Красимир Коцев е основател на компания за киберсигурност, познавате го и като един от участниците в Българското пътуване в Европа. В контекста на актуалния скандал с “Фейсбук” и “Кеймбридж Аналитика” с Красимир говорим за опасностите, на които личните ни данни са изложени в онлайн пространството и как да се предпазим.

Данните на 50 милиона потребители на “Фейсбук” са били събрани и използвани за таргетирана кампания, която да повлияе на настроенията за президентските избори в САЩ през 2016 г.. Нека поставим техническите параметри на проблема – как "Кеймбридж Аналитика" е събрала данните и до каква степен това е неправомерно?

Данните са източени с нашето съгласие, което е най-страшното. Тези данни са събрани от фирма, която се занимава с анализ на данни и е разработила приложения, с които да събира тези данни. Това се осъществява под различни форми – игри, интересни приложения. Всички лични данни, които ние предоставяме във “Фейсбук”, страниците, които харесваме, политическата ни ориентация и всяка една информация, която сме предоставили във “Фейсбук” може да бъде събрана така. Чрез харесаните страници се изгражда профил на човека, какви са неговите предпочитания, какво харесва той. Дори аз съм застрашен, въпреки че съм експерт по сигурност, защото дори и да не правя нищо, ако някой мой приятел използва приложението и предостави своите лични данни, “Фейсбук” разрешава на приложението да изтегли и моята информация, тъй като съм негов приятел.

Данните ни обаче се използват и с цел проследяване и анализ на поведението ни в различни сайтове, основно с рекламни цели. Сякаш няма как да се изолираме от това напълно?

Аз самият съм ограничил максимално правата на приложения, които инсталирам, геолокация, т.нар. cookies, но въпреки това постоянно получавам реклами, свързани със съдържанието, което съм търсел. Ние не можем напълно да се предпазим от това нещо като потребители на интернет. Нашата информация ще бъде използвана за рекламни цели, нещо, което е публично известно. Но къде още се използва още тази информация, няма как да знаем.

Каква роля ще изиграе новият европейски общ регламент за защита на личните данни (GDPR), който влиза в сила на 25 май?

Новият регламент на Европейския съюз е доста добре направен и насочен към потребителите. Всеки потребител може да изиска да бъде "забравен", може да изпрати запитване, с което да разбере какви негови данни обработва всяка компания и с каква цел. Регламентът включва и доста високи глоби, които наистина да накарат компаниите да го спазват. Информацията, която се обработва също така трябва да е криптирана и замаскирана, така че никой да не може да разбере, че ние сме този конкретен потребител, чиято информация е използвана за маркетингови цели например. Това означава, че ако компанията използва нашите данни, моето име Красимир Коцев трябва да бъде подменено, ЕГН-то ми трябва да бъде подменено със стойности, генерирани по начин, по който никой да не може да ме идентифицира.

До къде се ограничава правото да бъдеш "забравен", особено при услуги, които са заплатени?

Можеш да бъдеш забравен, стига да няма законово право, което да налага доставчикът на услуги да съхранява тези данни за определен период от време. Например ако си представим, че аз давам кредити, трябва да взема личните данни на дадения човек, за да му предоставя кредит. Няма как да той да изиска неговите данни да бъдат заличени веднага, защото има законов срок, в който аз да ги съхранявам.

Занимаваш се с киберсигурност. Какви са най-честите атаки и до какво водят те?

Най-често срещаните са от типа phishing, при който се използват методите на социалното инженерство, опит за подмамяне на потребителя да предостави лични данни, да посети сайт, който изглежда като легитимен, но всъщност не е. Това става чрез имейл, по телефона. Карат ни да предоставим чувствителна информация. Други често срещани атаки са от типа SQL Injection, при които атакуващият се опитва да получи достъп до цялата ни база данни и може да я подмени или изтрие. Други често срещани атаки са такива, при които данните на потребителя се криптират и атакуващият иска откуп, за да ги отключи.

Как да разпознаем когато някой се опитва да ни подведе?

Този човек ще ни пише от нелегитимен имейл, сайтът няма да е истинският домейн – например няма да е facebook.com, a facebook.info. Затова винаги трябва да внимаваме, какви сайтове посещаваме, дали имейлът идва от достоверен източник, т.е. дали домейнът е легитимен.

Дали го искаме или не, голяма част от данните ни вече са притежание не само на Facebook и Google, но и много други платформи и страници, които посещаваме и на които разрешаваме достъп. Как ще се процедира с така наречената Big Data (буквално “Големи данни” , англ.) занапред и как може да се осигури някаква сигурност?

Напоследък Big Data се използва и за защита на потребители. Все по-често виждаме системи, които се самообучават да разпознават атаки. Работи се усилено по технологии, които са в състояние да разпознаят атака, дори ако не е срещана преди и не е позната линията ѝ на поведение. Чрез новите методи и алгоритми това ще е възможно, да се засекат аномалиите в поведението.

Значи ще разчитаме на изкуствения интелект, за да предотвратява човешки действия?

Точно така. Все повече се насочват натам нещата, големи кампании инвестират сериозно в тази насока, защото досегашните методи за защита започват да остаряват с годините и не са толкова ефективни. Но инвестицията наистина е голяма, защото е необходима много по-голяма изчислителна мощ.

Можеш ли да дадеш няколко съвета как да сме по-сигурни в онлайн пространството – освен да проверяваме домейните, когато получаваме съмнителни имейли, да не разрешаваме на външни приложения да получават достъп до профила ни във “Фейсбук”?

Да, в България е популярно да получаваме имейли, които уж са от Националната агенция по приходите, а всъщност не са. Често даваме достъп на различни приложения, които инсталираме на телефона си до снимките и файловете ни, а това не е необходимо. Преглеждайте внимателно до какво иска да получи достъп едно приложение при инсталация. Не винаги те изискват пълен достъп, за да функционират нормално.

Имаш ли съвет и за бизнеса?

Важно е компаниите да се погрижат за сигурността си, защото те съхраняват нашите лични данни. Необходимо е да извършва тестове, които да проверяват дали системите им са уязвими на атаки. Всяка сериозна компания трябва да инвестира в това.