, нужно, ну, наверное, рассказать некую историю о том, за какими данными, собственно, охотятся и кто охотится. Мы привыкли почему-то полагать, что самые существенные риски для нас – это вирус. Мы покупаем антивирусные программы и считаем, что мы защищены от того, что у нас ничего не похитят и вирусов не будет. Я расскажу историю, когда к нам в компанию за консультациями обращались сотрудники ФСБ и, собственно, принесли дело, в котором они мониторили двух человек, двух молодых людей, которые даже не были айтишниками, но которые за месяц создали, если можно так сказать… занялись новым бизнесом. Они проинвестировали в это дело где-то около 500-700 долларов. И как это выглядело? Собственно, я читал разговоры и переговоры этих людей. На одном из сайтов они покупали вирус. Не тот вирус, которым нам чаще всего заражают компьютеры, их называют, там, руткиты, они лежат в основе бот-сетей. В Китае они, там, за 30 долларов покупали ботнетовский сервер, куда эти данные потом должны были попадать. В третьем месте им зашифровывали этот вирус, в четвертом месте они покупали взломанные сайты. Мы почему-то, опять же, всегда считаем, что если мы ходим по приличным сайтам, нам ничего не угрожает. Они покупали очень приличные сайты. Там полторы-две тысячи посетителей в день сайт стоит около 50 долларов. Ну, и дальше ценники растут. И уже через неделю они, собственно, на этом сервере мониторили те данные, которые к ним поступали. И охотились они не за персональными данными даже человека, они в автоматическом режиме выделяли интернет-банки тех или иных компаний. Данные, которые мы оставляем, автоматически выделялись, кредитные карточки там где они вводили. Ну, вот в данном случае тот инцидент, о котором шла речь, они охотились… ну, то есть, вот за две недели они получили данные, реальные данные на трех людей, на двух человек и на компанию. Они зашли на интернет-банк одного человека и попытались перевести валюту – у них это не получилось. Человек, видимо, получил смс и заблокировал счет. Во втором случае они тоже проявили несмекалистость, не смогли забрать рубли. С банком компании им повезло больше. Они украли ключи, которые хранились прямо на этом компьютере бухгалтерии, развернули у себя такое же клиентское место и попробовали сделать платеж на 30 миллионов, там, без малого на обнальную контору. Ничего у них не получилось, потому что операционистка позвонила в фирму, и, конечно, единственное желание, которое, наверно, испытывает руководство и люди в компании – это перерубить кабель и больше никогда в интернет не выходить. Но при этом мне показали данные, что они выводили уже деньги, они выводили их на карточки других, как бы других людей. И вся сложность этой ситуации в том, что их очень сложно обвинить. Как бы они и вирус не изготавливали, они и сайт не ломали, и деньги не выводили, они просто режиссировали весь этот сценарий. Но, с другой стороны, это очень легкий бизнес. И вот этот теневой бизнес, он является основой, в которой лежит затем… зачем и какие данные воруют.

А. БЕЛАНОВСКИЙ: Ну, то есть, это типичный случай? Вот то, что вы сейчас рассказали, так оно обычно и происходит, я так понял.

С. РЫЖИКОВ: Это… да, это очень частый случай. Когда и студенты, и профессионалы в особенности занимаются этим. Эти ребята не были профессионалами. Профессионалы занимаются этим масштабно, и размеры, объемы очень существенны.

А. ПЛЮЩЕВ: Но, тем не менее, вот когда мы – я продолжу вопрос Саши просто – когда мы заходим, ну, я не знаю… купить, заказать продукты – я вот недавно заказывал. Можно там оплатить карточкой, кстати, что для меня было сюрпризом.

А. БЕЛАНОВСКИЙ: А как ты оплачивал?

А. ПЛЮЩЕВ: Карточкой, да. Или заказать, там, я не знаю, что еще?.. Айфон чтобы тебе привезли. Ну, что у нас обычно покупают в интернет-магазинах? Не знаю, я в иностранных в основном покупаю, в здешних…

А. БЕЛАНОВСКИЙ: Ну, книги, например.

А. ПЛЮЩЕВ: Книги, да.

А. БЕЛАНОВСКИЙ: Я очень часто так делаю.

А. ПЛЮЩЕВ: Вот. Мне казалось, что книги скачивают в основном. Ну, ладно, пусть книги, черт с ними. Еще что-то. Тут самая главная какая, так сказать, инструкция по безопасности?

С. РЫЖИКОВ: Тоже хочу небольшой момент уточнить. Вначале, когда запускались интернет-магазины, каждый стремился принимать карточки и хранить у себя. Но это очень большие риски, потому что интернет-магазин становится мишенью. И сегодня практика такая, что карточки не хранят, а пользуются процессингами внешними. То есть, как бы ты нам заказ оформил, потом тебе говорят перейти, и ты уже оформляешь, там, в «Альфе» или других каких-то процессингах. И как бы это ответственность уже этой организации правильно работать с данными. Это действительно большой комплекс. Основная рекомендация – оплачивать на известных вам процессингах. Если вы знаете эту компанию, слышали название этой компании и, в общем, доверяете этому имени, то, наверно, да, можно пользоваться.

А. ПЛЮЩЕВ: Ну, это с одной стороны. С другой стороны, если ты вводишь данные карточки, то их могут перехватить.

С. РЫЖИКОВ: Да, вот те самые руткиты, о которых я говорил… кейлогеры учатся и умеют все лучше и лучше собирать номера, которые вводятся, собирать данные, и зачастую иногда даже… вот говорят: «А у нас виртуальная клавиатура»…

А. ПЛЮЩЕВ: Ну, вот у меня прямо в банке, которым я пользуюсь…

А. БЕЛАНОВСКИЙ: Да, у меня тоже.

А. ПЛЮЩЕВ: … виртуальная клавиатура.

