Пусть история об утечке из Wipro и сопутствующей афере и была из ряда вон выходящей, она подсветила гораздо более тревожный вопрос – вопрос о безопасности глобальной отрасли персональных данных. По мере снижения доходности бизнеса, основанного на данных, растет стремление к сокращению издержек, в связи с чем многие привлекают подрядчиков к хранению и обработке данных и обслуживанию клиентов.
Как сообщается, аутсорсинг бизнес-процессов в одной только Индии приносит почти сто пятьдесят миллиардов долларов дохода, и конкурируют в нем такие гиганты, как TCS, Infosys и Wipro[190]. Чтобы система работала, персональные данные британских клиентов часто необходимо маршрутизировать (хотя и виртуально) в зарубежные кол-центры, а инциденты вроде утечки из Wipro заставляют всерьез задуматься о том, насколько безопасна эта процедура.
Один из моих информантов сказал, что в прошлом долгое время работал в Wipro. Он был поражен, что такая утечка вообще оказалась возможной. По его словам, компания одержима защитой данных. Он предположил, что операцию по краже и передаче данных пришлось долго и тщательно планировать. И все же тот факт, что утечка случилась в компании такого размера, подталкивает к выводу, что перед лицом достаточно решительно настроенного противника уязвимы все. И причина заключается в том, что продать можно даже мельчайший фрагмент данных.
В истории TalkTalk удивляет то, как много банда заработала, располагая при этом минимумом инструментов. В некоторых случаях у преступников были лишь имя жертвы, ее номер телефона и номер счета. На флешке размером с ноготь могут храниться миллионы таких записей. И все же хакерская алхимия позволяет превратить эти крохи информации в прибыльную аферу, участники которой содержат сразу несколько кол-центров. Персональные данные высокодоходны и востребованы, а защитить их сложно.
Разумеется, одно дело – иметь доступ к украденной информации, но совсем другое – ее сбывать. Жуликам из Индии, которые украли данные клиентов TalkTalk, повезло, что в том же городе орудовала целая банда преступников, готовых купить эти данные и найти им применение. Но что, если в ваших краях нет таких подлецов или, что более вероятно, если вы никого из них не знаете? Многие из нас по работе имеют доступ к конфиденциальной информации, которая, вероятно, может быть кому-то полезна. Насколько просто слить ее и получить за это деньги?
Правда в том, что благодаря интернету в этом нет ничего сложного.
На первый взгляд сайт Intel Cutout ничем не отличался от обычного онлайн-форума. На нем было несколько разделов по интересам и велось здоровое количество обсуждений между несколькими тысячами пользователей. Отличались лишь темы: Intel Cutout был пристанищем хакеров, разоблачителей и торговцев данными всех мастей. Однажды один из пользователей разместил на сайте базу данных, в которой предположительно перечислялись домашние адреса, адреса электронной почты и личные телефонные номера руководителей Facebook, включая Марка Цукерберга.
Часто информация была доступна бесплатно, и пользователи сайта просто направляли людей в нужном направлении, предоставляя им ссылку на скачивание базы. Но при этом на форуме встречались и предложения о продаже добытых инсайдерами корпоративных данных вроде тех, что принесли огромные прибыли индийской мошеннической банде, грабившей клиентов TalkTalk.
В 2018 году компания Digital Shadows, работающая в сфере технологической безопасности, обнаружила на Intel Cutout пост пользователя cys, озаглавленный «Продажа инсайдерского доступа к предприятию». В нем было несколько ссылок, которые, как говорилось в посте, подтвердят, что товар действительно в наличии. «Это ипотечная компания», – отметил автор поста. Сотрудники Digital Shadows не смогли проверить подлинность этого заявления, но оно стало одним из нескольких, размещенных на разных сайтах, продающих инсайдерский доступ ко всему, от банков до фармацевтических компаний[191].
Первый Intel Cutout закрылся после столкновения с полицией, которая обнаружила изъян в коде сайта. Но теперь он вернулся под названием Intel Cutout Reloaded, и его владелец (который владел и прошлой версией) побеседовал со мной на условиях анонимности в зашифрованном чате. «Он похож на гидру, – написал он. – Нас атакуют, а мы возрождаемся. Я хотел бы, чтобы [Intel Cutout Reloaded] стал лучше, чем когда-либо».
Я спросил его о продаже корпоративных данных, включая конфиденциальную клиентскую информацию. Он ответил, что данные, которые выставляются на продажу, и так находятся в свободном доступе, а его сайт просто показывает людям, где их искать. Он назвал и моральное оправдание для работы сайта: «Разоблачение государственной коррупции. Нам это очень важно. Люди заслуживают знать, что у них за спиной делают их лидеры. Хотя они могут и сами найти нужную информацию, с нами это гораздо проще».
Сложно было проверить это заявление. Когда я зашел в раздел «Правительственные утечки», он оказался наводнен постами с рекламой рекреационных наркотиков. Среди них затесалось одно (с большой вероятностью фальшивое) объявление от киллера, который предлагал свои услуги по цене от десяти тысяч долларов.
Кроме того, владелец Intel Cutout Reloaded сказал, что даже при продаже персональных данных ни он, ни другие администраторы сайта не получают денег. «Мы некоммерческая организация, – написал он. – Люди могут продавать друг другу что хотят – мы с этого ничего не имеем. Деньги исказили бы наши ценности».
Услышав столь неожиданное заявление от человека, который управляет нелегальным сайтом по торговле данными, я отметил: «Думаю, многих людей приведут в замешательство ваши слова об искажении ценностей – вы ведь, в конце концов, содействуете обмену украденной информацией».
«Наши ценности – свобода слова», – ответил он. Он заявил, что публикация украденных данных неизбежна. «Если у кого-то есть доступ к таким данным, значит, их источник уже скомпрометирован и они в любом случае станут общедоступными».
Возможно, владельцы Intel Cutout Reloaded и не зарабатывают на своем сайте, но некоторые из его пользователей точно на нем обогащаются. Причина этого в том, что в некотором отношении динамика Intel Cutout Reloaded весьма напоминает динамику одного из первых в мире предприятий электронной коммерции – интернет-аукциона eBay.
До появления онлайн-аукционов вроде eBay способность человека продавать товары во многих случаях зависела от его способности находить для этих товаров реальный рынок. eBay стал легкодоступной всемирной торговой площадкой для всего – даже для вещей, которые раньше, возможно, считались ничего не стоящими. У вас вдруг появилась возможность обменять на деньги четыре колпака для Nissan Micra, которые сто лет валяются у вас в гараже. Деньги, конечно, небольшие, но хоть какие-то. На продажу теперь можно выставить почти что угодно – и что угодно обретает ценность.
Подобным образом персональные данные, которые раньше, вероятно, ничего не стоили, теперь обретают ценность и без труда продаются через такие сайты, как Intel Cutout. Взять, к примеру, список паролей. В отсутствие какой-либо дополнительной информации он может показаться совершенно никчемным. Но это не так. Если его упорядочить, он позволит потенциальному хакеру понять, какие пароли наиболее распространены. При попытке взлома чужой учетной записи хакер сможет начать с самого типичного пароля и двигаться по списку дальше.
Однако то, что продается наIntel Cutout и других подобных сайтах, отличается от того, что продается на eBay, одним, но очень важным свойством: хакеры продают данные, а не материальные объекты. В результате большинству из нас сложно понять, как их оценивать. До недавнего времени наши представления о ценности сырья во многом определялись его редкостью. В засуху зерно ценится больше. Когда производители ограничивают предложение нефтепродуктов, растет цена на нефть. Дороговизна золота объясняется его малыми запасами и сложностью добычи на приисках.
С данными дело обстоит иначе. Начнем с того, что данные не конечны: они постоянно создаются в почти неограниченных количествах. Следовательно, в соответствии с традиционной «моделью редкости» их ценность должна снижаться по мере увеличения их объема. Но странность данных в том, что ценность каждого их фрагмента возрастает, когда он оказывается связанным с каким-нибудь другим. Чем больше данных создается, тем выше оказывается их стоимость.
Проведем простой теоретический эксперимент. Допустим, я хочу основать социальную сеть. На сайте своей сети я собираюсь продавать рекламу – скажем, по десять фунтов за объявление, – но рекламодатели готовы платить мне только при условии, что их реклама интересна хотя бы двум людям с сайта. Я приглашаю на сайт двух своих лучших друзей. Один из них любит сыр, а другой – мотоциклы. Этого недостаточно, чтобы заинтересовать рекламодателей. Но оказывается, что оба моих друга любят джаз. Получается, что я могу продать рекламу звукозаписывающей студии, которая специализируется на джазе, и получить за это десять фунтов.
Далее мои друзья приводят на сайт еще двух человек. Оказывается, один из новичков любит сыр, другой – мотоциклы, и оба любят броги. Теперь я могу разместить у себя рекламу сыроварни, производителя мотоциклов и обувного магазина, а также звукозаписывающей студии. Это сорок фунтов. Я удвоил число пользователей, но, сложив связанные с ними фрагменты информации, получил в четыре раза больше денег.
Это называется сетевым эффектом. Фрагменты данных и взаимосвязи между ними лежат в основе формирующейся сегодня информационной экономики. Если не вдаваться в детали, это значит, что ценность предприятий, которые занимаются р