Стремительное развитие технологий позволяет решить многие задачи проще и быстрее. Буквально не сходя с места и используя только лишь смартфон, можно управлять своими финансами, участвовать в биржевых торгах, брать и погашать кредиты, оплачивать счета и налоги, не говоря уже о таких заурядных действиях, как онлайн заказы практически любых товаров и услуг. Однако совершая какие-либо действия онлайн, мы неизбежно оставляем свой «след» в киберпространстве.
Мало кто задумывается о том, как много личной информации находится в Сети: имя, дата рождения, номер телефона, электронная почта, домашний адрес, номер страхового полиса, ИНН, сведения о работе, учебе, правонарушениях, кредитная история и многое другое! Интернет-провайдеры хранят историю наших браузеров, на серверах находятся электронные письма, SMS и мгновенные сообщения. Личный смартфон передает данные о местоположении пользователя, и даже «умные» часы собирают и могут передавать информацию о здоровье и физической подготовке своего владельца.
Если подобная информация попадет в руки к злоумышленникам, это может иметь самые печальные последствия. Например, мошенники, завладев виртуальной личностью, могут украсть средства со счетов, рассылать фишинговые письма, получить доступ к конфиденциальной почтовой переписке, не предназначенной для посторонних глаз. Даже история покупок имеет свою ценность — ее можно продать рекламодателям.
Для владельцев бизнеса утечка корпоративной информации может иметь куда более масштабные последствия. Мошенники могут завладеть всеми личными данными сотрудников, корпоративной перепиской и документами, содержащими в себе коммерческую тайну, а если в компании имеются какие-то уникальные разработки или патенты — все это может оказаться в распоряжении третьих лиц.
Отдельно стоит выделить случаи, когда пользователи загружают фотографии документов на сайты для получения дистанционных услуг взамен очного посещения офиса компании. Данные из этих документов необходимо внести в систему, чтобы пользователь удобно и быстро получил нужную ему услугу. Для этого обычно используются ИТ-решения, которые занимаются распознаванием документов. И если удобство таких разработок кажется очевидным, то в том, что касается безопасности их использования, все не так однозначно. В основе таких программных продуктов лежат разные принципы работы, что напрямую влияет на обеспечение безопасности как для самих клиентов, так и для использующих такие решения компаний.
В банковской сфере сегодня широкое распространение получили программные продукты по распознаванию документов, в основе которых лежат автономные разработки на базе ИИ, которые работают в контуре заказчика и не создают рисков утечки из-за передачи изображений во вне. Бизнес, применяющий такой продукт, сможет внедрить технологию распознавания паспортов и других документов, полученных от пользователя через Интернет, что позитивно скажется на развитии онлайн-каналов продаж. При этом не будет создаваться дополнительных рисков в части безопасности пользовательских данных.
К другому классу решений нужно отнести сервисы распознавания, в которых ведется передача изображений с данными из контура компании на сторонние серверы или платформы, где ввод данных выполняют третьи лица. В этом случае компания, применяющая такой сервис, создает дополнительное звено уязвимости в части обеспечения безопасности данных и не контролирует весь процесс их обработки. На практике ни сами сервисы, ни так называемые третьи стороны, не несут никакой ответственности за утечку данных и даже не предпринимают каких-либо видимых действий для защиты данных своих клиентов.
По сути, работая с такими сервисами на свой страх и риск, компании передают конфиденциальную информацию третьим сторонам (облачным сервисам). И в случае похищения данных — неизбежно понесут репутационные и финансовые риски. А для государственных организаций эти последствия могут быть куда более печальными. Любой облачный сервис имеет физическое расположение своих серверов, но где находятся эти серверы, и кто те люди, которые занимаются их обслуживанием, что ими движет и способны ли они умышленно спровоцировать утечку данных — не известно. А в свете сегодняшних реалий этот вопрос становится как никогда актуальным.
Для того, чтобы избежать утечки информации, эксперты советуют доверять обработку клиентских данных и деловых документов только программным решениям, которые не передают информацию на обработку в сторонние сервисы, не хранят ее и даже не требуют сетевого соединения, а все операции проводят на устройстве пользователя или внутри информационной системы самой компании. Такой подход будет правильным не только в плане обеспечения безопасности данных, но и с юридической точки зрения.
По словам руководителя практики «Правовые режимы информации» юридической фирмы Intellect Михаила Хохолкова, если в компании установлен режим коммерческой тайны, то привлечение третьих лиц для формирования электронного документооборота недопустимо, поскольку это нарушает принципы конфиденциальности. В случае спора такая компания лишится права ссылаться на нарушение ее прав третьими лицами и всю ответственность перед контрагентами примет на себя. Если на распознавание в сервис передан договор, содержащий условия о конфиденциальности, то передающая сторона может быть привлечена к гражданско-правовой, административной или даже уголовной ответственности. Таким образом, легальным и безопасным решением может быть распознавание документов только внутри информационного контура организации.