Некалькі словаў пра «вельмі сваечасовы ўброс»

10 мая ў «Нашай Ніве» з’явіўся артыкул пра кампанію, якая будзе апрацоўваць дадзеныя выбарнікаў на выбарах у КР. Гэты артыкул выклікаў дастаткова бурную рэакцыю, якая падаецца празмернай, калі ня горш. Каб гэта пабачыць, давайце разгледзім такзваныя «нязручныя пытанні» з гэтага артыкулу.

Вось напрыклад: «Sumsub не толькі не ўваходзіць у разрад «самых вялікіх і вядомых» кампаній на рынку падобных паслуг, а ўяўляе сабой даволі скандальную арганізацыю».

Фраза пабудавана так, быццам бы «скандальнасць» адразу з’яўляецца доказам, што кампанія не ўваходзіць у лік самых вялікіх і вядомых. Зразумела, гэта не так. Скандалы здараюцца і з буйнымі кампаніямі. А уж вядомасць і наогул, хутчэй ідзе поруч са скандаламі (праўда, з тым што кампанія «скандальная» цяжка пагадзіцца, але пра гэта потым).

Такім чынам невядома, як менавіта аўтары артыкулу вызначылі, што кампанія не вялікая і не вядомая. KYC гэта не зусім тая індустрыя, дзе публікуюць часопісы з тварамі «самых вядомых», ці дзе шмат адкрытай інфармацыі пра колькасьць карыстальнікаў.

У той жа час, напрыклад, брытанская кампанія Quantexa (памерам ў 2.6 мільярдаў даляраў) пералічвае Sumsub сярод свайго рэйтынгу лепшых KYC кампаній (хаця, зразумела, сваё вырашэнне яны ставяць на першае месца). То бок як менш у пералік «вядомых» кампаній Sumsub уваходзіць.

Што тычыцца абвінавачвання, што большасць кліентаў гэта «крыптастартапы і біржы, якія не маюць неабходных ліцэнзій для работы ў еўразоне». Ізноўку, тут важная спецыфіка індустрыі. KYC-інструменты ў асноўным патрэбныя кампаніям якія працуюць у сферы фінансаў. Пры гэтым буйных такіх кампаній наогул вельмі няшмат. Затое ў апошні час з’явілася вельмі шмат крыпта-біржаў і звязаных сартапаў. І ім усім патрэбныя сродкі ідэнтыфікацыі карыстальнікаў. І таму зараз у любой кампаніі, якая прадстаўляе паслугі ў галіне KYC, вялікі адсотак кліентаў – гэта невялікія крыпта-стартапы, арыентаваныя на свае ўласныя рэгіёны. То бок, крытыкаваць Sumsub, за тое, што ў іх шмат такіх кліентаў, гэта прыкладна як крытыкаваць кампанію Mastercard за тое, што большасць яе тэрміналаў аплаты выкарыстоўваецца маленькімі крамамі без ліцэнзіі на міжнародны гандаль.

Пры гэтым, трэба зазначыць, што калі непасрэдна паглядзець спіс кліентаў Sumsub, то ўражання, што крыпта-кліентаў пераважная большасць, няма. Магычма больш за палову, так. Але сярод кліентаў ёсць і шмат больш традыцыйных фінансавых кампаній, у тым ліку з Вялікабрытаніі ды ЭЗ. Ёсць і вялікая колькасць шэрынгавых сервісаў (для веласіпедаў/скуцераў/мапедаў/машын). Ёсць і эўрапейскія энергетычныя кампаніі. Ёсць нават Інтерпол, з якім Sumsub вядзе партнэрства па супрацьдзеянні злачынствам, учыненым з дапамогай штучнага інтэлекту.

Тое, што заснавальнікі кампаніі навучаліся ў Расеі, наўрад ці само па сабе з’яўляецца доказам, што ім нельга давяраць. Падаецца, пакуль рана запісваць абсалютна ўсіх, хто навучаўся ў Расеі, у ненадзейныя.

Яшчэ больш дзіўнай падаецца крытыка за тое, што робіць нейкая іншая кампанія, паслугамі якой Sumsub некалі карыстаўся. Нагадаю, што да пачатку расейскага ўварвання ў Украіну ў 2022 годзе, шмат якія амерыканскія і эўрапейскія кампаніі вялі справы наўпрост з расейскімі вытворцамі зброі.

Нарэшце, вельмі шмат пытанняў паўстае да апісання выцеку інфармацыі, пра які напісана ў загалоўке. Па-першае, у загалоўке напісана, што выцек адбыўся ў 2026 годзе, хаця потым і ў тэксце, і ў артыкуле, на які даецца спасылка, адзначана, што выцек адбыўся ў 2024 годзе; пасля гэтага доступу да інфармацыі хакеры ня мелі.

Па-другое, ў паведамленні кампаніі пра выцек дадзеных адразу адзначаецца, што справа тычылася сервісу падтрымкі кліентаў. Суадносна, інфармацыя, да якой знешнія акторы мелі доступ, была абмежаваныя імёнамі і кантактнымі дадзенымі і толькі некаторых карыстальнікаў. Выцеку дадзеных з самой сістэмы верыфікацыі не было, то бок пашпартныя, біяметрычныя і банкаўскія дадзеныя засталіся ў бяспецы. А гэта і ёсць тыя дадзеныя, пра бяспеку якіх будуць больш за ўсё клапаціцца выбарнікі; ды й наўрад ці яны будуць звяртацца ў службу падтрымкі. Таму не зразумела, чаму гэтая інфармацыя не была зазначана ў артыкуле.

Калі ж казаць больш агульна, факт папярэдняй уцечкі не з’яўляецца доказам некампетэнтнасці ці нізкіх стандартаў кампаніі. Час ад часу выцекі здараюцца ва ўсіх. Напрыклад, у 2020 годзе федэральныя ўлады ЗША некалькі месяцаў не заўважалі, што хакеры атрымалі доступ да іх сістэмаў, нават Пентагон быў закрануты. Наўрад ці вы здолееце наняць спецыялістаў па кібер-беспецы лепш, чым у Пентагоне. Пры гэтым, калі паглядзець на папярэднія выбыры ў КР, беларускія ўлады абмежаваліся самай элементарнай атакай – DDoS. Хутчэй за ўсё, беларускія ўлады папросту не маюць спецыялістаў і магчымасцяў для правядзення хоць-якой складанай атакі. Менавіта таму яны вымушаныя абмежоўвацца «ўкідамі» пра ненадзейнасць платформы, каб запужаць карыстальнікаў.

Такім чынам, у артыкуле не было прадстаўлена аніякай інфармацыі, якая прыводзіла б да высновы, што выкарыстанне гэтай кампаніі ёсць рызыкоўным.

Станіслаў Красулін, Магістр фіз-мат навук, спецыяльнасць «Метады і сістэмы абароны інфармацыі»