Kaspersky Security Bulletin

Прогнозы в сфере конфиденциальности на 2024 год

Год назад мы попытались спрогнозировать тенденции на 2023 год. Как мы и ожидали, цифровые удостоверения личности все больше заменяют бумажные документы. Например, в Калифорнии расширили охват пилотного проекта по внедрению цифровых водительских прав, а новые законы России разрешают покупку алкоголя и табака по биометрическим данным. Окончательное согласование Европейской комиссией законопроекта о цифровом удостоверении личности гражданина Европейского союза (European Digital Identity Wallet) указывает на то, что тенденция будет и дальше усиливаться. Австралия также представила свою национальную стратегию защиты цифровых идентификационных данных, которая будет повсеместно внедрена в 2024 году.

Мы предполагали, что организации будут пытаться снизить влияние человеческого фактора на безопасность данных, чтобы сократить число инсайдерских угроз и атак с применением методов социальной инженерии. В 2023 году проблема человеческого фактора усугубилась в связи с повсеместным использованием чат-ботов в рабочих целях, которое может привести к непреднамеренному раскрытию конфиденциальных данных сотрудниками. Примечательно, что такие крупные компании, как Amazon, Apple и Spotify, ограничивают использование подобных инструментов для предотвращения утечек данных.

Мы полагали, что в центре дебатов о конфиденциальности окажутся метавселенные, однако их оттеснили инструменты на основе генеративного ИИ. Тем не менее Европейская комиссия представила новую стратегию по виртуальным мирам, признав их влияние на жизнь граждан ЕС потенциально значимым. Несмотря на отсутствие конкретных предложений по регулированию метавселенных, уже возникли практические кейсы. К примеру, британская полиция расследует дело о виртуальном изнасиловании. Интересно, что метавселенные приживаются в социальной и политической сферах, примером чему может служить первый судебный процесс в метавселенной, проведенный судом Колумбии.

В 2023 году мы не наблюдали всплесков спроса на страхование конфиденциальности со стороны физических лиц. Однако страховщики часто включают риски утечки данных в полисы личного киберстрахования. По данным Statista, ожидается значительный рост этого рынка к 2025 году. Хотя наше предсказание на 2023 год не сбылось, мы наблюдаем рост проблем конфиденциальности и предполагаем, что это долгосрочная тенденция, которая проявит себя в ближайшие годы.

То же самое можно сказать и о нашем прогнозе относительно диверсификации рынка веб-трекеров. В 2023 году существенных изменений в распределении трекеров мы не наблюдали. Но поскольку интернет продолжает сегментироваться и некоторые ресурсы оказываются под запретом в определенных странах, можно предположить, что в ближайшем будущем ситуация с трекерами изменится.

Таким образом, некоторые из наших прогнозов, вероятно, сбудутся в долгосрочной перспективе. Кроме того, прошлый год обрисовал несколько важных тенденций, которые, вероятно, повлияют на сферу конфиденциальности в 2024 году. Ниже мы сделаем несколько прогнозов касательно ключевых событий, которые, на наш взгляд, произойдут в сфере защиты данных в интернете в 2024 году.

  • Расширение понятия «конфиденциальные данные»

    В контексте кибератак под конфиденциальными данными прежде всего понимают личную и идентифицируемую информацию. При этом часто из этого понятия исключают фотографии, видео и голосовые данные. В 2024 году такой подход можно будет считать устаревшим. Мошенники все чаще пользуются биометрическими данными, создавая дипфейки с имитацией лица и голоса жертв, что подчеркивает необходимость усиления мер по защите аудиовизуальной информации. Учитывая меняющийся ландшафт угроз, Европейский союз активно работает над созданием законодательной базы, регулирующей технологии обработки изображений лиц с целью усиления защиты данных.

  • Носимые устройства с ИИ могут дать толчок новым дискуссиям о конфиденциальности

    Большинство людей смирились с неизбежным присутствием в их жизни устройств, которые могут за ними следить: портативных, таких как смартфоны, и стационарных, например умных колонок в их домах. Однако носимые устройства наподобие умных очков с камерами вызывают настороженность. Так, умные очки спровоцировали горячую дискуссию о возможной угрозе неприкосновенности частной жизни. Это, среди прочего, привело к запрету подобных устройств в некоторых заведениях. Технологии искусственного интеллекта стремительно развиваются, и некоторые компании, включая Rabbit и Humane, активно интегрируют их в носимые устройства. При этом такой гаджет, как ИИ-брошь, — это камера, постоянно направленная на ваших собеседников, и микрофон, который может постоянно ожидать ваших команд. Хотя по своей сути они не сильно отличаются от смартфонов, постоянное нахождение под прицелом камеры может настораживать окружающих, особенно тех, кто беспокоится о своей конфиденциальности — если, разумеется, такие устройства станут популярными.

  • Развитие AR и VR приведет к появлению новых стандартов конфиденциальности в 2024 году

    Выпуская на рынок очередную новинку, компания Apple обычно привлекает внимание общественности как к своей разработке, так и к ее аналогам. В ходе интенсивных дискуссий часто поднимается тема конфиденциальности, особенно если речь идет об относительно новых технологиях, которые еще недостаточно регулируются законодательством. С появлением Apple Vision Pro и расширением интеграции дополненной (AR) и виртуальной (VR) реальности в повседневную жизнь, связанные с ними вопросы конфиденциальности, вероятно, станут более насущными. В ответ на это правительства и регулирующие органы могут предложить новые или усовершенствовать существующие правила защиты конфиденциальности для устройств AR и VR. Учитывая иммерсивный характер этих технологий, законодатели могут сосредоточиться на защите данных пользователей, безопасном обмене информацией и устранении потенциальных рисков, таких как несанкционированный доступ к данным или их неправомерное использование. Также в центре внимания могут оказаться вопросы прозрачности и юридической ответственности в экосистеме AR-VR.

  • Утечка паролей будет вызывать меньше беспокойства (если пароли вообще не уйдут в прошлое)

    Создается впечатление, что все возможные пароли в мире уже давно раскрыты. По данным сайта Have I Been Pwned, в результате известных утечек было скомпрометировано более полумиллиарда уникальных паролей. Утекшие пароли могут храниться в разных формах: как в виде обычного текста на плохо написанных сайтах, так и в виде надежных хэш-сумм с «солью». В худшем случае злоумышленникам удается восстановить утекшие пароли в исходном виде (например, при неправильном хешировании) и получить с их помощью доступ к другим учетным записям жертв. Этот вид атаки называется «подстановкой учетных данных», или credential stuffing, и он может иметь серьезные последствия. К примеру, недавний случай утечки генетических данных стал возможным именно благодаря этому приему.

    Однако мы полагаем, что со временем утечки паролей перестанут иметь такое большое значение. Во-первых, все больше сервисов поддерживает двухфакторную аутентификацию, когда вход в систему дополнительно подтверждается кодом, полученным в SMS или сгенерированным в специальном приложении-аутентификаторе, например Kaspersky Password Manager. Вторая причина заключается в том, что пароли в целом будут все реже использоваться в качестве механизма аутентификации. Некоторые сервисы, в первую очередь Google, уже поддерживают беспарольную аутентификацию на основе ключей доступа. Другие сервисы отказываются от паролей в пользу биометрической аутентификации. А если учесть стабильную популярность единой авторизации (Single Sign-On), такой как «Вход с Apple», можно заключить, что эти факторы приведут к снижению как масштабов, так и значимости утечек паролей.

  • Повышение уровня конфиденциальности с появлением ботов-ассистентов

    С проникновением в разные отрасли ботов-ассистентов, использующих технологию обработки естественного языка (NLP), появилась заманчивая идея поставить эти технологии на защиту конфиденциальности пользователей. Представьте себе будущее, в котором боты-ассистенты играют ключевую роль в защите персональных данных, особенно во время телефонных звонков.

    Cложный бот-ассистент может эффективно обрабатывать звонки, обеспечивая защиту конфиденциальной информации, включая голос пользователя. Такая превентивная мера поможет сдержать натиск потенциальных мошенников, записывающих разговоры в злонамеренных целях, в том числе для создания дипфейков, которые уже вызывают тревогу своей реалистичностью. Уже существуют боты, выступающие посредниками между звонящим и пользователем. Большие языковые модели (LLM) могут дать толчок развитию этих технологий и способствовать выходу на рынок более совершенных решений.

    Ожидая прогресса в этой области, мы предполагаем, что в скором времени такие продвинутые боты будут интегрированы в системы связи. Этот эволюционный процесс не только приведет к улучшению конфиденциальности пользователей, но также подчеркнет превентивный подход к адаптации технологий для отражения новых цифровых угроз. С другой стороны, сложные боты-ассистенты могут иметь свои уязвимости, которые позволят спамерам и мошенникам обманывать их и выведывать у них конфиденциальную информацию или заставлять подтверждать ненужные покупки.

Прогнозы в сфере конфиденциальности на 2024 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике