Какие последствия шпионаж АНБ за Google может иметь для вашего бизнеса
Агентство национальной безопасности (АНБ) США, как выяснилось, перехватывает данные, циркулирующие между дата-центрами Google и Yahoo. Чем это может обернуться для рядовых пользователей и предпринимателей?
Признаться, я не любитель теории заговора. Я убежден, что Освальд (убийца Кеннеди) действовал в одиночку, 11 сентября не является спланированной инсайдерской акцией, а «Титаник» просто натолкнулся на айсберг и затонул. Тем не менее откровение Эдварда Сноудена (Edward Snowden) о том, что АНБ шпионит за Google и Yahoo, меня не особенно удивило – как и многих. Это никогда не был вопрос заговора, это был вопрос времени.
Цель Агентства национальной безопасности – сбор информации, которая может пригодиться Соединенным Штатам. Я не собираюсь обсуждать, можно ли АНБ заниматься такой деятельностью, и предпочитаю сосредоточиться на более актуальном вопросе: чем это может грозить простым пользователям и клиентам Google.
Что происходит?
Сообщение появилось 30 октября в газете The Washington Post. «Согласно сверхсекретной отчетности за 9 января 2013 года, директорат АНБ по сбору данных ежедневно пересылает миллионы записей из внутренних сетей Yahoo и Google в дата-центры штаб-квартиры Агентства в Форт-Мид, Мэриленд. Как сообщается в этом документе, за 30 дней, предшествующих дате отчета, агенты обработали и переслали 181 280 466 новых записей, включая "метаданные", к которым относятся как сведения об отправителях, получателях и датах отправки писем, так и их содержимое – текст, аудио и видео».
Проще говоря, Агентство национальной безопасности перехватывало данные в движении – сетевой трафик – между дата-центрами Google. Это происходило за границей, где АНБ разрешено вести такие операции. Значение этой деятельности еще не осознано во всей его полноте, но между прошлым и будущим Google, похоже, уже проведена четкая черта.
Сама компания Google подвергла действия АНБ критике и заявила: «Мы не предоставляем никаким правительственным организациям в мире, в том числе властям США, доступ к нашим системам».
Агентство национальной безопасности, с другой стороны, выступило в защиту своих действий, заявив: «АНБ ведет любую свою деятельность в соответствии применимыми законами, постановлениями и правилами». Агентство утверждает, что ищет информацию исключительно о «террористах, распространителях оружия и других правомерных объектах разведывательной деятельности», а его цель – перехват «коммуникаций между этими объектами, а не сбор и использование коммуникаций или сервисов, охватывающих информацию, которая не представляет подлинного интереса для разведки».
Независимо от намерений и результатов, те, кто хранит данные – свои или своего бизнеса – на серверах Google, будь то в формате электронной переписки через Gmail, документов в облаке Google Drive или сведений о компании на частном Google-сайте, сейчас наверняка гадают, что предпринять, чтобы защитить свою информацию от попадания в руки третьих лиц или спецслужб.
Что можно сделать?
Прежде всего хочу подчеркнуть, что мои советы касаются индивидуальных пользователей и предпринимателей, занимающихся разрешенной законом деятельностью и озабоченных конфиденциальностью своих данных. На мой взгляд, людям, которые вряд ли могут заинтересовать разведку, особо беспокоиться не о чем, но я понимаю, что у всех свои представления о том, чем именно занимаются спецслужбы и что входит в понятие «правомерные объекты разведывательной деятельности».
Совет мой может показаться диким или легкомысленным, но тем, кто является клиентом Google и передает конфиденциальные данные через их системы, ничего особенного предпринимать не нужно – за одним исключением, о котором пойдет речь ниже. Почему? Потому что ваши данные и так всегда находятся в чужих руках, но вы, надеюсь, и до сих пор прилагали все усилия для их защиты. А значит, вы не отправляете через Gmail письма с информацией, которая в случае утечки может нанести ущерб вашей компании (например, если это объявление о предстоящей покупке бизнеса).
Да, браузер подключается к Gmail по каналу, зашифрованному с помощью показанного выше сертификата, но это защищает только от перехвата трафика между отправителем и серверами Google. А АНБ перехватывало данные при передаче между дата-центрами Google, то есть уже внутри периметра.
Еще одно правило безопасности – не хранить данные на чужих серверах, хорошенько их не зашифровав. Например я пользуюсь утилитой TrueCrypt для создания виртуальных зашифрованных дисков (контейнеров), которые я затем подключаю как съемные накопители со вводом пароля (длиной более 18 символов). Информация, которой я не хочу делиться с миром, хранится онлайн исключительно в таких контейнерах TrueCrypt. Особенно утешительно было это сознавать, когда нынешним летом я потерял в Нью-Йорке смартфон с копиями своих контейнеров TrueCrypt.
При шифровании данных с использованием длинного случайного 256-битного ключа (некоторым кажется, что и 128 битов хватит, но чем длиннее ключ, тем надежнее) практически невозможно подобрать пароль методом «брутфорса» (полного перебора). Такие данные можно совершенно спокойно загружать на Google Drive. Да, подключать и отключать контейнер TrueCrypt всякий раз для редактирования информации утомительно, не говоря уже о повторной синхронизации с Google Drive. Но это плата за надежную защиту конфиденциальных данных.
Что до паролей, то вы, надеюсь, регулярно их меняете. То же можно сказать и про ключи шифрования (да, я выше писал, что угадать длинный ключ невозможно, но скольким вашим бывшим сотрудникам он может быть известен?). Не будем забывать о регулярной защите рабочих станций от вредоносного программного обеспечения, кейлоггеров и прочих угроз. И разумеется, беспроводные сети должны быть закрытыми, а пароли к роутерам – отличаться от заводских. Думаю, ход моей мысли понятен. Угрозы есть всегда – снаружи, внутри – и меры защиты от них одинаковы.
Теперь стоит поговорить об упомянутом в начале исключении – о том, что нужно дополнительно предпринять для защиты в связи со шпионскими скандалами. Не стоит забывать, что шифрование – не панацея. Далеко не все программы для шифрования неуязвимы. АНБ добилось того, чтобы разработчики оставляли в них лазейки, через которые сотрудники агентства могут взламывать шифрование. Поэтому лучше всего пользоваться открытым программным обеспечением – например TrueCrypt. Тем более что эта утилита бесплатна.
Стоит также отметить, что Google в ответ на последние события теперь шифрует трафик, передаваемый между дата-центрами компании, так что перехватить его теперь труднее. Google ясно дает понять, что безопасность пользователей находится для нее в приоритете.
Что будет дальше?
Не думаю, что эта проблема настолько серьезна, чтобы компании начали массово отказываться от сервисов Google. Использование собственных систем и сервисов сопряжено с не меньшими рисками, и никогда нельзя стопроцентно гарантировать, что ваши данные не попадут в чужие руки. Поэтому нужно постараться связать эти руки, чтобы доступ к данным получить было невозможно, независимо от того, где они хранятся.
В конечном счете, особенно на фоне борьбы Google с АНБ, этот эпизод может пройти для вас вообще незамеченным – главное придерживаться разумной и безопасной практики.
