Защита личных данных и их конфиденциальность беспокоит и компании, и обычных людей. В начале 2021 года у сторонников защиты личных данных появился новый повод для разговоров. Причиной послужило январское заявление WhatsApp, оно гласило: после обновления приложения, личные данные всех пользователей будут передаваться компании Facebook. СМИ писали о проблемах с приватностью, об отсутствии шифрования, люди переходили в другие мессенджеры, которые якобы обеспечивают лучший уровень приватности. 

Многие люди осознают, что в интернете их личные данные  находятся под угрозой. И при этом не до конца понимают, что представляет собой шифрование, как оно работает, какую роль оно играет для защиты персональных данных, для приватности, к которой все стремятся. 

Без паники, сегодня мы разберемся в каждом из этих вопросов и попытаемся пролить свет на, с виду, сложный мир шифрования. 

Начнем с азов

Шифрование – это метод защиты данных, который переводит информацию (так называемый "открытый текст") в зашифрованный вид ("шифротекст"). Такой шифротекст практически невозможно взломать без "ключа". Например, при помощи шифрования компании-разработчики продуктов защищают пароли своих пользователей. В мессенджерах сквозное шифрование позволяет скрыть содержимое чатов для всех, за исключением получателя, которому сообщение и было предназначено. 

В чем разница между обычным шифрованием и сквозным 

Обычное шифрование информации часто встречается в интернете. В то время как простые пользователи не могут влиять на трафик сайтов или получать подробную информацию о нем. Такие интернет-гиганты, как Amazon и Google, получают огромные объемы данных прямиком от своих пользователей. Эти данные могут просматриваться и анализироваться внутри компании, благодаря им ИТ-гиганты узнают инсайты о поведении людей и об их предпочтениях – например, об их корзинах, покупках и вишлистах. Несложно представить, насколько ценными и привлекательными такие данные становятся для брендов. 

Часть личной информации необходима для корректной работы сайта, например, чтобы привязать данные о размере и цвете рубашки к корзине конкретного покупателя в интернет-магазине. Обычно такая информация шифруется, чтобы данные, которые собирает сайт, не стали доступны посторонним. 

Но шифрование в мессенджерах работает совсем иначе. Эти приложения не спешат делиться личной информацией своих пользователей. Наоборот, их задача – предоставить платформу для приватного общения между двумя и более людьми. Если вы пользуетесь мессенджерами, то почти наверняка слышали о "сквозном шифровании" – где-то в приложении или когда соглашались с условиями предоставления услуг. Сквозное шифрование говорит о том, что даже у компании-разработчика платформы нет доступа к содержимому ваших сообщений. 

Очевидно, что если человек выбирает для себя мессенджер со сквозным шифрованием, он не хочет, чтобы его данные передавались дальше. Особенно, если он уверен, что его переписка совершенно конфиденциальна. Мессенджеры по определению должны давать людям ощущение приватности, однако в последнее время этим все чаще пренебрегают. 

Без сквозного шифрования мессенджеры могут получать, считывать и сохранять содержимое сообщения еще до того, как доставят его получателю. Теоретически, такое приложение имеет доступ ко всей переписке и разговорам человека. Эта информация может быть использована в различных целях: например, для настройки таргетированной рекламы. Сквозное же шифрование гарантирует, что ни у кого, кроме отправителя и получателя, нет доступа к содержимому переписки. 

Итак, в каких случаях сайтам действительно необходима информация о вас 

Есть много причин, по которым социальная сеть или веб-сайт хочет обладать информацией о своих пользователях. Например, рекламодатели используют агрегированные пользовательские данные, чтобы создавать персонализированную рекламу, которая будет релевантна и сработает для конкретного потребителя. 

Социальные сети должны видеть, какую информацию люди публикуют на их площадках. Контент, которым делятся пользователи, хранится на серверах Facebook, Twitter и Instagram, ведь каждый из этих сайтов должен сперва проанализировать пост, чтобы затем показать его конкретным людям в их ленте. 

Мессенджерам тоже необходимо хранить и передавать некоторые данные их пользователей. У них должна быть возможность расшифровывать информацию от людей, чтобы выполнять поставленные перед ними задачи – отправлять и получать сообщения. Для метаданных сообщения мессенджеры будут использовать стандартное шифрование. Метаданные – это не сама переписка, а информация об отправителе или получателе, типе уведомления (например, фото, видео, файл) и т.д. Сами файлы и текст сообщений, которые люди отправляют друг другу, зашифрованы, и мессенджер не может их прочесть или распознать. 

Кому передаются эти данные и у кого есть к ним доступ? 

Скорее всего, никто не будет читать все ваши сообщения или прослушивать все звонки. В большинстве случаев личная переписка и разговоры не представляют особой ценности. Большинство компаний не используют личные данные пользователей со злым умыслом. 

Однако кибератаки происходят каждый день. Если приложение, которое хранит много информации о своих пользователях, взломают, личные данные могут утечь и быть использованы с разными целями. Несколько историй громких утечек, случившихся за последние годы – яркий тому пример. Фитнес-приложение MyFitnessPal, принадлежащее UnderArmour, стало одним из сайтов-жертв массивной кибератаки. В результате этой кибератаки на Dream Market выставили на продажу 617 миллионов учетных записей. В MyFitnessPal признали, что произошла атака, и посоветовали людям сменить пароли. При этом в компании не рассказали, сколько пользователей пострадало и каким образом хакеры получили доступ к их данным. 

Компании прилагают больше и больше усилий, чтобы обезопасить базы данных своих пользователей и чтобы хранить только необходимое. Тогда в случае кибератаки у хакеров будет доступ к меньшему объему данных. 

Если в приложении используется сквозное шифрование, переписку пользователей не сможет прочесть и сама компания, не говоря о хакерах. Сообщения, зашифрованные сквозным методом, невозможно прочесть или перехватить, без "ключа" они нечитаемы, то есть бесполезны. Если данные хранятся на серверах, хакеры смогут получить доступ к именам пользователей, датам их рождения, и-мейлам и тд. Но если сквозное шифрование работает, личные сообщения надежно защищены. 

Как понять, что компании можно доверять свои данные? 

На сайтах большинства социальных сетей и мессенджеров есть раздел о безопасности сервиса, чтобы читатели могли ознакомиться с политикой конфиденциальности. Однако там не публикуют данные о мерах кибербезопасности. Ведь раскрывая такую информацию, компания дает хакерам способ обойти эти меры безопасности. 

Обычно компании стараются рассказать своим пользователям, как они заботятся о безопасности данных и какие из их функций и услуг работают на сквозном шифровании. Если в приложении ничего из этого прямо не говорится, стоит задуматься, какой информацией вы готовы делиться с этим приложением, а какой не стоит.  

Сквозное шифрование – это в итоге правильный и современный инструмент защиты данных. Это то, чего люди должны требовать от компаний, которым доверяют личное: переписку с семьей, друзьями, коллегами и деловыми партнерами. Надеюсь, это небольшое руководство помогло вам понять тему шифрования и научило трезво оценивать слова разработчиков, которые уверяют вас в безопасности своих приложений и сервисов.

Впервые колонка вышла на Nasdaq, адаптирована специально для LIGA.net