С. РЫЖИКОВ: Мы набираем на виртуальной клавиатуре. Потихонечку технологии тех, кто с другой стороны, вооружаются, идут дальше, и они делают кратковременные скриншоты за нажатиями мышкой, если это похоже. То есть, если они понимают, что вы зашли на этот сайт, они начинают потихонечку делать скриншоты в этой области, для того чтобы потом распознать или выбрать необходимые данные. То есть, вооружаются все с той стороны. Это уже не совсем автоматизированный режим, но если по каким-то признакам вы, например, как клиент попадаете на заметку, то это может быть использовано.

А. ПЛЮЩЕВ: Ну, вот, подожди, Сергей, хорошо. В любом случае, у меня на компьютере должна стоять какая-нибудь дрянь, какой-нибудь руткит или еще что-нибудь, для того чтобы перехватили, например, номер моей карточки, правильно? Если у меня ничего не стоит, если у меня хороший антивирус, то я могу не беспокоиться об этом.

С. РЫЖИКОВ: Я бы очень бы хотел быть таким же категоричным. К сожалению…

А. ПЛЮЩЕВ: Это вопрос был? Это вопрос.

С. РЫЖИКОВ: (смеется) Это, скорее, мой ответ. Недавно общался с одним из разработчиков антивирусов. К сожалению, сегодня антивирусы уделяют очень мало внимания руткитам. Они очень незаметны, они не тормозят работу компьютера, они вообще вот совершенно незаметная для жизни вещь. И это тяжело продать. То есть, потребитель, если у него ничего не тормозит, не вылезает какой-нибудь страшный скриншот, который говорит «Отправь смску», он считает, что у него все нормально, компьютер безопасный. Плохо сегодня антивирусы борются с руткитами и с бот-сетями. К сожалению, это так. То есть… ну, опять же, ни в коем случае нельзя понимать это как «давайте вообще отключимся от интернета, не будем ходить и думать». Просто важно понимать, что есть это сторона, что есть люди, которые занимаются таким бизнесом, и это действительно бизнес, дающий большие прибыли. И они инвестируют в это, они могут инвестировать в оборудование, в разработку программ, в анализ, построение серверов бот-сетей. Много случаев, которые большие бот-сети разбирали, и много примеров, когда большие суммы выводили.

А. БЕЛАНОВСКИЙ: А воруют именно информацию о банковских… банковские данные какие-то? Или бывает еще, что какую-то личную просто конфиденциальную информацию, ну, скажем, там, адрес, да? Или телефон, или еще какие-то данные, которые не хотелось бы как-то публиковать. И это вообще, это распространено или это не столь активно сейчас?..

С. РЫЖИКОВ: Но ведь все развивается, наверно, поэтапно. Банки открыли интернет-банк, и открыли его сначала в простых таких вариантах: без аппаратных устройств, просто логин-пароль, даже там ни виртуальных клавиатур, ничего. Это очень благодатная почва, для того чтобы украсть. Первая волна была в Штатах, много пострадавших – банки вооружились, выпустили сложные системы, более сложные, и представили аппаратные либо с телефонами связанные устройства. То есть, для авторизации ты вводишь логин-пароль, получаешь смс, например, с одноразовым паролем и еще раз подтверждаешь, что это ты. Это сильно, очень сильно усложняет вообще перехват. На американском рынке доходы этих людей сильно сократились, и они пошли на другие территории. И было прям видно, как началась волна, когда начали российские банки, которые только вот, еще неподготовленные, с такими первого уровня системами клиент-банка выходили, сколько было инцидентов, сколько было проблем и как опять банки вооружались, готовясь, ну, к новым рискам, к новым вызовам.

А. БЕЛАНОВСКИЙ: Ну, хорошо, а вот я как пользователь, как мне отличить сайт, которому я могу доверять, и сайт, с которым лучше дела не иметь и личные данные ему не предоставлять? Это вот на вид можно как-то определить?

С. РЫЖИКОВ: Нет. Опять же, приведу пример. Крупная компания, большой сайт. Ну, реально сотни тысяч человек в день. Сотрудник этой организации, контент-редактор... в организации все безопасно, но контент-редактор приходит домой с компьютера, на котором работает его ребенок и который, как потом выяснилось, был в бот-сети. Он авторизуется в административном разделе своего сайта… у него мало было прав, но у него было одно единственное право: он мог править баннеры, разместить рекламный баннер на странице. Он был контент-редактором. Это было где-то в районе, там, 23-24-х часов, а уже в 6-7 утра вместо баннера был загружен вирус, который провисел до 10 утра, пока вдруг все спохватились, что же это, собственно, происходит. И вы никогда бы не увидели этот сайт. Количество инфицированных тоже мы не знаем. Кстати, вот в этом случае не много могут помочь антивирусы, потому что способы заражения, там, некоторые уязвимости, другие вещи, они закрывают.

А. БЕЛАНОВСКИЙ: Ну, в этом случае был как бы человеческий фактор. Я так понимаю, что этот сотрудник, да, он загрузил туда вирус.

С. РЫЖИКОВ: Нет.

А. ПЛЮЩЕВ: Нет-нет.

С. РЫЖИКОВ: Он авторизовался на домашнем компьютере, где логин-пароль, который он использовал для входа в этот сайт, был украден через бот-клиента. Он попал в сервер, его проверили автоматически, убедились, что это очень выгодный сайт, и тут же разместили вирус, для того чтобы воспользоваться, хоть часть аудитории попробовать инфицировать, заразить их размножающей вот этой вот частью этого клиента.

А. ПЛЮЩЕВ: Тут хороший вопрос пришел на смс. Я напомню: +7-985-970-45-45, твиттер-аккаунт «vyzvon». В гостях у нас Сергей Рыжиков, гендиректор компании 1С-Битрикс, говорим мы о безопасности в интернете, ну, такой нашей пользовательской безопасности, в том числе и при покупках. Вот такой вопрос: «А если привязать кредитку к Pay-Pal и оплачивать ей покупки, есть риск, что тебя кинут?»

С. РЫЖИКОВ: Я, к сожалению, про Pay-Pal ничего достоверно сказать не могу. Потому что система легально не работает в стране…

А. ПЛЮЩЕВ: Как это не работает? Она не работает на вывод денег, а так вполне себе легально работает, мне кажется. Разве нет?

