Kaspersky Security Bulletin

Прогнозы в сфере конфиденциальности на 2023 год

В прошлогоднем прогнозе мы рассмотрели несколько важных тенденций в области конфиденциальности на стыке интересов государства и бизнеса и предположили, что регуляторы будут уделять больше внимания вопросам защиты приватности. Так и вышло: регулирующие органы во всем мире взялись за дело. Например, Федеральная торговая комиссия США (FTC) потребовала открытого обсуждения «распространенных практик отслеживания и защиты данных, которые могут причинить вред потребителям» для внесения поправок в законодательство. В Европейском Союзе разрабатывается Закон о защите данных, который призван усилить защиту конфиденциальной информации, и комплексная стратегия использования ИИ, которая может ограничить сферу применения технологий машинного обучения, нарушающих неприкосновенность частной жизни, а также повысить прозрачность операций с данными и ответственность за их осуществление.

С другой стороны, все мы помним об отмене решения по делу Роу против Уэйда и захлестнувших США спорах по поводу данных о состоянии женского репродуктивного здоровья, а также о юридическом преследовании компаний, продающих коммерческие данные и сервисы распознавания лиц правоохранительным органам. Это наглядный пример того, как доступ к личной информации влияет на отношения между гражданами и государством.

Мы считаем, что геополитические и экономические события 2022 года, а также новые технологические тренды станут основными действующими факторами, которые будут формировать ландшафт конфиденциальности в 2023 году. В этом прогнозе мы рассматриваем самые важные разработки, которые, на наш взгляд, повлияют на защиту данных в интернете в 2023 году.

  1. Балканизация интернета приведет к созданию многочисленных (локальных) рынков решений для отслеживания активности и к усилению контроля при трансграничной передаче данных.

    Не секрет, что большинство веб-страниц собирают данные об активности пользователя с помощью трекеров, которые мы не замечаем. После агрегации эти данные используются преимущественно для размещения таргетированной рекламы. Многие компании на рынке занимаются поведенческой рекламой, однако бесспорными лидерами среди них остаются Meta*, Amazon и Google. Все эти компании – американские, в связи с чем многие другие регионы начинают с недоверием относиться к передаче данных иностранным организациям. Причиной могут быть различия правовых систем: например, в июле 2022 года несколько европейских регуляторов заявили о том, что Google Analytics нарушает требования GDPR.

    Кроме того, тот факт, что коммерческие сведения используются правоохранительными органами (и, возможно, службами разведки), заставляет государства осторожно относиться к предприятиям, использующим большие данные. В некоторых странах, например в Турции, локализация данных жестко регламентируется на законодательном уровне.

    В связи с этим мы ожидаем, что рынок данных станет более разнородным и фрагментированным. Будет появляться все больше местных компаний, предлагающих сервисы по сбору данных на веб-сайтах (особенно на сайтах государственных и образовательных учреждений) и отслеживания активности мобильных приложений. В некоторых странах, например во Франции, России и Южной Корее, уже есть развитая экосистема решений для сбора данных в интернете, в которой участвуют сильные игроки. Другие страны могут последовать этому примеру, предоставив доступ к данным только местным компаниям.

    Это может сказаться и на конфиденциальности данных. Несмотря на то что крупные предприятия выделяют куда больший бюджет на безопасность, чем маленькие организации, даже они не застрахованы от утечек данных. Возможно, маленькие компании не очень интересны злоумышленникам, но и надзорные органы, к сожалению, часто смотрят на них сквозь пальцы.

  2. Смартфоны будут все чаще использоваться вместо бумажных документов.

    Многие из нас уже привыкли оплачивать товары и услуги смартфонами и другими смарт-устройствами через NFC (например, Apple Pay, Samsung Pay) или с помощью QR-кода (например, Swish в Швеции, SBPay в России, WeChat в Китае). Мы не исключаем, что эти технологии могут полностью вытеснить классические дебетовые и кредитные карты, особенно в тех сферах, где безналичные платежи преобладают уже сейчас. Во время пандемии COVID-19 мы использовали смартфоны, чтобы подтвердить прохождение вакцинации или факт перенесенного заболевания. Во многих странах были разработаны специальные приложения или использовались QR-коды, которые вакцинированные граждане предъявляли при посещении общественных мест.

    Но можно пойти еще дальше и использовать смартфоны для удостоверения личности. Электронная версия удостоверения личности, паспорта или водительских прав — это удобная альтернатива их пластиковым и бумажным аналогам. Некоторые штаты США уже внедрили или планируют внедрить цифровые удостоверения личности и водительские права в Apple Wallet.

    Хранить личные документы на смартфоне — это, конечно, удобно, но здесь есть свои риски. С одной стороны, тщательно продуманная система позволит, например, подтвердить свой возраст при покупке алкоголя — и вам не придется демонстрировать кассиру документ со всеми персональными данными. С помощью цифрового удостоверения личности вы сможете быстрее подтвердить свою личность в онлайн-банке и оставить заявку на кредит через смартфон.

    С другой стороны, хранить все персональные данные в смартфоне небезопасно — в случае его потери или кражи вы лишитесь и своих документов. Поэтому для защиты мобильных устройств и конфиденциальности сохраненных на них данных требуются надежные технологии.

  3. Компании будут нивелировать человеческий фактор в обеспечении кибербезопасности, чтобы сократить число инсайдерских угроз и атак с применением методов социальной инженерии, а также защитить пользовательские данные.

    Несмотря на то что компании активно укрепляют безопасность своих цифровых ресурсов, переходя от защиты рабочих мест к расширенному обнаружению и реагированию и даже проактивному поиску угроз, самым слабым звеном корпоративной киберобороны по-прежнему остаются люди. По имеющимся оценкам, 91% кибератак начинается с фишингового письма. Также методы фишинга использовались в 32% успешных случаев компрометации данных. Кроме того, большой риск представляют недовольные сотрудники и те, кто устроился в компанию с преступной целью. ФБР уже предупреждало о том, что соискатели, которых заинтересовала удаленная работа, могут использовать дипфейки, чтобы сбить работодателя с толку. Возможно, эти люди просто хотят получить доступ к корпоративным IT-системам.

    Мы ожидаем, что число утечек данных из-за неправильной конфигурации хранилищ S3 или экземпляров Elasticsearch сократится, а число утечек, связанных с человеческим фактором, наоборот, возрастет. Для того чтобы справиться с этими угрозами, компаниям стоит приобрести решения, предотвращающие утечку данных, а также повышать осведомленность сотрудников в области кибербезопасности.

  4. Все больше вопросов будет вызывать конфиденциальность в метавселенной. Но, с другой стороны, разве наш мир смартфонов и IoT-устройств — не метавселенная?

    Пока скептики и энтузиасты спорят, действительно ли метавселенная открывает новую эпоху или это всего лишь очередная причуда, технологические компании и создатели контента продолжают развивать инновационные технологии. Компания Meta* недавно анонсировала гарнитуру Meta Quest Pro, а в 2023 году, по слухам, появятся очки виртуальной реальности Apple. Однако многих волнует вопрос конфиденциальности в метавселенной. Даже смартфоны с их бесчисленными датчиками, от акселерометров до камер, которые, как нам кажется, вторгаются в нашу частную жизнь, не идут ни в какое сравнение с устройствами виртуальной реальности. Например, одна из новейших моделей VR-очков оснащена четырьмя фронтальными камерами, тремя камерами на каждом контроллере и несколькими камерами для отслеживания движений глаз и мимики. То есть при самом катастрофическом раскладе такие устройства будут получать не только всю информацию о вашей активности в метавселенной, но также смогут распознавать ваши эмоции от просмотра рекламы и формировать ваш профиль на основе данных о том, что есть у вас дома, — начиная с любимых цветов в интерьере и заканчивая количеством детей и домашних животных.

    Звучит пугающе, именно поэтому Meta* посвятила этим вопросам отдельный пост в своем блоге. Но на самом деле все не так страшно. Для того чтобы узнать о вас все, достаточно проанализировать ваши безналичные операции и активность смартфона в течение дня. Мы живем в умных городах с повсеместным видеонаблюдением, ездим на автомобилях с несколькими камерами, пользуемся устройствами умного дома, которых появляется все больше, и цифровыми сервисами, которые становятся все популярнее. В этой реальности неприкосновенность личной жизни становится пережитком прошлого, по крайней мере, в городах. И пока мы думаем о том, как перенести реальную жизнь в интернет, интернет все больше проникает в физический мир.

  5. Люди будут страховать данные на случай утечки.

    Эксперты по защите приватности всегда готовы дать совет, как защитить учетные записи и уменьшить цифровой след. Но, хотите вы того или нет, комфортная жизнь оставляет все меньше места для конфиденциальности: заказывая такси или доставку продуктов, вы оставляете в интернете данные, как минимум, о своем местонахождении. Вы уже не можете контролировать данные, отправленные с вашего устройства, — теперь обеспечивать их безопасность должна служба доставки или такси. Как мы знаем, неправильная настройка приложений играет на руку злоумышленникам и инсайдерам, которые продают украденные данные в даркнете или даже публикуют их на общедоступных платформах.

    Руководители знают, что утечка данных может испортить репутацию компании, привлечь пристальное внимание надзорных органов и даже повлечь существенные штрафы, поэтому они принимают все меры для защиты данных. В некоторых странах, например в США, граждане подают коллективные иски с требованием возмещения вреда, причиненного утечкой данных. Однако люди становятся все более грамотными в вопросах приватности и скоро смогут сами принимать меры для защиты своих данных. Например, их можно застраховать на случай утечки. Уже есть сервисы, которые помогают возместить потери в случае кражи цифровой личности, и мы ожидаем, что список страховых услуг скоро расширится.

Мы рассмотрели несколько факторов, которые, как нам кажется, существенно повлияют на перераспределение потоков данных между странами, компаниями и отдельными лицами, а также на их безопасность. А поскольку цифровые технологии все глубже проникают в нашу жизнь, в будущем нас ждут куда более интересные тенденции.


* Корпорация Meta признана в России экстремистской организацией

Прогнозы в сфере конфиденциальности на 2023 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике