В последние годы все больше людей используют фитнес-трекеры как для занятий спортом, так и в повседневной жизни. Однако практичность и удобство умных гаджетов не всегда гарантируют безопасность и конфиденциальность данных. Как наша личная информация может «утекать» за границу, и почему молчат те, кто в ответе за нашу безопасность?
Интернет вещей плотно вошел в нашу жизнь, а число используемых нами «умных» гаджетов постоянно растет. Прямо пропорционально этому увеличиваются и риски утечки персональных данных. В частности, это касается фитнес-трекеров, которые собирают информацию о физической активности пользователя.
Техническая сторона вопроса
По мнению экспертов «Лаборатории Касперского», получить доступ к данным с фитнес-браслетов могут не только их владельцы, но и посторонние. «Умные» браслеты имеют незакрытые уязвимости, которыми могут воспользоваться злоумышленники извне. Например, способ синхронизации спортивных браслетов и смартфонов пока недостаточно защищен. Так, метод постаутентификации подключаемого устройства дает сторонним людям возможность незаметно подсоединиться к смартфону, с которым синхронизирован «умный» девайс, выполнить ряд команд и даже извлечь хранимую в гаджете информацию.
Исходя из последних данных, самыми популярными производителями фитнес-браслетов на российском рынке стали Garmin, Polar и Suunto. Потратив пару минут на поиски в Интернете, мы без проблем можем выяснить, что штаб-квартиры компаний находятся в США (Garmin) и Финляндии (Polar и Suunto). Это может стать прямым риском для конфиденциальности российских пользователей по следующим причинам.
В случае с этими производителями на территории нашей страны физически находится только пользователь. Данные, которые собирают «умные» браслеты либо через регистрацию на иностранном портале производителя, либо через сопряжённое мобильное устройство, передаются на сервер баз данных. Информация с этого сервера, находящегося за границей, и, соответственно, не подчиняющегося законам нашей юрисдикции, по запросу может быть передана в западные спецслужбы. По крайней мере, с технической точки зрения существует такая возможность. Здесь нужно отметить, что в настоящее время на территории Российской Федерации прогресс в локализации данных наших граждан мало заметен.
Кто здесь закон?
Наравне с этим можно проследить и риски с точки зрения законодательства. Различные страны имеют разные законы и правила относительно защиты данных. В частности, законодательство о защите персональных данных в США представляется в этом плане разрозненным, а правовое регулирование касается больше ответственности за преступления в этой сфере. Отдельно стоит отметить политики безопасности самих производителей. Компания, управляющая сервером, может иметь менее строгие меры безопасности или меньше контроля над обработкой и хранением данных.
Отсутствие прозрачной документации и игнорирование взаимодействия с государственными структурами (здесь нужно вспомнить «закон Яровой», который обязывает хранить переписку, телефонные звонки и исходящий трафик всех российских пользователей, а также предоставлять эти данные по запросу спецслужб) может привести к угрозе компрометации персональных данных граждан России.
«Святая троица» фитнес-трекеров
Как уже было упомянуто выше, самыми популярными производителями фитнес-браслетов на российском рынке стали Garmin, Polar и Suunto. Среди отечественных производителей сложно найти компанию, имеющую продукт, способный заменить или конкурировать по техническим характеристикам с вышеуказанными иностранными фитнес-трекерами. Изучив эти компании более детально, можно сделать интересные открытия, указывающие на проблемы конфиденциальности.
Компания Polar открыто указывает на своем сайте, что придерживается общеевропейского мнения касательно СВО и осуждает действия России. При этом стоит отметить, что Polar не скрывает свою связь с научной деятельностью и указывает на сайте ряд ведущих университетов и научно-исследовательских центров, с которыми сотрудничает по всему миру. Кроме того, фитнес-трекеры от Polar ведут журналы работы, что может облегчить декомпиляцию кода и взлом приложения. Логи делают даже предварительно скрытые данные видимыми и представляют серьезный риск безопасности.
Пользовательское соглашение Garmin буквально прямым текстом говорит, что может по запросу передавать личные данные пользователей. В пункте «Международная передача персональных данных» компания пишет следующее: «Чтобы предлагать наши продукты, приложения и услуги, нам может потребоваться передать ваши личные данные компаниям, принадлежащим Garmin, в других странах».
Компания Suunto тоже интересно подходит к безопасности пользователей. На официальном сайте сообщается о приостановке их деятельности на территории России. Однако продукты этой компании продолжают собирать данные россиян.
Исходя из этого анализа, можно сказать, что указанные компании могут слабо гарантировать конфиденциальность данных российских граждан. При этом стоит учитывать тот факт, что слив личной информации с фитнес-браслетов может привести к построению цифровых двойников реальных пользователей.
Чем рискуют наши спортсмены и военнослужащие?
Помимо рядовых пользователей фитнес-трекеры активно используют спортсмены, военнослужащие и госслужащие. Можно выделить следующие риски по этим «целевым аудиториям».
По мнению экспертов, существует корреляция между успехами медицины в области спорта высших достижений и показателями, которые, в том числе, снимаются с помощью фитнес браслетов. Передача данных о геолокации и применение алгоритмов кластеризации с определением географически связанных между собой спортсменов может привести к утечке информации о командных подготовках российских профессионалов. Кроме того, постоянный мониторинг перемещения пользователей в пространстве, а также параметров реакций организма может раскрыть западным конкурентам все российские передовые методики спортивной подготовки в различных видах спорта. К ним относятся лыжные гонки, фристайл, биатлон, хоккей, плавание, гребной спорт и др. Некоторые из этих видов спорта имеют военно-прикладной характер.
Сейчас западный мир активно пытается достичь своих политических целей, выдвигая обвинения в допинге в адрес наших спортсменов. Буквально на днях WADA сообщило о наказании, вынесенном 222 российским спортсменам. Потенциальная утечка данных с фитнес-трекеров может дать нашим западным партнерам возможность воздействовать на состав национальных команд путем подачи анонимных жалоб на подозрение в допинге. Также эта информация может быть использована в целях формирования спортивно-политических коалиций.
С военнослужащими тоже непростая история. Раскрытие данных с фитнес-трекеров об их месторасположении и состоянии здоровья может стать прямой угрозой безопасности России. Несколько лет назад уже был прецедент, когда данные о военных базах США и других потенциально секретных американских объектах по всему миру появились в открытом доступе на интерактивной карте Global Heat Maps спортивного приложения для смартфонов Strava. После обнародования этой информации Минобороны Сингапура провело соответствующее исследование гаджетов и начало разрабатывать национальный подход к решению проблем с утечкой данных. Ответная реакция с нашей стороны была слабо заметна.
По мнению экспертов, отечественные разработки в области фитнес-трекеров пока что не достигли того уровня, чтобы составить серьезную конкуренцию зарубежным производителям. Печально, что на текущий момент Минспорта и Минцифры не предлагают никакой национально ориентированной политики в этой области. Хотя, казалось бы, цифровые риски очевидны. Остается ждать, когда соответствующие инстанции обратят внимание на проблему, которая может представлять потенциальную опасность для наших спортсменов и военнослужащих, а также для имиджа России на крупных международных соревнованиях и для оборонной инфраструктуры страны в рамках формирования многополярной системы миропорядка, перераспределения баланса сил и ежедневной эскалации напряжения глобальной безопасности.
Мнения, высказываемые в данной рубрике, могут не совпадать с позицией редакции