С. РЫЖИКОВ: А ты пробовал что-нибудь Пэй-Палом оплатить?

А. ПЛЮЩЕВ: Безусловно. Я все оплачиваю Пэй-Палом.

С. РЫЖИКОВ: В Штатах?

А. ПЛЮЩЕВ: Да.

С. РЫЖИКОВ: Но не в России.

А. ПЛЮЩЕВ: Нет, не в России.

С. РЫЖИКОВ: В России интернет-магазины не практикуют…

А. ПЛЮЩЕВ: Ну, потому что они не могут вывести через него…

С. РЫЖИКОВ: Они не могут получить эти деньги.

А. ПЛЮЩЕВ: Получить, да.

С. РЫЖИКОВ: Юридическое лицо... то есть, мы можем считать, что в стране нету легальных магазинов, которые продают за Pay-Pal.

А. ПЛЮЩЕВ: Это правда.

С. РЫЖИКОВ: И даже если мы видим оплату в российском магазине за Pay-Pal, скорее это признак того, что он не юрлицо и не по-белому что-то делает. Поэтому…

А. ПЛЮЩЕВ: Видимо. Я ни разу не видел такого, чтобы…

С. РЫЖИКОВ: Я не могу пока сказать. Вообще проблема очень существенна, вот та, которую мы затронули, и можно ожидать, что вся эта проблематика выльется в появление новых технологий. Собственно, недавно Google Valet открывался, да? Появляются инструменты (неразб.) – правильно? – оплаты по телефону, когда фактически мы привязываем карту к некоторому устройству, для того чтобы потом иметь возможность оплатить либо подтвердить. То есть, мы фактически пытаемся спрятать карточку, как за пэйпаловским аккаунтом, и выполнять более секьюрными, более безопасными инструментами оплату. Да, в принципе, по этой технологии – и Pay-Pal, кстати, там разрабатывает аналогичное решение – скорее всего, и будет развиваться вот эта вот проблема и поиск альтернатив, как решить ее.

А. ПЛЮЩЕВ: Ну да. Ну, я не знаю, я, опять же, как потребитель, если я вижу – на иностранном сайте, разумеется – возможность оплаты Pay-Pal, то, во-первых, это очень удобно, кроме всего прочего, тебе не надо лезть за кредиткой, вот. Во-вторых, сразу у тебя есть… повышается некий уровень доверия. Но вот у меня еще один какой вопрос возник, совсем не интернетный, а банковский такой, но тем не менее. Если у меня, условно говоря, поперли деньги с карты, но у меня вот смс-оповещение есть, например, да? И, как вот ты рассказал в самом начале историю, как раз именно это смс-оповещение и помогло, да? И если я блокирую тут же средства, есть ли у меня шанс их опротестовать, их вернуть и зарубить эту транзакцию? Потому что, по идее, если у тебя перехватили номер, это еще не самое страшное, но если у тебя перехватили cvc-код, то есть, код подтверждения, это фактически твоя подпись.

С. РЫЖИКОВ: Да.

А. ПЛЮЩЕВ: Если стоит твоя подпись – все, транзакция от тебя.

С. РЫЖИКОВ: Возможно, мне так везет. Однажды мы ехали в Москве в пробке, со мной сидел коллега. А у него новосибирская компания. И пока мы с ним разговаривали, буквально с интервалами в одну-две минуты ему пришли смски о списании денег с его счета. Его счет был опустошен транзакциями, снятиями как бы в банкомате в Польше. А он сидел здесь. Буквально через минуту позвонили сотрудники этого банка. Кстати, многие банки делают контрольные проверки, да. Тут же: «Все ли нормально?» Он сказал: «Конечно, нет». Тут же заблокировали карту, но деньги он бы, наверно, не вернул, если бы не большие счета и вообще большие обороты его компании, то, что он генеральный директор, именно вот в этом банке. Фактически банк пошел ему на встречу. А я знаю много случаев, когда людям не возвращали деньги, потому что если транзакция сделана как бы легально, по правилам карточки, то есть, как ты говоришь, cvv-код…

А. ПЛЮЩЕВ: Сvc или… да, cvv есть тоже, по-моему. Или пин-код набран в банкомате, если это банкомат.

С. РЫЖИКОВ: Потом выяснилось, что это была история с этими диболдовскими банкоматами, когда троян в банкомате карточку, магнитку, и пин-код…

А. ПЛЮЩЕВ: Отсылает.

С. РЫЖИКОВ: Отсылает, да. И сделаны были дубликаты, эти деньги были сняты. Он не мог доказать, что он не делал платеж. Мой коллега по компании не смог доказать, что там на 2 000 покупка в Греции, что даже у него ни виз, ничего не было, он не мог там присутствовать – банк ему отказал в возврате. Можно судиться. Есть примеры, когда судятся и забирают эти деньги. Но банки занимают не клиентскую сторону скорее, они свои интересы защищают больше.

А. ПЛЮЩЕВ: То ли случаи разные, то ли банки обнаглели, надо сказать. Потому что у меня был такой случай… не у меня, а у жены моей, когда сняли деньги с карточки где-то там во Франции, когда мы были в России, вот, и банк вернул в результате…

С. РЫЖИКОВ: Вернули?

А. ПЛЮЩЕВ: … месяца через полтора, да, поскольку как раз у нас по штампам в загранпаспортах было очевидно, что мы были в этот момент в России. Вот.

С. РЫЖИКОВ: Наверно, они знали фамилию (смеется) и решили, что легче вернуть, чтобы не обсуждать публично.

А. ПЛЮЩЕВ: Тогда я не вел программу про интернет совсем, я просто вел новости и все. Это было очень давно. Я почему и говорю, что то ли время изменилось, то ли еще что-то.

А. БЕЛАНОВСКИЙ: Да, Саш, ты сказал, что когда ты видишь, что есть возможность оплатить через Pay-Pal, ты как-то автоматически больше начинаешь доверять.

А. ПЛЮЩЕВ: Да-да-да.

А. БЕЛАНОВСКИЙ: Есть такая вещь как сертификация, да, этих интернет-магазинов. Расскажите, что это, кто это делает, за счет чего, собственно, это появляется доверие. С чего, с чего мы должны доверять? Что означает этот сертификат?

С. РЫЖИКОВ: Может быть, есть небольшая путаница. Сертификации интернет-магазинов в России нет, есть в Европе. Есть такая сертификационная компания «Trusted shops». Мы, например, сейчас проходим сертификацию в этой компании. Это оказалось не так просто. Сертифицируется как программный продукт, так и сам интернет-магазин, причем основная часть сертификации связана с претензиями, то есть, с возможностью, куда обратиться, как отменить эту транзакцию, как отказаться от покупки товара и так далее и так далее. В России системы такой нет. Магазины не сертифицируют, нету сертификационных вещей на платежные системы. Иногда нам показывают SSL-сертификат, большой, актуальный, и говорят: «Вот это и есть наша сертификация». Это не совсем то. Это просто сертификат, подтверждающий, что этот домен принадлежит этой компании и что вы выполняете транзакцию внутри зашифрованного канала, что, в общем, конечно, и безусловно правильно. То есть, если вас просят ввести персональные данные, нет SSL, там, или замочка персонального шифрованного канала, то, конечно, это уже не очень хорошо.

А. БЕЛАНОВСКИЙ: Ну, а все-таки сама сертификация, она что подразумевает? Магазин, который прошел, и магазин, который не прошел – в чем разница между ними?

С. РЫЖИКОВ: Какой не прошел – сложно говорить. Те, которые прошли, во-первых, подтвердили, как они работают с персональными данными, как они относятся к клиентам, как обрабатывают транзакции, что хранят, а что не хранят у себя. В частности, то, что они не хранят данные по пластиковым картам или какие-то другие данные, которые могут быть использованы для похищения чего бы то ни было. И, конечно, это основная конструкция обработки претензий. То есть, вы можете вернуть деньги, вы можете вернуть товар, замену и так далее. Стараются защищать интересы. Я, кстати, уверен, что российские интернет-магазины обязательно придут к этому. Даже не магазины, а скорее сообщество начнет вырабатывать форматы, и организации появятся, которые будут сертифицировать. Несколько последних ситуаций, когда персональные данные людей были заиндексированы Яндексом, они, конечно, наделали много шуму и всех озадачили: собственно, где еще могут всплыть какие данные, которые мы оставляли?

А. ПЛЮЩЕВ: Это вообще целая отдельная большая тема, тоже не касающаяся шопинга, о том, что, так или иначе, все данные, оставленные тобой, остаются в сети. Я, честно говоря, предпочитаю об этом не думать, потому что, ну, я 10 лет вел программу «Эхонет», которую сейчас удачно ведет мой коллега Александр Белановский, вот, и писал колонку в газете «Ведомости», и вот за эти 10 лет я нарегистрировался на таком количестве сайтов безумном…

А. БЕЛАНОВСКИЙ: Я тоже об этом думал.

А. ПЛЮЩЕВ: Да, напробовал там всего чего-то делать, что просто ужасно. Но тут вот была Наталья Касперская как-то, и мы с ней выяснили, что некоторым решением проблемы, некоторым, в общем, не универсальным, конечно, может быть создание такого информационного шума о себе. То есть, например, там, поди найди реальных моих друзей на Фейсбуке среди, там, нескольких тысяч, которые у меня зарегистрированы. Или в тридцати тысячах фолловеров в Твиттере, кто там реально с кем разговаривает, поди узнай. Если есть возможность таким образом поставить дымовую завесу, то и хорошо. Но, я думаю, что не каждый таким образом сможет себя завесить, а ведь проблема есть, в том смысле, что все, что бы ты ни делал, остается.

С. РЫЖИКОВ: Проблема очень большая, и для меня она всплывает в первую очередь потому, что старшей дочери 14 лет. И прекрасно ведь понимаешь, что подростки, их никто не учит, что можно писать, как можно писать, и они с легкостью оставляют ВКонтакте в сети совершенно разные комментарии, совершенно не задумываясь о том, что ведь это уже никогда не может быть вычищено. То есть, даже если мы захотели бы, мы уже не сможем этого удалить. Получается, что если эти данные не удаляются, то черев 15-20 лет, когда дети вырастут, на них можно будет собрать полное досье, начиная с самого начала, как они рассуждали, как думали, к чему относились, как взрослели, где в каких ресторанах любили бывать, кто были их друзья или кто будут их друзья. И, может быть, это ничего никому не даст, может быть, это будет иметь последствия для этого молодого человека и тогда уже, например, немолодого, в том, доверят ему управлять, ну, не знаю… этим ядерным реактором, или нет. Или доверят ли ему вообще эту должность. Может быть, окажется, что он…

А. ПЛЮЩЕВ: Мне кажется, больше всего это будет интересовать тех, кто дает деньги. Дадут ли ему кредит, например.

С. РЫЖИКОВ: Да, кстати, в том числе, да. Но вряд ли будут копать, там, совсем личные вопросы, но зависит от того, для чего, то есть, какой вопрос возникает.

А. БЕЛАНОВСКИЙ: Кстати, знаю, что сейчас при приеме на работу вот смотрят личные странички в социальных сетях. Это действительно так. Не из личного опыта, я слышал.

С. РЫЖИКОВ: Больше можно получить информации из социальных сетей. Причем иногда задают вопросы человеку, он врет, и по тому, что он врет, делают совсем другой вывод, не о том, что есть в социальных сетях. Это действительно имеет место быть. Кстати, есть примеры, когда то, что люди пишут в сетях, было использовано против них в суде. Я рассказывал тогда историю тебе, когда человек в суде утверждал, что он никогда не пил за рублем, а в сети нашли и его записи, и подтверждения, что он неоднократно это делал и описывал свои впечатления. И, конечно, там, присяжные не поверили потом в эти утверждения, и он получил, там…

А. ПЛЮЩЕВ: Да. Здесь, мне кажется, довольно странный пример, в том смысле, что экспертиза и какие-то написанные слова о самом себе в сети. Я могу написать, например, что я полутораметровый карлик, очень худой, изможденный. Ну, и какое это будет иметь значение, боже мой? Все видят, как я выгляжу на самом деле. Вот. Здесь, мне кажется, такой не очень релевантный в этом смысле пример, но, конечно же, какие-то вещи, отношение к чему-либо, или тех же самых личных данных, там, привычек, они, само собой, остаются. Здесь я вот тоже в разговоре, который мы вели до эфира, я подумал, что, может быть, и для… это хороший корм, хороший корм такой именно для людей, для структур, которые, там, стоят на страже чего-нибудь и пытаются всех запугивать, не пущать, там, и еще что-нибудь. Ну, я не знаю, там… вот, опять же, кредитный отдел какой-нибудь, там, банка или служба безопасности какой-либо компании, которая будет отсеивать кандидатов и страшно облегчать таким образом… не облегчать, а увеличивать стоимость работы хедхантеров, потому что они должны будут подыскивать все новых и новых кандидатов. Ну, и так далее. Вот. Но мне кажется, что еще хорошая вещь такая это для тех, кто вербует куда-нибудь. Как только у тебя… ну, не обязательно, не обязательно в спецслужбу, но вообще. Можно вербовать в банду, извините, можно вербовать, там, я не знаю… в КВН играть – куда угодно. Вот. То есть, если у тебя есть какие-то слабости, вербовать всегда легче. Мне просто кажется, что это было и до соцсетей, и до интернета задолго. Единственное что, наверно, он помогает легче как-то систематизировать. Но, опять же – извините за длинную тираду – опять же, это просто такое рассуждение вслух. Опять же, ты можешь никогда не разобраться в шуме, в абсолютном шуме, ты можешь никогда не знать, что у человека были какие-то виртуалы, допустим, кто он. И ты можешь никогда не знать, кто стоит за тем или иным виртуалом, хоть убей.

С. РЫЖИКОВ: Очень легко идентифицируются в основном телефоны, ip-адреса. Чаще всего телефонный номер. Мобильные телефонные номера много о нас говорят, мы их упоминаем, оставляем, для того чтобы получать смски, отправляем эти цифры, и по ним можно как бы анонимную информацию привязать к персональной информации. Этим много занимаются спецслужбы, много информации о том, что этим занимаются на Западе. Я, опять же, не склонен, там, драматизировать эту ситуацию. На мой взгляд, здесь очень важно, в принципе, подростков и вообще людей предупреждать о том, что все, что вы пишите, не удаляется из сети, может быть, уже никогда. Ну, то есть, вот никогда – это далеко в обозримое будущее. То есть, мы написали, высказали свои комментарии – мы даже не можем предполагать, как это может работать. Ну, опять же, не повод вести себя, наверно, по-другому, не так, как есть. Но при желании что-то изменить, изменить какой-то формат, возможно, придет менять и имя-фамилию, и мобильный телефон.

А. ПЛЮЩЕВ: Ну, мобильный телефон, как мы знаем, сменить – это пара пустяков. С именем-фамилией чуть сложнее, конечно. Но тоже, в общем, известны прецеденты, что называется.

А. БЕЛАНОВСКИЙ: Давайте я напомню, что мы говорим про безопасность личных данных, у нас в гостях гендиректор компании 1С-Битрикс Сергей Рыжиков. Сергей, ваша компания занимается, работает в сфере безопасности личных данных, она что-то в этой сфере делает?

С. РЫЖИКОВ: Скорее нет. Мы выпускаем систему управления сайтами, корпоративной информацией. Мы, конечно, заботимся о безопасности продукта и о безопасности клиента. Есть разные аспекты в этой области, но это не защита персонала, это не защита конкретных людей. Вот, может быть, это как раз защита, чтобы те сайты не взламывались, чтобы сайт очень быстро выявлял. У нас есть, например, на сайте антивирус, который в первую очередь говорит владельцам сайта, что ваш сайт заражен, что нужно что-то предпринять. Потому что иногда люди… была как-то любопытная статистика Яндекса: сайты… 6-10 месяцев могут владельцы не узнавать о том, что их сайт заражен. Они иногда узнавали это, когда заходили через Яндекс их друзья, потом перезванивали и говорили: «Ты знаешь, мне Яндекс не советует заходить на твой сайт, говорит, что он заражен». Но это уже было много, это значит, владельцы потеряли клиентов, потеряли аудиторию и так далее.

А. ПЛЮЩЕВ: Ну, опять же, не всегда предупреждение антивирусной системы или поисковой системы является абсолютным приговором в этом смысле. Они часто воспринимают тот или иной код за вредоносную программу, код при этом ничего не делает вредоносного. Ну, какой-нибудь, условно, анимированный баннер, там, или еще что-то. Ну, с сайтом «Эхо Москвы» пару раз было такое. Хотя и бывали случаи другого рода, тем не менее. Была такая история с ЛайфДжорналом, кажется, когда сайт… когда Касперский не советовал ходить на ЛайфДжорнал. Ну, и так далее, много всего было. Хотя там ничего вредоносного не было. Есть вопросы от наших слушателей. Смс +7-985-970-45-45. Да, просят пояснить, что такое Pay-Pal. Это такая платежная система, которая скрывает вашу кредитку. Да. И когда вы платите, вы не вводите номер кредитной карточки, а вводите только свой логин-пароль на Пэй-Пале, авторизовываетесь там, и он сам снимает с вашей кредитки.

С. РЫЖИКОВ: Кстати, «Яндекс.Деньги», по-моему, делали такой сервис, позволяя привязывать карточку к своему счету у себя и, собственно, как бы спрятать карточку для платежей. Ты их выполняешь как бы «Яндекс.Деньгами», они пополняют.

А. ПЛЮЩЕВ: Да. Пишут вот что… смешно. «Наши юзеры гоняют по сети на ломаных операционках – какая безопасность? Такое ощущение, что с тобой за персональным компьютером сидит еще полмира», - пишет Саратов… пишет Виталий из Саратова, простите. Так. А вот: «На некоторые сайты не пускает Гугл. Вот сейчас Гугл выдает предупреждение при посещении сайта Мемориала mem.ru, что он может нанести вред компьютеру», - пишет Максим. Может быть, может быть, оно и так. Но повторюсь, это… он может принимать что-то за вредоносный код, хотя оно этим может не являться. Не знаю. Так, еще. Это были реплики, сейчас вопросы. «Ответьте, пожалуйста, на вопрос: если пользоваться операционной системой Линукс, можно ли надеяться на жизнь без руткитов и вирусов? Заранее спасибо». Естественно, сюда можно добавить совершенно спокойно и Mac OS, потому что мак-юзеры, они традиционно, ну, практически не пользуются антивирусами, поскольку считается, что вирусов под эту операционную систему мало, и тех же самых руткитов мало, поскольку пользователей мало, и они находятся в безопасности. Во всяком случае, ни одной вирусной эпидемии под Мак не было до сих пор.

С. РЫЖИКОВ: Вот перед этим как раз была реплика. Отвечая на реплику и на этот вопрос, я бы, наверно, в первую очередь сказал для Windows-пользователей. Самая лучшая защита, которую вы можете себе сделать – это, конечно, легальная и обновляемая среда, легальный Windows. То есть, если вы обновляете Windows, обновляете браузер, которым пользуетесь, это существенно-существенно снижает риски. В основном заражают именно при посещении сайтов через старую версию браузера, наличие уязвимости, которые годами иногда висят и написаны… и в руткиты входят, и в кучу других инструментов. Поэтому, прежде чем покупать антивирус…

А. ПЛЮЩЕВ: Я вот думаю, а как они браузер не обновляют? Он же сам просит все время: «Обнови меня».

С. РЫЖИКОВ: Internet Explorer обновляется через Windows Update.

А. ПЛЮЩЕВ: Аа.

С. РЫЖИКОВ: А если у тебя не работате Windows Update, ты же нелегал…

А. ПЛЮЩЕВ: Понятно. Я так давно просто не пользовался Интернет Эксплорером, если не считать вот здесь, на работе…

С. РЫЖИКОВ: Кстати, это очень сильная проблема и самые большие риски. Поэтому перед покупкой антивируса покупка операционной системы. Если вы пользуетесь другими, опять же, обновлять, конечно. Но, в любом случае, если вы сидите на Линуксе и вам хватает для этого опыта, IQ и всего остального, то ваши шансы быть здоровым необычайно велики. Мак в очень хорошей позиции, он уже достаточен для работы, еще не настолько массов. Есть уже руткиты, не очень много, и, в основном, конечно, на Мак-юзеров не очень охотятся. Но есть антивирусы, и есть и вирусы. Поэтому… ну, область риска пока еще не очень такая проявленная. Поэтому не массовые операционки, конечно, меньше страдают, больше всего Windows. И в первую очередь легальный Windows, обновляемый Windows.

А. ПЛЮЩЕВ: Страдает?

С. РЫЖИКОВ: Рекомендую.

А. ПЛЮЩЕВ: Я, да… я просто удивился. Необходимо выяснение, да.

А. БЕЛАНОВСКИЙ: Сергей, я бы хотел вернуться к вопросу шифрования личных данных все-таки, потому что я, например, зашел сегодня на сайт крупнейшего онлайн-магазина и обнаружил, что там нет значка вот этого замочка, да? HTTPS. Означает ли это, что опасно пользоваться просто таким? Для меня это было, в общем, откровением, потому что я не ожидал, я был уверен, что там зашифрованное соединение…

С. РЫЖИКОВ: Но при просмотре товаров это же не обязательно.

А. БЕЛАНОВСКИЙ: В личном кабинете я имею в виду, конечно. При оформлении заказа, при, там, введении моих личных данных.

С. РЫЖИКОВ: Вообще, формально, можно сказать, что самыми критическими данными, конечно, являются данные о платежных инструментах. Если ты делаешь заказ и хочешь получить доставку курьером, ну, хороший тон, конечно, SSL повесить, HTTPS, но бывает, что не вешают, и большие магазины не вешают. Особенно при нагрузках это может мешать им – ну, как-то так. Но это еще не самый критический момент. Конечно, персональные данные вроде бы передаются, но, похитив их, не украдут у тебя данные…

А. БЕЛАНОВСКИЙ: Здесь, в случае с доставкой, я же не оплачиваю онлайном, да? Могу не оплачивать онлайном. Поэтому могу и не указывать каких-то данных своей банковской карты. Я так понял, что поэтому здесь это не критично.

С. РЫЖИКОВ: Да, поэтому обычно не спрашивают. Если же вас просят указать данные электронных денег, пластиковых карт, какую-то другую информацию платежную, и нет SSL, то настоятельно рекомендую не делать. Вообще, кстати, есть очень большие преимущества у магазинов с известными брендами. Это характерная тенденция вообще и на Западе, и, я думаю, что и у нас будет такой тренд. Если ты знаешь компанию, у нее есть магазины в офлайне, то есть, вот ты идешь по улице и видишь, то уровень доверия интернет-магазину сильно выше. Это не говорит об уровне защищенности, это скорее говорит о нашей готовности сделать заказ на не временном сайте, а сайте известной нам компании.

А. ПЛЮЩЕВ: Тут отличный вопрос от (неразб.) пришел: «Есть ли смысл заводить отдельную кредитку для покупок через сеть?» Я помню, у некоторых банков была даже… было такое даже спецпредложение. Она вообще не работала нигде, кроме как в интернете, эта карточка.

А. БЕЛАНОВСКИЙ: Я тебе скажу, что у меня такая, я пользуюсь.

А. ПЛЮЩЕВ: Вот. И там, по-моему, есть какое-то ограничение по сумме даже. Нет?

А. БЕЛАНОВСКИЙ: Не слышал.

А. ПЛЮЩЕВ: Мне казалось, что там ограничение по сумме, чуть ли не сто долларов было одно время.

С. РЫЖИКОВ: Это неудобно, а вообще это очень правильная идея. Очень правильно вообще не держать на карточке много денег, а иметь возможность в любой момент пополнить ее в том объеме, как вам нужно на транзакцию, а так держать, ну, сколько вам нужно, там, как вы обычно в кошельке держите.

