ИТ / Статьи
импортозамещение персональные данные регуляторика
16.8.2023

VPN-мышеловка

Что происходит со слитыми данными пользователей бесплатных сервисов по обходу блокировки

Роскомнадзор призвал российские компании отказаться от использования зарубежных VPN-протоколов и перейти на российские решения во избежание утечки данных. Для простых пользователей установка бесплатного иностранной VPN тоже несет риски перехвата контроля над гаджетом злоумышленниками или его взлома, считают эксперты. О том, какие именно данные могут утечь в результате и каков их дальнейший путь на сером рынке, – в материале RSpectr.

ЧТО УТЕКАЕТ ИЗ СМАРТФОНА

Роскомнадзор (РКН) призвал российские компании и предприятия ускорить перенос своих информационных систем и протоколов, которые обеспечивают внутренние бизнес-процессы, на инфраструктуру внутри России. Это связано с тем, что использование VPN-протоколов с зарубежными серверами может привести к утечке личной, корпоративной и другой информации, сообщили «Интерфаксу» в пресс-службе Роскомнадзора. Для простых пользователей установка VPN (виртуальной частной сети) тоже не даст ничего хорошего, заявляют опрошенные эксперты.

Бесплатные VPN-сервисы не только крадут данные, но и заражают устройство вирусами

сказал RSpectr член Комитета Госдумы по информполитике Антон Немкин. Он отметил, что при использовании таких программ могут быть слиты любые данные о том, какие приложения открывает пользователь, пока включен VPN. Самая опасная ситуация в данном случае – утечка финансовых сведений, так как она может повлечь за собой потерю денег, предупреждает депутат.

Антон Немкин, Госдума:

– Такие сервисы должны скрыть реальный IP-адрес пользователя, однако как это работает на практике – большой вопрос. В любом случае остается риск его слива в Сеть. Пользоваться VPN я категорически не советую, если это не касается работы и VPN-сервис вам не предоставляет компания, которая действительно уверена в его надежности.

В результате использования частной сети могут быть похищены логины и пароли к соцсетям и электронным кошелькам, сведения об активности в интернете могут быть использованы против пользователя или его знакомых для получения финансовой выгоды, сказал RSpectr руководитель отдела отраслевых архитекторов Innostage Максим Хараск.

Украденные данные могут быть проданы заинтересованным лицам или сохранены в облачном хранилище, к которому злоумышленники предоставляют платный доступ, рассказал специалист Лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов.

Устанавливая VPN, пользователь открывает доступ разработчикам провайдера услуги к каналам связи между своим устройствам и Глобальной сетью, сказал RSpectr директор по развитию и цифровой трансформации компании РДТЕХ Евгений Осьминин. По его словам,

скачивая такое приложение, пользователь фактически оплачивает «бесплатный» сервис своей конфиденциальностью

Об этом часто прямо упоминается в пользовательских соглашениях.

ЭТО НЕ ИГРУШКИ

По словам Антона Немкина, далеко не все VPN нарушают законы – есть и добросовестные. А те, кто пытается работать вразрез с российским законодательством, отслеживаются и оперативно блокируются Роскомнадзором.

Как сообщал заместитель руководителя Роскомнадзора Милош Вагнер, в России за два года почти в 40 раз выросло число случаев утечек ПД пользователей. Только за первые семь месяцев 2023-го их уже свыше 150.

Антон Немкин считает, что

если российские компании не начнут серьезнее относиться к информационной безопасности, тенденция роста количества утечек сохранится и в дальнейшем

После ухода западных компаний с рынка РФ россияне стали активнее использовать VPN-сервисы, однако риски установки таких программ не стоят полученного результата, считает главный юрисконсульт в области международного права НТЦ ГРЧЦ Станислав Махортов. Абсолютно любая VPN занимается сбором персональных данных, которые потом могут быть использованы против людей или проданы злоумышленникам, заявил эксперт в ходе III Молодежного форума по управлению Интернетом в мае.

Станислав Махортов также отметил, что использование платной VPN не дает никакой гарантии от утечки ПД. Нужно понимать, что сохранность личных сведений в первую очередь зависит от их владельца – нужно серьезно относиться к тому, какие данные размещать в интернете, и минимизировать их объем, сообщил он.

Максим Хараск считает, что данные при использовании VPN могут быть сохранены только в одном случае – если сервер для этого строить самостоятельно. С ним согласен Игорь Михайлов, который настоятельно не рекомендует пользоваться бесплатными VPN-сервисами, отметив, что наиболее надежный с точки зрения безопасности вариант – это выбор в пользу собственного VPN-сервиса, например компании, в которой работает человек.

По словам Игоря Михайлова,

в первую очередь опасность представляют приложения VPN-сервиса, которые были установлены не из официальных онлайн-магазинов

По его мнению, есть высокая вероятность, что сервис будет дополнен вредоносным функционалом либо это просто замаскированная вредоносная программа. Такое приложение может привести к перехвату контроля над устройством злоумышленниками, взлому устройства, предупредил эксперт.

Относительно более безопасными будут бесплатные VPN-сервисы из официальных магазинов, продолжает Игорь Михайлов. Он признает, что пользователь действительно получит функции, о которых заявил разработчик, но зачастую бизнес-модель таких бесплатных приложений подразумевает продажу телеметрических данных и сведений о пользователе, которые могут использоваться третьими лицами в рекламных целях.

НЕПРЕДСКАЗУЕМЫЕ ПОСЛЕДСТВИЯ

Антон Немкин отметил, что зачастую пользователи даже не разбираются в вопросе и слепо дают доступ к своей конфиденциальной информации, не задумываясь о последствиях. Чтобы эта ситуация разрешилась, крайне важно повышать киберграмотность населения, начиная с раннего возраста, уверен депутат.

По мнению Евгения Осьминина,

данные могут продаваться как в теневом сегменте, так и официальными брокерами ПД, предварительно пройдя «легализацию»

К таким можно отнести специально созданные компании – поставщики соответствующих услуг, а также банки, операторов коммуникационных услуг, маркетплейсы и прочие компании, собирающие большое количество сведений. Использоваться их данные могут легально, например для таргетирования рекламы, рассылки спама, а могут и попасть в руки мошенников.

Евгений Осьминин согласен, что даже платные сервисы не могут дать абсолютной гарантии относительно сохранности персональных данных.

Евгений Осьминин, РДТЕХ:

– Софт, скачиваемый для организации VPN-соединения, может содержать вредоносный код. Он может быть не замечен пользователем, который зачастую игнорирует предупреждения антивирусных программ и систем безопасности.

Кроме того, сами VPN-сервисы и приложения, особенно бесплатные, могут быть недостаточно проработаны с точки зрения безопасности. Дополнительные опасности, возникающие при использовании VPN, являются следствием ее возможностей, отмечает эксперт.

Екатерина Шокурова

Изображение: RSpectr, Adobe Stock

Еще по теме

За счет чего российская цифровая техника будет востребована за рубежом

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы