Глава Smart Engines Арлазаров сравнил хранилища оцифрованных документов с "черным ящиком"

Дыры в безопасности Оцифровку данных проводят с целью создания электронного архива всей документации компании. Чаще всего ее рассматривают в качестве альтернативы другим способам управления документами — созданию архива внутри компании, внеофисному хранению, переводу бумаг в микрофильмы. Также создание электронных версий документов повышает скорость и качество работы любой компании. Сервисы по оцифровке данных россиян (паспортов, рабочих документов о финансах и разработках) имеют потенциальные дыры в безопасности, заявил "Газете.Ru" генеральный директор Smart Engines Владимир Арлазаров. По его словам, эти проблемы достаточны, чтобы отказаться от такой модели обработки персональных данных. Потенциальные риски проявились из-за того, что все больше компаний предпочитают работать через сервисы, порой в нарушение договоренностей с партнерами. "Проблема даже не в том, как конкретные компании работают с персональными данными. Должно быть принципиальное решение компаний - в текущих условиях сервисная модель опасна", - уверен Арлазаров. Он заметил, что такие сервисы достаточно закрыты и проверить их действия невозможно, однако они косвенно намекают на то, что используют чужие облачные сервисы для хранения оцифрованных данных, а также привлекают сторонних людей для экономии денег. Обе дыры - простор для утечек, считает эксперт. "Количество мошенничеств с этими данным будет чудовищное. И может быть потенциальный иск. Он не возместит ущерб, лишь накажет компанию, данные из утечки уже не закрыть", - констатировал он. В чем проблема? По словам главы Smart Engines, сервисная модель устроена так, что частично данные для обработки передаются наружу другой компании, на аутсорс. "Эти сервисы уже внутри себя распознают документы, а как у них все устроено, - это "черный ящик", ничего нельзя узнать. Некоторые "хвастаются", что привлекают сторонних лиц, а это же вообще не дело", - возмутился Арлазаров. По его словам, первая проблема кроется в том, что после того, как документ отсканирован, его образ передается в облако. "Но ведь неизвестно, где это облако. Может, в Америке, может, и в России. И непонятно, просматривается ли как-то это облако извне. Это ведь дыра в безопасности. Например, если облако было поднято на Amazon. Даже если сами компании ничего не делают плохого с данными, может быть атака на облачный сервис, и оттуда данные утекут", - пояснил специалист. Вторая проблема - сервисы перестают использовать внутренних операторов, чтобы вносить правки в оцифрованные данные. По словам Арлазарова, этот процесс также находится на аутсорсе. "Некоторые используют сервис от Amazon Mechanical Turk, другие "Яндекс.Толоку". Если по-простому, то основная задачка разделяется на подзадачи, и они передаются рандомным пользователям. В Индию, Турцию - там, где дешевле. Это способ экономить на внутренних операторах", - заметил он. Арлазаров привел в пример нескольких отечественных сервисов по оцифровке: Beorg, Dbrain и Soica. "Они утверждают, что у них есть 50 тысяч операторов, которые верифицируют то, что распознается. Но это проверить невозможно", - пояснил спикер. Он считает, что при таких масштабах должен быть проверен каждый оператор, и маловероятно, что это было сделано. "Они говорят про 50 тысяч, а ведь даже если их всего одна тысяча, то есть в 50 раз меньше, то можно найти слабые звенья, из-за которых информация "уйдет". Подобные сервисы с многотысячным числом операторов - это огромное поле для утечек", - добавил глава Smart Engines. По его словам, все из перечисленных сервисов говорят об использовании искусственного интеллекта в своих проектах. "Наверное, какие-то элементы там даже присутствуют. Однако ручным вводом они также занимаются - это указано на их сайтах", - заключил Арлазаров. Риски слишком велики Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков рассказал "Газете.Ru", что оцифрованные данные россиян действительно находятся под угрозой утечки - как из Сети, так нечистым на руку сотрудником. "Сервис может стать целью хакеров и подвергнуться кибератакам с целью вымогательства. Тогда оцифрованные копии будут зашифрованы или уничтожены", - пояснил он. Также утечка может произойти по вине одного из работников. "Должны быть установлены строгие политики безопасности, которые будут выполняться беспрекословно и зависеть не от опыта работы сотрудника, а от необходимости предоставления доступа или отсутствия этой необходимости в конкретный момент", - уверен Зубриков. По его словам, еще один риск - отсутствие шифрования данных при хранении или пересылке. В таком случае их крайне легко перехватить. Он подтвердил, что данные после оцифровки чаще всего хранятся в облаке, поэтому необходимо использовать проверенную компанию для таких систем хранения. Опасность содержания данных без шифрования у сервисов по оцифровке отметил в разговоре с "Газетой.Ru" и эксперт по кибербезопасности "Лаборатории Касперского" Виктор Чебышев. "Учитывая, что такие сервисы для своей работы используют фотографии, которые передаются на сервер и там обрабатываются, важно, например, чтобы эти данные передавались в зашифрованном виде, а лицензионное соглашение неукоснительно соблюдалось", - добавил он. Решение проблемы По мнению Владимира Арлазарова, лучшее решение - вернуться к стандартному формату обработки данных, когда договор заключается с одной проверенной компанией. В итоге все происходит внутри конкретной организации, не покидая ее системы. "Документ фотографируется или сканируется, во внутренней системе распознается, ошибки распознавания правятся сотрудниками организации. Итоговый результат передается в информационную систему предприятия, которое оформляло заказ на оцифровку", - описал он процесс работы. Таким образом, вероятность утечки данных из этих документов минимизируется и зависит в первую очередь от информационной безопасности самой организации, уточнил спикер. Еще один плюс, считает глава Smart Engines, - при таком процессе не происходит нарушения режима коммерческой тайны, когда данные могут передаваться только между двумя компаниями, без посредников в лице сервисов по оцифровке. Руководитель ITGLOBAL.COM Security ltd. Александр Зубриков посоветовал даже при отказе от использования сторонних сервисов следовать четырем правилам работы в процессе оцифровки. По его словам, необходимо шифровать документы на всех этапах сканирования, сортировки и передачи данных, а также разбивать данные на фрагменты, передавая операторам сканирования только часть информации, а не весь документ целиком, чтобы снизить риск утечки вследствие человеческого фактора. "Также необходимо настроить автоматическое уничтожение данных сразу после передачи оцифрованных документов заказчику и обсудить возможности резервного копирования и аварийного восстановления, чтобы не допустить потерю данных", - заключил специалист.