А. ПЛЮЩЕВ: На той карточке, которой ты пользуешься в интернете.

С. РЫЖИКОВ: В принципе, вообще.

А. ПЛЮЩЕВ: Куда ж тогда деньги-то девать?

С. РЫЖИКОВ: На другом счете держать. Это, кстати, очень существенные риски. Просто потеря карточки… я попадал в такую историю, это мне стоило сто тысяч. Деньги были украдены с карточки, потому что я ее забыл в ресторане, причем в очень хорошем ресторане.

А. ПЛЮЩЕВ: Я сколько раз забывал даже в самых позорных забегаловках, и ни разу…

С. РЫЖИКОВ: Всегда возвращали.

А. ПЛЮЩЕВ: Ни разу не воровали деньги оттуда вообще…

С. РЫЖИКОВ: Такое тоже бывает. Бывает, теряют кошелек, бывает, теряют карточку, и снимают при этом, даже не через интернет, а просто, подделывая подпись, тут же в магазине покупают. Поэтому очень хорошая практика, давно ею пользуюсь: держу ровно столько, ну, вот сколько нужно на какие-то там текущие вещи. При необходимости тут же с мобильного телефона пополняю, если мне нужно сделать какую-то большую покупку или операцию. И держу отдельную карточку для интернета. Это тоже существенно выручает. Хотя последнее время в основном покупки совершаю… много покупаю, но совершаю в основном на известных платежных системах…

А. ПЛЮЩЕВ: То есть, подожди, вот много россиян все-таки уже… тут нам пишут: «О чем вы говорите?» - типа, там, половина или больше населения за чертой бедности. Ну, хорошо, мы пока о меньшей половине поговорим, о меньшей части. Но это меньшая часть – это тоже десятки миллионов человек.

С. РЫЖИКОВ: Конечно.

А. ПЛЮЩЕВ: Десятки миллионов человек, то есть, население гигантской… ну, большой европейской страны получает зарплату на карточки. Не куда-нибудь, на карточки получают зарплату. Оно по твоему рецепту безопасности что должно сделать? Это важно тоже. Оно должно либо… там два пути есть: либо взять кэшем его в банкомате или в банке…

С. РЫЖИКОВ: Надежный вариант.

А. ПЛЮЩЕВ: Да, не очень надежный, зная уровень преступности в нашей стране. И перенести физически в банк на депозит, например, или куда-то, оставив у себя чуть-чуть кэшем, что нужно в ближайшем Ашане купить, и оставив у себя чуть-чуть на карточке, что нужно купить через интернет.

С. РЫЖИКОВ: Нет, это, конечно, неправильный способ. Я говорю…

А. ПЛЮЩЕВ: Либо перевести через интернет, разбросать, там, себе на карточку, на сберегательный счет, если есть возможность ее пополнить через интернет. Я не знаю, есть ли сейчас такая возможность, не пользовался. Вот. Остальное взять кэшем и ходить с ним.

С. РЫЖИКОВ: Нет, конечно, речь не об этом сценарии. Большинство банков, те же, которые предоставляют зарплату и перечисляют… Например, в нашей компании мы всем сотрудникам платим зарплату только на карточки. Она попадает на отдельный счет. Чтобы эти деньги оказались на карточке, я должен запустить на мобильном телефоне приложение, авторизоваться в этом банке и сам нужную сумму перекинуть на карточку. Я их не снимаю, они лежат, это и есть виртуальный депозит. Ну, собственно, он и есть депозит, да? И ты пополняешь карточку ровно настолько, насколько нужно. Если деньги перечисляют сразу на карточку, то многие просто переводят эти деньги на депозит, оставляя необходимую сумму. Конечно, речь не идет о том, что ты должен взять кэш, а потом ходить периодически пополнять, там, будем на проценты банка всю жизнь работать. Нет, речь не об этом, конечно. Но держать на карте много денег и считать, что она безрисковая… Карта – это вообще, в принципе, рискованный инструмент достаточно. Я шесть лет проработал в банке, очень неплохо знаю, как устроены банковские карты. И те карты, которыми мы пользуемся, это же технологии очень давние. Собственно, магнитки, пин – это очень легкие инструменты, легко подделываемые. И уровень потерь, которые несет Виза, МастерКард, они, по сути, компенсируются только огромным объемом. Ну, объемы потерь существенны. В большинстве стран компенсируют, возвращая эти деньги пострадавшим. Ну, как бы тем, кто столкнулся с какими-то сложностями. Но в целом политика должна более строгой становиться.

А. ПЛЮЩЕВ: А какую ответственность несут, ну, например, интернет-магазины за потерю наших персональных… если они вдруг… по их вине наши персональные данные, в том числе данные карточек, платежные и так далее, стали известны третьим лицам?

С. РЫЖИКОВ: Если данные упустил именно интернет-магазин, а не процессинговый центр…

А. ПЛЮЩЕВ: Ну, или процессинговый центр, хорошо.

С. РЫЖИКОВ: Это уже будет отвечать процессинговый центр. Если данные упустил интернет-магазин, мы ему их отдали, а он их упустил, то, в соответствии с законом о персональных данных, по идее, мы сможем подать на них в суд и попросить возврата. Будет удачей, если это большой интернет-магазин большой компании, и эта фирма способна будет произвести компенсацию рисков. Не знаю прецедентов. Честно говоря, ни разу не сталкивался. Наверно, такие случаи были. Если же это процессинговый центр, ну, все-таки да, получается, что, опять же, они попадают под закон о персональных данных и под новый закон о национальной платежной системе. Скорее всего, там будут риски, связанные примерно с тем, как обслуживание производится в банке. Безусловно, ждут сложности, ну, там, с доказыванием, с какими-то другими обстоятельствами, с коммуникациями, но, скорее всего, практика будет на нашей стороне.

