ТОП 10 лучших статей российской прессы за Сен. 6, 2018
Новый цифровой порядок
Автор: Иван Дмитриенко. Профиль
Защита персональных данных в интернете – одна из самых важных тем 2018 года. Падение котировок Facebook из-за массовой утечки анкет пользователей, блокировка в РФ отстаивающего анонимность мессенджера Telegram, вступление в силу нового регулирования личных данных в Евросоюзе – каждое из этих событий вызывало жаркие дискуссии, «живые» и сетевые.
Когда-то мы не воспринимали интернет всерьез, запросто делясь с ним самым сокровенным. Виртуальное воспринималось как ненастоящее, игрушечное. Теперь же интернет-пользователь очнулся. Где оседают его данные, по какому праву используются, и может ли он, их законный владелец, повлиять на этот процесс? Пока IT-сообщество пытается сформулировать ответы на эти вопросы, чиновники уже начали ограничивать деятельность сетевых компаний.
Но возможно, что момент упущен. Как рассказали «Профилю» эксперты, сегодня вездесущие гаджеты собирают о нас информации больше, чем можно себе представить, – буквально все, до чего способны дотянуться. И речь не о вирусах-троянах – подобное «любопытство» проявляют официальные приложения, операционные системы, соцсети. «Большой Брат следит за тобой», «Агенты Матрицы идут по пятам» – это уже не вымышленное будущее, а повседневная реальность. Можно ли «бунтовать» против такой системы? И нужно ли?
Антиутопия подкралась незаметно
Крупнейший скандал, связанный с персональными данными, произошел в 2013 году. Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден раскрыл служебные тайны прессе. Оказалось, что в середине 2000‑х АНБ создало программу PRISM, собирающую данные о миллионах пользователей по всему миру, – по 1,7 млрд телефонных звонков и SMS и 5 млрд отметок о местонахождении ежедневно. Также программа «прочесывает» базы данных Apple, Google, Microsoft, Facebook, Skype и других компаний. А с помощью системы XKeyscore АНБ регистрирует интернет-активность граждан.
Резонанс был колоссальным: получается, мы все под колпаком? Впрочем, общественность была возмущена именно слежкой государ-ственно-силовых структур. Сбор же данных частными корпорациями считался естественным и назывался отнюдь не шпионажем, а «получением информации, помогающей усовершенствовать сервисы». Максимум – с целью подбора интересной пользователю «поведенческой рекламы» (behavior targeting).
Интернет-пользователи боялись вирусов, рассылки спама или взлома аккаунта мошенниками; обсуждали проблемы пиратства и зависимости от соцсетей. Вопрос о персональных данных на этом фоне выглядел сугубо второстепенным. Но чем дальше, тем сильнее ощущается дыхание глобальной слежки. Стоит открыть один почтовый ящик на нескольких устройствах – и вот домашний компьютер в точности знает, что вы делали в офисе. Если же пройти мимо некоего магазина либо упомянуть товар в частной переписке – на телефон тут же упадет соответствующая реклама. Неужели совпадения?..
Странности продолжаются в соцсетях: в «рекомендуемых друзьях» вдруг появляются полузабытые приятели из детства, лица на фотографиях автоматически подписываются правильными именами. «Откуда им это известно?» – чешет в затылке пользователь.
Недавние опросы свидетельствуют о росте недовольства тем, как IT-компании распоряжаются сведениями о пользователях. К примеру, апрельское исследование Janrain выявило, что таргетинговая реклама смущает 53% американцев. А июньский опрос Sailthru показал, что в Сети «неудобно» ощущают себя 68% жителей США.
«За последний год, даже полгода киберсознательность людей выросла, они хотят знать, кто и как работает с данными, которые они отправили по форме обратной связи или указали в регистрационной форме», – комментирует глава совета директоров LT DIGITAL group Дмитрий Юхневич.
Постепенно грань между правительственной слежкой и поведенческой рекламой стирается. Пользователь видит: корпорации собирают данные не ради его блага, но преследуя свои корыстные цели. Так, в 2017 году контекстная реклама принесла Facebook $40 млрд – на 49% больше, чем годом ранее.
Привыкнув бесплатно пользоваться интернет-сервисами, человек обнаружил, что и здесь ему предлагают сыр в мышеловке, отмечает глава экспертного отдела «Гарда Технологии» Роман Жуков. «Поисковики, мессенджеры, приложения для фитнеса и другие удобные ресурсы стали неотъемлемой частью нашей жизни, – говорит он.– Но если для пользователей они бесплатны, кто же заказывает музыку? Как выясняется, все затеяно ради сбора наших данных. Известный тезис о том, что информация – нефть XXI века, приобретает все более зримые очертания. Коммунальная служба, транспортная корпорация, магазин одежды – все хотят обладать полной картиной о поведении людей. И мы ежедневно предоставляем сведения о себе, просто пользуясь привычными гаджетами».
В считавшемся тоталитарным XX веке подобная система была невозможна – прогресс еще не достиг таких вершин. Но теперь «техника дошла». Big data позволяет копить огромные массивы информации, храня их годами на всякий случай. Алгоритмы анализа информации («малый» искусственный интеллект) просеивают ее и обобщают, составляя полный психологический портрет «подопытного». Обучающие выборки позволяют нейросетям работать все точнее: к примеру, пользователи соцсетей годами отмечали себя на фотографиях, и теперь алгоритмы, используя накопленный материал, успешно им подражают.
Каждая следующая технология лишь усиливает «эффект присутствия». Голосовые помощники в гаджетах расскажут разработчикам все о нашем голосе, произношении, интонации. Камеры видеонаблюдения в городах запечатлеют нас в бесконечном множестве ситуаций. Облачные носители передадут наши файлы в «надежные руки». Технология разблокировки смартфона по отпечатку пальца приглашает каждого добровольно пройти дактилоскопию.
На подходе гаджеты дополненной реальности, которые сообщат компаниям, что мы видим в каждый момент времени, и «умный» дом, где к интернету подключается чуть ли не каждая прищепка… Словом, нет предела совершенству.
Опутанные Сетью
Как это работает? Простейшая технология идентификации пользователя в интернете известна давно: сайт отправляет на компьютер файл куки (cookie), а при повторном посещении считывает его, тем самым устанавливая «личность» визитера. Сегодня также используется более продвинутая технология – фингерпринтинг: идентификация путем создания уникального «отпечатка» пользователя из множества технических параметров. Анализируя версию браузера, набор расширений к нему, список установленных шрифтов, разрешение экрана и десятки других показателей, веб-сервер безошибочно вычисляет вас из миллионов посетителей.
Следующий этап после обнаружения – анализ перемещений в Сети (трекинг). Включив в браузере режим разработчика, можно заметить, что при загрузке почти любой страницы программа совершает десятки запросов на сторонние домены. Это рекламные сети и системы веб-аналитики, документирующие каждое действие пользователя, каждый клик мышкой. Эти непрошенные «посредники» определяют ваши пол, возраст, интересы, семейное и материальное положение, подбирая в ответ подходящую рекламу.
Чемпионом по интернет-слежке считается Google, который благодаря многообразию контактов с пользователем – через смартфон с операционной системой Android, аккаунт в почте Gmail, браузер Chrome, карты Google Maps, видеохостинг YouTube, хранилище Google Drive и т. д. – составляет полный сценарий ежедневной активности. Сюда входят просмотренные страницы, прослушанная музыка, маршруты, контакты, покупки.
Например, информация о местоположении обладателя Android-устройства отсылается в Google 340 раз в сутки. В итоге «досье» на каждого пользователя тянет на десятки гигабайтов. «Полный перечень того, что удалось отследить о вас Google, может повергнуть неподготовленного пользователя в шок», – уверяет инженер по информационной безопасности DataArt Вадим Чакрян.
При этом отправка происходит сама собой, когда смартфон просто лежит в кармане. Та же история с браузером Chrome: даже при серфинге в режиме инкогнито от Google не утаятся ваши виртуальные похождения. Полностью укрыться от «всевидящего ока» корпорации жителю развитого мира уже невозможно, заключили специалисты Digital Content Next и Университета Вандербильта в исследовании Google Data Collection.
На роль вице-чемпиона претендует Microsoft, который последовательно развивает способности по слежке операционных систем Windows. В результате, как жалуются на IT-форумах, версия Windows 10 ведет себя как один большой троян. Здесь уже фиксируются не только передвижения в интернете, но вообще любая активность на компьютере: каждый факт запуска программ и подключения устройств, имена хранящихся на жестком диске файлов, все сказанное в микрофон (запросы голосовому помощнику Cortana) и напечатанное на клавиатуре. Как выяснили в ходе экспериментов IT-активисты, каждые полчаса пакеты с данными уходят на серверы Microsoft.
Несколько меньше размах «шпионажа» у соцсетей. Но поскольку пользователи доверяют им более щепетильные сведения, то их публичное раскрытие непременно влечет за собой скандал. В этом весной убедилась Facebook. Тогда обнаружилось, что 50 млн пользовательских анкет попали в распоряжение компании Cambridge Analytica, создавшей один из множества интернет-тестов, требующих авторизацию через соцсеть.
Легкость получения личной информации вызвала негодование у публики: началась кампания по удалению аккаунтов Facebook с участием знаменитостей (в частности, Илон Маск стер страницы SpaceX и Tesla), посыпались судебные иски.
Вскоре выяснилось, что этот инцидент был не случаен: как призналась компания Facebook в отчете комитету сената США, более ста ее коммерческих партнеров регулярно просматривают анкеты. Среди них Apple, Amazon, BlackBerry, Microsoft, Samsung, Alibaba, Huawei. Еще один скандал случился в марте, когда пользователи, скачивавшие с Facebook архив с персональными данными, увидели в нем куда больше сведений, чем они предполагали. Например, список телефонных звонков и SMS-сообщений. Оказалось, что одна из версий приложения для смартфона Facebook Messenger, внедрившись в устройство, начинала регистрировать всю коммуникационную активность. Другие приложения тоже позволяют себе вольности. Например, служба такси Uber не торопится отключать определение местоположения после того, как пассажир закончил поездку, продолжая «вести» его по местности в фоновом режиме. А приложение ресторана «Бургер Кинг» недавно уличили в произвольной видеозаписи происходящего на экране смартфона. Ходят слухи и о приложениях из ненадежных источников, самовольно включающих камеру мобильного гаджета и снимающих все подряд.
Одним словом, если стоит задача отследить человека, то способов для этого предостаточно. «Обнаружить вас можно по задержкам между символами при наборе текста, характерным ошибкам, движениям мыши, звукам, – перечисляет IT-эксперт Дмитрий Кириллов. – Имеются разработки, позволяющие определять местоположение человека при помощи специально настроенных точек Wi-Fi. Контекстная реклама в почтовых сервисах учитывает ключевые слова, которые вы использовали в письмах, а благодаря доступу к списку контактов можно выстраивать графы социальных связей любого масштаба. Не стоит забывать и об ультразвуковом «жучке», вшитом в операционную систему дешевых смартфонов. Они считывают ультразвуковые метки, установленные в разных местах города, преобразуя их в пуш-рекламу. Похожим образом работает Bluetooth-метка».
Между страхом и крахом
Подобная слежка обеспечит пользователю как минимум негативные эмоции. Смущает бесцеремонность процесса, признает ведущий аналитик «СерчИнформ» Алексей Парфентьев: «Одно дело, когда Google Maps запрашивает геоданные, и другое – когда координатами интересуются сервисы, далекие от картографии. Спрашивается: зачем? Их об этом не просили».
Психолог Марина Мелия обращает внимание на феномен маркетингового давления: «Нам не дают возможности забыть о товаре и подталкивают покупать больше и больше. Не слишком приятно ощущать себя винтиком в огромной цепочке обработки данных».
С другой стороны, стоит ли беспокоиться? Есть и «оптимистическая» позиция: с нашей информацией не работают реальные сотрудники корпораций, она обрабатывается в автоматизированном режиме нейросетями, не имеющими сознания; проблема – в нашем антропоцентричном мышлении, присваивающем машинам свойства человека. Кроме прочего, это инновации, прогресс, который во все времена строился на доверии техническим новинкам, – против выступали лишь ретрограды.
«Чем меньше система о вас знает, тем хуже она выполняет свою функцию. Заберите у нее информацию – и перестанете получать пользу», – рассуждает Вадим Чакрян. «Благодаря собираемым данным мы перешли от спама к таргетингу, от пиратства к платному потреблению. Это плата за цивилизованность», – добавляет Дмитрий Юхневич.
Тревожность по поводу тотальной слежки – проблема не общества, а определенной категории людей с параноидальными наклонностями, подчеркивает психолог, преподаватель Института отраслевого менеджмента РАНХиГС Наталия Минаева. «Вряд ли у человека, проживающего активную и насыщенную жизнь, есть время на просмотр всей информации, которая приходит на смартфон. Управляя своей жизнью, управляешь и эмоциями – раздражению здесь просто нет места», – считает она.
Еще один популярный аргумент – «Пусть следят, пока от этого нет ущерба». «Надо просто смириться с тем, что информация, которую мы оставили в Сети, нам более не принадлежит, – призывает глава информационной безопасности портала «Банки.ру» Тимур Гараев. – Сейчас про всех все известно. И если у вас нет повода опасаться преследования спецслужб, не стоит сходить с ума».
Все бы ничего, но из-за сбора данных порой возникают реальные проблемы. СМИ не раз писали о случаях, когда данные о местоположении использовались интернет-магазинами для повышения цен, если покупатель находился далеко от торговых точек конкурентов.
Возможно и нарушение тайны личной жизни. Если разные люди пользуются одним компьютером, то по всплывающей рекламе легко вычислят поисковые запросы друг друга. Известен случай в США, когда сетевые объявления выдали незапланированную беременность девушки перед ее родителями.
Периодически случаются и «сливы» персональных данных, которые всплывают в публичном поле из-за ненадежных систем безопасности. «Виной всему слабый контроль администраторов сайтов за индексацией контента в поисковых системах. Даже на ресурсах крупных компаний часто отсутствуют файлы robots.txt в соответствующих директориях, что влечет за собой поисковую выдачу конфиденциальной информации», – объясняет IT-эксперт Павел Терентьев.
Объемы утечек растут с каждым годом. В 2007 году в мире было зафиксировано 333 случая, в 2012‑м – 934, в 2017‑м – 2131; в России – 9, 76 и 254 соответственно (данные InfoWatch). «Наихудшей утечкой», по мнению World Privacy Forum, стал прошлогодний крах кредитного бюро Equifax, которое «засветило» данные 143 млн клиентов – номера кредитных карт, страховых полисов и водительских удостоверений.
Спасти рядового юзера
Если все-таки задаться целью защитить свои данные, с чего следует начать? Глава представительства Avast в России и СНГ Алексей Федоров рекомендует проверить приложения на смартфоне – это можно сделать в любую минуту, а затем периодически повторять.
Откуда установлено приложение, какими разрешениями оно пользуется, оправданны ли они его функционалом (особенно если речь идет о микрофоне, камере, вызовах, контактах, геоданных) – все это можно выяснить в настройках. «Вирусы могут создаваться под видом пустяковых приложений только ради отслеживания геопозиции. Если они попадут в руки злоумышленников, им станут известны все ваши передвижения», – приводит пример собеседник.
Если пользователь «созреет» до более серьезной защиты, на помощь могут прийти специальные приложения для защиты от слежки. Так, чуть ли не ежемесячно появляются утилиты, взламывающие «шпионские» функции Windows (Destroy Windows 10 Spying, DisableWinTracking). Есть и расширения для браузера для борьбы с фингерпринтингом (Firegloves), и комплексная программа Haven для борьбы с несанкционированными действиями на операционной системе Android (к ее созданию приложил руку Эдвард Сноуден).
Стоит обратить внимание на неофициальные версии мобильных приложений с деактивированными системами сбора аналитики. Правда, если оригинал приложения бесплатен, то за такую версию придется заплатить. В целом мировой рынок защитных средств от сетевой слежки развивается бурными темпами – в 2015 году его объем составлял $68 млрд, сегодня достигает $90 млрд (данные Identity Theft Resource Center).
Вообще же единого рецепта нет – каждый защищается, как может. Павел Терентьев акцентирует внимание на защите финансов: стоит создать отдельный e‑mail для операций по банковским картам, не расплачиваться ими при подключении к публичным сетям Wi-Fi, не хранить номера карт и PIN-коды в текстовом и графическом виде.
Дмитрий Кириллов выступает за защиту переписки сквозным (end-to-end) шифрованием, при котором ключи от шифра находятся не на промежуточных серверах, а на конечных устройствах пользователей. «Такой шифр тоже можно подобрать, но придется потратить слишком много времени. Это основная стратегия информационной безопасности: нужно сделать проникновение дороже, чем предполагаемая выгода от него», – говорит эксперт.
Не обходится и без радикальных мер. Некоторые пользователи заклеивают на своих устройствах камеру и микрофон. Кстати, в этом были замечены и знаменитости – глава Facebook Марк Цукерберг и экс-директор ФБР Джеймс Коми.
Помимо разных технических ухищрений есть и такой способ достижения цели, как здравый смысл. По словам Тимура Гараева, всегда стоит помнить про соблюдение информационной гигиены: «Ничто не мешает бдительно относиться к информации, которую вы оставляете в интернете, – в первую очередь ограничить свои откровения в российских соцсетях. И не забывать чистить настройки браузера». А еще, как ни банально это звучит, читать пользовательские соглашения, а не просто ставить под ними галочки…
Впрочем, при всем обилии инструментов до конца защититься не получится. Взять те же пользовательские соглашения. Во‑первых, не каждый разберет их суть за витиеватым слогом. Иногда от пользователя и не требуют согласия прямым текстом – значит, оно выражено в неявной форме.
«Классический пример – Facebook. Вам не нужно вручную проставлять галочку согласия – оно подразумевается, пока вы пользуетесь функционалом сайта», – рассказывает Дмитрий Юхневич.
Во‑вторых, тексты грешат умолчаниями. Например, выше-упомянутая регистрация звонков и SMS-сообщений в мобильном приложении Facebook не была оговорена при его установке, что и стало причиной скандала (об этом в марте писала The Guardian).
«Нельзя быть уверенным, что разработчик до конца честен в своем соглашении. Достоверно узнать, какие данные собираются, можно, только увидев исходный код сервиса. Но это пользователям недоступно, ведь канал передачи зашифрован. Кроме того, приложения имеют свойство обновляться, после чего у них внезапно можно обнаружить новый допуск», – отмечает Алексей Парфентьев.
Если же твердо стоит цель отключить какой-либо параметр, то, обойдя все препоны разработчика и отыскав нужную галочку в дальнем конце меню, можно снять ее и… убедиться, что ничего не изменилось. Так, в 2013 году разгорелся скандал вокруг «умных» телевизоров LG Smart TV: те собирали информацию о просмотренных зрителем программах и, хотя в меню была формальная возможность отказаться от этого, в любом случае передавали ее на сервер.
Позже IT-активисты выяснили, что голосовой помощник Windows 10 Кортана продолжает работать в фоновом режиме, несмотря на отключение в настройках (отсюда родилась шутка, что лучший способ избежать слежки в Windows 10 – это вернуться на Windows XP).
А смартфоны Android с начала 2017 года отслеживают и сообщают в Google местоположение пользователя даже после прямого на то запрета. В ряде гаджетов настройки сформулированы так, что отказаться от отправки отчета попросту нельзя – можно лишь выбрать менее подробный его вариант. Либо требуется специальное обращение к производителю, а он оставляет за собой право ответить отказом.
При этом частичная защита персональных данных равносильна ее отсутствию, признает Дмитрий Кириллов: «Если пользователь освоил какие-то базовые понятия, поставил себе Linux и ходит в интернет через VPN или TOR, у него появляется иллюзия безопасности. Но это лишь иллюзия – вычислить его все равно проще простого».
«Google прямо предупреждает, что, если вы откажетесь сообщить ему свои данные сами, он возьмет их из других источников, – добавляет Алексей Парфентьев. – Получается, что ради сохранения приватности сегодня нужно выбрать полную аскезу – отказаться от интернет-коммуникаций и любых средств связи. Частичный отказ от ряда сервисов практически бесполезен».
Законы в спящем режиме
Постепенно тема защиты персональных данных попадает в поле зрения государственных органов и международных организаций, становится предметом для законодательных актов. В 2015 году ООН постановила, что шифрование и анонимность в интернете должны расцениваться как права человека. В 2016‑м Европейский суд справедливости признал IP-адреса личной информацией и предписал интернет-провайдерам хранить их только для борьбы с кибератаками.
В мае этого года в ЕС вступил в силу новый регламент обработки персональных данных GDPR (General Data Protection Regulation) – прежде регулирование этой сферы осуществлялось на основе устаревшей директивы 1995 года. Теперь к персональным данным причислены онлайн-идентификаторы человека, информация о его здоровье, доходах и даже интересах в области культуры.
Установлено, что согласие на обработку данных является свободным (отказ предоставить данные не должен приводить к разрыву отношений с пользователем), явным (выраженным в конкретном действии) и отзываемым без негативных последствий.
Апеллируя к GDPR, интернет-пользователь может запретить любому из ресурсов распространять свои данные в рекламных целях, если сам того не желает, а также потребовать отчет об их использовании. В случае утечки данных компания должна доложить властям в течение 72 часов (для сравнения: сейчас на обнаружение «слива» уходит до 206 дней – данные Ponemon). При этом регламент имеет экстратерриториальное действие – например, распространяется на российские компании, обслуживающие граждан ЕС.
Чтобы выполнить требования GDPR, IT-компании срочно обновляют политику конфиденциальности: на сайтах добавлены баннеры с напоминанием об использовании куки, мессенджеры и соцсети презентовали опцию загрузки полного архива с личными сведениями.
Нарушителям GDPR грозят колоссальные штрафы – до 20 млн евро или 4% годового оборота. Как полагают в IT-отрасли, новый регламент может сильно изменить ландшафт рынка, ведь для многих компаний свобода обращения с данными являлась решающим фактором роста. Уже сейчас отмечается отток с рынка ряда мелких игроков.
В России закон о персональных данных (№ 152‑ФЗ) принят в далеком 2006 году, с тех пор поправки вносились 20 раз по мере развития технологий. Слухи об очередных корректировках появляются регулярно. Так, в январе этого года обсуждалась идея принудить бизнес к страхованию данных россиян на случай их утечки. А пару недель назад представители бизнеса, напротив, предложили упростить существующий порядок хранения и обработки.
Так или иначе, российский закон куда менее строг, чем GDPR. Но в принятой год назад программе «Цифровая экономика Российской Федерации» декларированы амбициозные задачи – разграничить права и ответственность сторон при обработке данных, определить права собственности на пользовательский контент, разработать единый национальный ресурс по контролю за использованием данных и тому подобное.
На деле же закон о персональных данных мало что гарантирует россиянам, признает преподаватель высшей школы IT и безопасности HackerU Алексей Гришин. «Согласно документу, пользователь может ограничить обработку своих данных в рамках определенной коммерческой структуры. Но большинство организаций отказываются от взаимоотношений с лицами, запрещающими такую обработку. Или расписываешься везде, или уходишь», – рассказывает он.
А если интересы пользователя ущемлены – например, данные ушли на сторону, и теперь его телефон регулярно «ловит» спам-рекламу, – государство также не в силах ему помочь. Скорее всего, в условиях онлайн-пространства установить виновника утечки, а тем более привлечь его к ответственности будет невозможно.
«В теории назойливый спам можно классифицировать как вмешательство в частную жизнь и предъявить в суд требование о возмещении убытка, – говорит ведущий юрист Европейской юридической службы Раиль Гизятов. – Но нужно установить причинно-следственную связь: что вы понесли убытки именно потому, что такой-то разработчик распространил ваши сведения. На практике это недоказуемо. Впрочем, проблема и в правовом нигилизме, бездействии россиян. Даже видя нарушение своих прав в части защиты данных, люди просто закрывают глаза».
Коментарии могут оставлять только зарегистрированные пользователи.