Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.

Утечка данных может произойти и через роботов, которых часто используют для скрэппинга интернет-сайтов, ориентированных на потребителей, с целью извлечения информации о пользователях. Лучшие практики обеспечения сохранности данных включают создание систем обнаружения и закрытия аккаунтов, показывающих необычную активность. Например, пользователь, ежесекундно переходящий со страницы на страницу, вряд ли является человеком. Роботы и их операторы становятся умнее и уже сейчас избегают настолько бросающихся в глаза стереотипов поведения. В условиях стремительно развивающейся «гонки вооружений» более высоких оценок в области сохранности данных заслуживают инфопереработчики, которые используют в борьбе против несанкционированного использования данных возможности машинного обучения.

Роботы способны извлекать данные даже в условиях очень продвинутых систем наблюдения. В этом на собственном печальном опыте убедились пользователи социальной сети для людей с хроническими заболеваниями PatientsLikeMe[373]. На форумах сайта люди делились весьма деликатной информацией о своих медицинских диагнозах, самочувствии, рецептурных и безрецептурных медикаментах, побочных эффектах и прогнозах. Многие обменивались советами по преодолению физического и эмоционального бремени таких хронических болезней, как рассеянный склероз, ВИЧ/СПИД, посттравматическое стрессовое расстройство и депрессия. Это был замечательный пример того, как свободный обмен информацией помогает найти других людей со схожими проблемами, узнать об их опыте и сравнить пользу от разных методов лечения.

Хотя часть пользователей сайта скрывались под псевдонимами, это делали далеко не все, а в личных профайлах или подписях под комментариями многие публиковали адреса своей электронной почты и прочую персональную информацию. Это упрощало контакты с коллегами по несчастью, но наряду с этим упрощало и возможность увязки псевдонимов с настоящими именами. В этой связи можно представить себе шок, испытанный пользователями PatientsLikeMe, когда выяснилось, что на форумы сайта проникли роботы, тайком собирающие информацию для консалтинговой компании Nielsen в рамках маркетингового исследования по заказу неназванной фармацевтической компании[374]. Сайт закрыл аккаунты-роботы, но они успели скопировать около 5 процентов постов. Стандартный аудит сохранности данных должен оценивать, насколько быстро можно выявлять аккаунты-роботы и скрэппинг информации при существующих в компании процедурах.

Подобные инициативы должны стать частью широкомасштабной целенаправленной работы по своевременному обнаружению брешей в системах защиты данных. Начиная с 2011 года Facebook предлагает денежную премию любому, кто обнаружит и сообщит компании о программной ошибке или зоне уязвимости. В рамках этой инициативы хакеры-энтузиасты обнаружили более двух тысяч ошибок, за что получили от компании премии на общую сумму более четырех миллионов долларов (что составляет лишь незначительный процент от общих затрат Facebook на безопасность[375]. Сумма премии каждому из «этичных» «белых» хакеров рассчитывалась исходя из оценки обнаруженного риска, а также из того, известно ли было о проблеме самой компании. На сегодняшний день самую большую премию в сумме 33 500 долларов получил бразилец, который смог взломать серверы Facebook через ошибку в программе, используемой для восстановления забытого пароля[376]. Не каждая компания, работающая с информацией, может позволить себе полноценный департамент безопасности, но привлекательная призовая программа способна оперативно и относительно недорого закрыть системные бреши.

Последствия хакерских атак выглядят особенно пугающе, когда речь идет об «интернете вещей». Огромное количество информации, которую анализируют компьютерные системы самолетов, поездов и автомобилей, а также повсеместное распространение компьютерных сетей, в том числе в жилых домах и больницах, влекут за собой физические риски для людей. В главе 4 мы говорили о том, как при помощи имитатора GPS-сигнала можно направить людей в нежелательное для них место. Преподаватель Университета штата Техас Тодд Хамфриз провел шокирующий эксперимент: используя радар-имитатор и удаленный контроллер, он перехватил управление яхтой при полном неведении ее экипажа[377]. В другом случае двое хакеров доказали, что могут дистанционно управлять джипом, проникнув в его рулевое управление, тормозную систему и трансмиссию через мультимедийную систему с выходом в интернет[378].