А. ПЛЮЩЕВ: Здесь есть вопрос: «На каких веб-сайтах можно проверить свой…» Нам, во-первых, напоминают, что есть Visa Virtual, и MasterCard Virtual тоже есть. Даже не выпускается карта, а выдают номер, код, код подтверждения. Действительно, такая штука есть. И вот задают вопрос: «На каких веб-сайтах можно проверить свой компьютер на вшивость, секьюрити-тест?» Я, кстати, писал, наверно, лет, черт знает… 7 назад, по-моему, Panda делала у себя прямо онлайновую проверку, но она бессмысленная абсолютно.

А. БЕЛАНОВСКИЙ: Что имеется в виду, на вирусы?

А. ПЛЮЩЕВ: Да.

А. БЕЛАНОВСКИЙ: Я тоже пару раз в «Эхонете» делал.

А. ПЛЮЩЕВ: Да-да-да, какие-то есть. И их, в общем, я думаю, нетрудно найти через поисковики. Кроме Панды, я не знаю, кто… сейчас посмотрел бегло, у Касперского, по-моему, нет…

А. БЕЛАНОВСКИЙ: Или на сайте «Эхо Москвы».

С. РЫЖИКОВ: Ну, скорее это такая поверхностная проверка, то есть…

А. ПЛЮЩЕВ: Я и говорю, что она такая, бессмысленная.

С. РЫЖИКОВ: Ну, нет, наверно, какие-то грубые вещи, которые можно, не встраивая антивирус внутрь, там, да, не копаясь в том, что запущено, наверно, можно проверить. Но скорее всего что-то придется поставить внутрь. Вообще, если люди управляют какими-то деньгами, у них есть карточка и они делают покупки, то, ну, выделить какой-то бюджет о том, чтобы немножко подумать о безопасности, можно. Проблема только в том, что мы начинаем об этом думать, когда уже что-то случается. Вот когда случается, мы с удовольствие рассказываем эти истории и говорим, как мы от этого защитились. Но можно сделать и раньше.

А. ПЛЮЩЕВ: Тоже хороший вопрос: «Подскажите, а где-то хранятся сообщения электронной почты, которые пользователь удаляет из своего почтового ящика или они удаляются с сервера навсегда?» По-моему, не должны удаляться с сервера навсегда, потому что… Ну, даже простой бытовой пример. У меня был старый-старый какой-то почтовый ящик, и пару раз… пару раз я его загружал на новые компьютеры. И у меня как вот вся удаленная почта… как мне ох, ссыпалась десятками тысяч сообщений! Уже, вроде бы, ты все удалил и уже не знаешь, где найти, а они: «На тебе, забирай!»

А. БЕЛАНОВСКИЙ: Там же есть корзина, например…

А. ПЛЮЩЕВ: Нет-нет…

А. БЕЛАНОВСКИЙ: Ты же удаляешь? Или ты имеешь в виду, совсем удаляешь?

А. ПЛЮЩЕВ: Вот совсем удаленные, естественно. Ну, мне кажется, все равно на сервере-то они по-любому хранятся. Разве нет?

С. РЫЖИКОВ: Мне кажется, всегда очень важно понять, зачем кому-то хранить эти данные. Если становится понятно, зачем их хранить, тогда, наверно, можем ответить, удалят их или нет. По логике, по удалению – ведь мы же место освобождаем. Мы как бы говорим: «Давайте вы почистите, нам это не нужно». Но последняя тенденция – и, ну, собственно, она уже много лет – что почтовые системы, они служат, по сути, источником материалов о вас, о том, что вас интересует, что бы вы хотели купить, что вам можно предложить в контекстной рекламе. И поисковики… ну, не знаю, не могу утверждать это достоверно, но поговаривают, что, например, Гугл не чистит эту почту, то есть, она важна для него, ну, с точки зрения профайла о вас. Для индексации, переиндексации, формирования нового, там, массива. Вообще при современной стоимости носителей, вообще говорят, что уже нет смысла вообще ничего удалять. То есть, дешевле даже, как бы расходы ниже просто добавлять жесткие диски. То есть, они так мало занимают, эти почтовые сообщения, инструменты, что можно и не удалять.

А. ПЛЮЩЕВ: Ну, мало, не мало, а мне, например, пришлось докупать на Джимейле пространство. Не хватает уже бесплатного…

С. РЫЖИКОВ: И прекрасный источник, показатель – контент, который тебя интересует.

А. ПЛЮЩЕВ: Представляешь… да… нет, это с одной стороны, а с другой стороны, мало того, что я им выдаю громадный массив с помощью этих писем информации о себе, так я еще за это и плачу, вот доплачиваю за то, что, так сказать, они…

С. РЫЖИКОВ: Но это уже после какого-то объема…

А. ПЛЮЩЕВ: Да, это долго, это несколько… ну, сколько? Наверное, Gmail, у нас он в 2004-м, по-моему, вышел, если мне ничего не изменяет, никакая память. Значит, семь лет. Ну, после пяти лет пользования, да, где-то два года я уже плачу.

А. БЕЛАНОВСКИЙ: Сергей, давайте за полминутки попробуем резюмировать как-то основные моменты, советы слушателям по безопасному использованию, в частности интернет-магазинов, ну, и вообще веб-сайтов.

С. РЫЖИКОВ: Ну, все-таки еще раз скажу, что в первую очередь это безопасность вашего компьютера: легальная копия и установленное в автоматическом режиме обновление. Никогда не отказывайтесь от них, ставьте, как только они появляются. Следующий шаг – это, наверно, заказы в известных вам магазинах. Ну, иногда для цены люди выбирают разное. Тем не менее, смотрите на какие-то признаки: на наличие телефонов, на наличие SSL, на приличный внешний вид – хотя, конечно, это не может работать аргументом – и, наверно, на известность компании. Не гонитесь всегда за ценой.

А. ПЛЮЩЕВ: Спасибо большое, программа «Точка» на этом завершена. У нас был Сергей Рыжиков, генеральный директор компании 1С-Битрикс. Спасибо большое, Сергей. Александр Белановский и Александр Плющев. Пока.

А. БЕЛАНОВСКИЙ: Счастливо.

С. РЫЖИКОВ: До свидания.