Карлос Морейра, WISeKey «Интернет эволюционировал в сообщество людей»
1 7
2 1
Высокие технологии 1 9
Как Facebook, но с плюсом
Сможет ли социальная сеть Google+ повторить успех других проектов Google
2 0
Фабрика инноваций по-русски
IT-проекты фонда «Сколково», адресованные массовому пользователю
2 2
Дешевле не всегда хуже
Плюсы и минусы экономичных планшетов под управлением Android
Понедельник Безопасность Почему персональные данные попадают в открытый доступ
Оказывается, заглянуть в личные данные интернет-пользователя может практически любой желающий / М. СТУЛОВ / ВЕДОМОСТИ
Слишком хорошо ищут Этим летом произошло сразу несколько громких утечек личных данных интернетпользователей через поисковые системы. Поисковики и владельцы сайтов обвиняют в этом друг друга. А специалисты по безопасности советуют просто пореже публиковать в интернете данные Анастасия Голицына ВЕДОМОСТИ
середине июля 2011 г. в ы я с н и л о с ь , ч т о «Яндекс» проиндексировал и показал в результатах поиска около 3000 sms-сообщений, отправленных абонентам «Мегафона» со специального сайта этого оператора. Первоначально это обнаружил один из пользователей Facebook, за считанные минуты информация распространилась по всему рунету. Хотя sms-сообщения были анонимными и исчезли из поиска в течение нескольких часов, скандал разразился большой. Тем более что почти сразу дотошные пользователи обнаружили в «Яндексе», Google и Bing еще и подробные данные о заказах покупателей более 80 российских интернет-
В
магазинов. Затем – закрытые документы госорганов, личные данные пользователей систем продажи железнодорожных билетов и много чего еще. Найти персональные данные в поисковиках оказалось не сложно – для этого использовался язык поисковых запросов, подробно описанный на сайтах поисковиков. Например, чтобы обнаружить статусы заказов на сайтах интернет-магазинов, достаточно было ввести в поисковую строку запрос типа «inurl:ukey=order_status IP покупателя», а sms-сообщения абонентов «Мегафона» нашлись по запросу «url:www.sendsms. megafon.ru*+|+url:sendsms. megafon.ru*». КТО ВИНОВАТ? Обычно причина таких утечек – халатность людей, отвечающих за работу сайта компаниижертвы, говорит аналитик разработчика систем информбезопасности SearchInform Роман Идов. Поисковая система – это робот, который работает по заданному алгоритму: он не отличает конфиденциальную информацию от общедоступной, а просто индексирует все, что находится в открытом доступе, объясняет он. Мнение аналитика совпадает с позицией поисковиков. После первой же истории с утечкой sms представитель «Яндекса»
обвинил в проблеме администраторов сайта «Мегафона», не защитивших данные абонентов специальным файлом robots.txt. В этом файле обычно указываются ссылки на страницы, которые запрещено индексировать поисковым системам. По тем же причинам поисковикам стали доступны и данные посетителей онлайн-магазинов, утверждали представители «Яндекса», Google и Microsoft (владеет поисковиком Bing). «Яндекс» даже выпустил специальную инструкцию для веб-мастеров, как лучше защитить сайт от поискового робота. А Google вдобавок рекомендовала пользователям и владельцам сайтов не спешить размещать в сети конфиденциальную информацию. Если же утечка все-таки произошла и на каком-то сайте появились личные данные человека, Google предлагает сообщать ей об этом напрямую через специальную форму на сайте. Июльскими утечками данных через поисковики заинтересовались и госструктуры. Правоохранительные органы пообещали провести проверки, а Роскомнадзор попросил поисковики найти возможность блокировать запросы, в ответ на которые раскрываются персональные данные людей. «Проработать такую возможность» пообещала одна Microsoft.
Штраф за открытость ... Вопрос о виноватых в утечках через поисковики всегда решается исходя из ситуации: есть случаи вопиющего нарушения логики работы сайтов с поисковыми системами, но иногда и поисковые системы суют нос, куда не следует, говорит эксперт «Лаборатории Касперского» Сергей Голованов. Арбитражный суд Москвы признал виновным в утечке sms-переписки абонентов «Мегафон» – правда, оператор отделался символическим штрафом в 30 000 руб. После инцидента «Мегафон» установил несколько дополнительных уровней защиты сервиса от поисковых систем, сказал представитель оператора Петр Лидов. БОРЬБА СО ССЫЛКАМИ Microsoft и в самом деле решила проблему утечки персональных данных, утверждает ее представитель Александра Паришева: в результатах поиска Bing были заблокированы те страницы сайтов, на которых эти данные
появились. Это было сделано по шаблону, показанному в поисковых результатах, уточняет она. В этом убедился корреспондент «Ведомостей»: по популярным запросам в результатах поиска Bing появляются лишь статьи на тему утечки данных. «Яндекс» и Google по тем же запросам выдают гораздо больше информации, в том числе и ссылки на заказы пользователей в магазинах, содержащие их персональные данные. Но даже невооруженным взглядом видно, что таких ссылок стало намного меньше, чем в разгар скандала. Возможно, владельцы многих интернет-магазинов приняли защитные меры. «Яндекс» получил от владельцев многочисленных сайтов просьбы удалить из результатов поиска личные данные с этих сайтов, рассказывает представитель поисковика Очир Манджиков. После этого он ускорил процесс синхронизации индекса с реальным содержанием интернета. Если владелец страницы добавил ее адрес через специальную форму в сервисе «Яндекс.Вебмастер», автоматический процесс удаления этого адреса из поиска занимает существенно меньше времени, чем раньше, – вплоть до нескольких минут. ЗАЩИТА ОТ ПОИСКОВИКА У многих магазинов, клиенты которых оказались засвечены в поисковиках, было нечто общее: на их сайтах был установлен код сервиса статистики «Яндекс.Метрика», заметили сотрудники компании ShopScript, разрабатывающей ПО для интернет-магазинов. Установлен этот код был и на сайте «Мегафона» для отправки эсэмэсок. Обычно поисковики индексируют страницы по ссылкам, расположенным на сайтах. «Яндекс» же, по данным Shop-Script, проиндексировал в том числе те страницы, на которые можно было перейти только по прямым ссылкам из электронной почты. Shop-Script предложил интернет-магазинам ввести авторизацию пользователей по фамилии. А «Яндекс» вовсе запретил роботам индексировать страницы, которые стали известны «Яндекс.Метрике» в обход традиционной схемы ссылок на сайтах. Но это не значит, что поисковик никогда не узнает о той или иной странице, заверяет Манджиков: информация может попасть в открытый доступ многими способами, а четких и абсолютно точных критериев автоматического определения ее содержания и разграничения данных на открытые и закрытые нет.-
12 СЕНТЯБРЯ 2011 №170 (2936)
E-Commerce Мобильный банкинг по-русски
Деньги по телефону Российские банки, платежные системы, сотовые операторы все больше задумываются о внедрении мобильных платежных сервисов, избавляющих клиентов от необходимости выстаивать долгие очереди перед окошками касс или искать терминалы самообслуживания. Такие сервисы уже появляются, но назвать их популярными пока нельзя Екатерина Суворова ДЛЯ ВЕДОМОСТЕЙ
скором времени 95% моделей мобильных телефонов будут приспособлены для оплаты услуг, заявил недавно Сбербанк. Сам он разрабатывает приложения для большинства мобильных платформ. Начать он планирует с устройств под управлением Android и iOS (операционная система iPhone), а затем охватить и остальные, в том числе еще не появившиеся в России смартфоны на базе Windows Phone 7. Акцент планируется сделать на оплату мобильной связи и перевод средств между картами.
В
НЕПОПУЛЯРНЫЙ КАНАЛ Массовое распространение мобильного банкинга в России началось в 2002 г., когда тот же Сбербанк предложил клиентам sms-информирование об операциях по картам. Сбербанк эмитирует в основном зарплатные карты, поэтому к сервису начали активно подключаться их держатели, желающие отслеживать состояние счета и поступление средств. Помимо пассивных функций (таких как возможность следить за операциями) есть и функции активные: можно оплачивать различные услуги, совершать переводы, блокировать карту и т. п. Пока сервис доступен на платформах Java и Java2ME, а также для пользователей iPad. Большинство клиентов совершают операции с помощью sms-сообщений и чаще всего оплачивают мобильную связь, уточняет сотрудник прессслужбы Сбербанка. Самый распространенный способ мобильной оплаты у клиентов сегодня – sms, согласен председатель совета ассоциации «Электронные деньги» Виктор Достов. К услуге Сбербанка подключено 28 млн пользователей. Но активными клиентами (те, кто использовал приложение в последние 90 дней) считают-
ся пока лишь 2,9 млн, т. е. чуть больше 10%. У Альфа-банка есть услуга «Альфа-мобайл», позволяющая совершать переводы и получать информацию по счетам. Но в конце августа 2011 г. она насчитывала немногим более 200 000 пользователей (без учета smsбанкинга), из них 56% активных. «Для пользователей компьютер более привычная и доступная форма работы со счетами, – объясняет директор по развитию электронных услуг Альфа-банка Владимир Урбанский. – А мобильные телефоны многие воспринимают как устройство только для звонков и sms». Хотя мобильный телефон (в отличие от интернет-доступа) есть уже практически у каждого, мобильные платежные сервисы распространяются весьма медленно. Поэтому «база пользователей мобильного банка предположительно будет формироваться за счет существующей базы интернет-банка», считает начальник отдела дистанционного банковского обслуживания «ВТБ 24» Елена Дегтева. Не способствует развитию привычки платить с мобильного устройства и отсутствие в смартфонах возможности вставить флэш-карту с ключами электронной цифровой подписи (ЭЦП). Вдобавок законодательство пока ограничивает использование мобильных приложений для юридических лиц. По большей части мобильными платежными приложениями пользуются физические лица, потому что нет законодательной возможности создать полнофункциональные мобильные версии, рассказывает зампред правления «Банка24. ру» Николай Петелин. С 2012 г. это должно измениться, так как выйдет новая версия закона об ЭЦП. В «Банке24.ру» мобильные платежи совершают 20% пользователей интернет-банка, говорит Петелин. В августе 2011 г. «Банк24.ру» запустил первый в России iPhone-банк для юрлиц. А в уже существующей системе для частных клиентов помимо стандартных услуг можно заблокировать карту, найти ближайший банкомат (находясь в любом месте России) и оценить расстояние до него. МОБИЛЬНЫЕ АМБИЦИИ В большинстве банков приложения для мобильных платформ еще только в стадии разработки или в планах. Райффайзенбанк планирует активно развивать мобильные приложения, прежде всего для Android, iPhone и iPad, говорит член правления банка, руководитель дирек-
Вдвое больше 1 0 5
ПРОЦЕНТОВ ‒ на
столько вырастет количество активных пользователей мобильного банкинга в России к 2014 г. и составит 4,3 млн человек, прогнозирует «ВТБ 24» ции по работе с физическими лицами Андрей Степаненко. «ВТБ 24» в сентябре 2011 г. запускает приложение для Android, а затем для iPhone, Windows Mobile, Symbian. Приложение для устройств на платформе Android уже доступно клиентам «Тинькофф. Кредитные системы», на днях появилось аналогичное решение для iPhone. Клиентам Альфа-банка доступны сервисы для iPhone, iPad и Android, до конца года банк предложит приложения для Blackberry и Symbian, обещает Урбанский. А Океан-банк планирует внедрить в ноябре 2011 г. полноценное приложение для iPhone и iPad. Пока же его клиентам доступно приложение Robokassa для устройств под управлением iOS, в котором ежемесячно совершается около 25 000 операций. Месячные обороты не превышают нескольких миллионов рублей, но с запуском полноценного приложения банк надеется увеличить их в 20–50 раз, говорит его вице-президент Олег Покровский. Инбанк прежде всего планирует запустить приложение для iPhone, рассказывает его главный системный архитектор Алексей Романчук. Android – открытая операционная система, и у каждого производителя мобильных устройств разные ее версии, iOS же более стандартизирована, объясняет он такой выбор. Зато пользователи устройств на базе iOS более платежеспособны и уже привыкли использовать гаджеты для финансовых операций, отмечает зампред правления Океан-банка Алексей Церех. НЕ ТОЛЬКО БАНКИ Мобильные платежи внедряют не только банки – например, платежная система Qiwi изначально развивала мобильный сервис как один из основных. Уже есть платежные приложения для iPhone, iPad, Android, Java, Blac kber r y, Windows Mobile и даже для Windows Phone 7, рассказывает гендиректор «Qiwi кошелька» Андрей Попков; в ближай1 8 ших планах Bada.
Правила Американские компании просвещают пользователей мобильных приложений
Простая конфиденциальность Прежде чем выкладывать всю информацию о себе на онлайн-сервис, стоит внимательно прочесть соглашение о конфиденциальности. Но, как правило, такие соглашения очень длинные и мало понятны среднестатистическому пользователю. Несколько американских предпринимателей взялись решить эту проблему Танзина Вега ексты соглашений о соблюдении конфиденциальности могут показаться чересчур длинными и неудобоваримыми. А если попытаться прочесть такой
Т
текст с мобильного устройства, то этот эффект усугубляется: ни один нормальный пользователь не станет продираться сквозь долгие и запутанные формулировки. А зря. Ведь именно эти соглашения определяют, какие данные о пользователе будет собирать данное мобильное приложение и в каких случаях эти данные могут быть переданы рекламодателям и другим третьим лицам. Озабоченность общественности по поводу сбора персональных данных растет, предлагаются даже законодательные меры, усиливающие защиту пользователей. А американская компания PrivacyChoice озаботилась идеей упростить формулировки соглашений о защите пользовательских данных, с тем чтобы потребители могли без труда в них разобраться, а
разработчики – без труда составлять такие соглашения. PrivacyChoice проанализировала сотни вариантов соглашений о конфиденциальности, встречающихся в сети. На основе этого анализа основатель PrivacyChoice Джим Брок и его коллеги разработали инструмент, позволяющий разработчикам программ для мобильных устройств самим составлять основу таких соглашений, не прибегая к помощи юристов. Создатели приложений, работающие с этим продуктом, могут выбрать ответы на основные вопросы – как они собирают данные о пользователях, как эти данные будут использоваться и когда их можно удалять. В результате появляется текст, в котором мудреные юридические выражения перерабатываются в простые фразы типа: «Мы собираем
и передаем другим сторонам данные о вашем местонахождении только с вашего согласия» или «Мы храним персональные данные до тех пор, пока вы сами не удалите их». Достаточно 10 минут, чтобы выстроить подходящий текст, уверяет Брок. По его оценке, большинство приложений, загружаемых пользователями сотовых телефонов, вообще не сопровождаются никакими соглашениями о конфиденциальности. Если же соглашения имеются, их чтение обычно вызывает затруднения и требует долгого прокручивания текста на экране. Морган Рид, исполнительный директор Ассоциации разработчиков конкурентных технологий (занимается поддержкой разработчиков приложений), говорит, что среди таких раз-
работчиков более 80% – малые фирмы, в которых работает менее 10 сотрудников. Написанные ими приложения собирают данные о пользователях, включая информацию об их местонахождении. Эти данные могут передаваться представителям рекламных сетей, которые затем показывают абонентам рекламу своих клиентов. Если бы разработчики не получали доходов от рекламы, они были бы вынуждены повышать цены на приложения (обычно от $0,99 до нескольких долларов) и им было бы труднее поддерживать бизнес. «Решение проблемы персональных данных для нас критически важно, – говорит Рид. – Мы крайне заинтересованы в том, чтобы поток рекламных денег не иссякал». Услуги юристов и консультантов недешевы – от несколь-
ких сотен до нескольких тысяч долларов. Именно по этой причине у небольшой фирмы, разрабатывающей приложения, часто нет адекватной политики конфиденциальности. Однако партнер юридической конторы Hogan Lovells и один из руководителей форума Future of Privacy Forum Кристофер Вулф считает, что высокая стоимость услуг специалистов в таких случаях не может оправдывать некорректную политику. «Когда [разработчики приложений] говорят, что не располагают соответствующим бюджетом, это все отговорки, – уверен Вулф. – Подобные инвестиции необходимо совершать любому бизнесу, имеющему дело с данными о потребителях». Сотрудник Университета Чикаго Эндрю Бинковски занимается еще и разработкой приложений: в частности, его программа для мобильных устройств Stork Drop помогает выбирать имя для ребенка. Бинковски говорит, что удвоил
свои доходы, разрешив встраивать в это приложение рекламу (в частности, рекламу детских пеленок и т. п.). Но в том, что ему необходимо предлагать пользователям соглашение о конфиденциальности, Бинковски не уверен, ведь его программа не собирает никакой информации, позволяющей как-либо идентифицировать пользователя. В июне сенатор-демократ от штата Миннесота Эл Франкен, возглавляющий профильный подкомитет сената, совместно с сенатором-демократом от Коннектикута Ричардом Блументалом подготовил проект закона, который заставляет мобильных сервис-провайдеров в обязательном порядке заручаться согласием пользователей на сбор персональных данных и на предоставление этих данных третьим лицам. Средства, упрощающие написание соглашений о конфиденциальности, «станут хорошим первым шагом для просвеще-
ния потребителей», считает Франкен, но это не решит всех проблем, связанных с защитой данных пользователей мобильных устройств. Еще одно средство для решения таких проблем, – программа, разработанная компанией Evidon. По словам ее гендиректора Скотта Мейера, программа позволит пользователям указывать, согласны ли они получать целевую рекламу от нескольких рекламодателей. Интерфейс, основанный на манипулировании экранными значками, достаточно прост. Проект поддерживается ассоциацией рекламодателей Digital Advertising Alliance, Evidon уже подписала контракты с рядом рекламных сетей и агентств, появление нового инструмента на рынке ожидается в конце этого года. «Мы надеемся, что это поможет сделать мобильную среду более доверительной», – говорит Мейер.WSJ, 14.08.2011, АЛЕКСАНДР СИЛОНОВ