Dan zaštite ličnih podataka, Minsk, 2019. Organizator: organizacija za ljudska prava Human Constanta.
Voditelj (u daljem tekstu B): – Arthur Khachuyan se bavi... Možemo li reći „na tamnoj strani“ u kontekstu naše konferencije?
Artur Khachuyan (u daljem tekstu - AH): – Na korporativnoj strani, da.
AT: – On prikuplja vaše podatke, prodaje ih korporacijama.
OH: - Ne baš…
AT: – I on će vam reći kako korporacije mogu koristiti vaše podatke, šta se dešava sa podacima kada postanu onlajn. Verovatno vam neće reći šta da radite u vezi s tim. Razmišljaćemo dalje...
OH: - Reći ću ti, reći ću ti. Zapravo, neću vam dugo pričati, ali na prethodnom događaju upoznao sam se sa čovjekom kojem je Facebook blokirao čak i račun njegovog psa.
Zdravo svima! Moje ime je Arthur. Ja se zapravo bavim obradom i prikupljanjem podataka. Naravno, ne prodajem nikakve lične podatke nikome u javnom domenu. Šalim se. Moje polje aktivnosti je izvlačenje znanja iz podataka otvorenog koda. Kada nešto pravno nije lični podatak, ali se iz toga može izvući znanje i učiniti isto vrednim kao da su ti podaci dobijeni iz ličnih podataka. Neću vam reći ništa zaista strašno. Istina, radi se o Rusiji, ali imam brojke i o Bjelorusiji.
Koja je stvarna skala?
Prekjučer sam bio u Moskvi u jednoj od vodećih, vladajućih partija (neću reći u kojoj), i razgovarali smo o realizaciji nekog projekta. A to znači da IT direktor ove stranke ustaje i kaže: „Rekli ste, brojevi i tako dalje, znate, 2. Uprava FSB mi je pripremila poruku ovdje u kojoj piše da ima 24 miliona Rusa na društvenim mrežama. . A ti kažeš - 120 i nešto. Zapravo, više od trideset [miliona] nas ne koristi internet.” Kažem da? UREDU".
Ljudi zapravo ne shvataju razmere. To nisu nužno vladine agencije, koje vjerovatno ne razumiju u potpunosti kako internet funkcionira, već zapravo moja majka, na primjer. Tek je sada počela shvaćati da joj u Perekrestoku daju karticu s razlogom, ne zbog jadnih popusta koje Perekrestok nudi, već zbog činjenice da se njeni podaci zatim koriste u OFD-u, kupovini, modelima prognoze itd.
Generalno, ima toliko stanovnika, a o toliko ih ima informacija u otvorenim izvorima. O nekima se zna samo prezime, o drugima se zna sve, pa sve do pornića koji vole (ja se uvijek šalim na ovu temu, ali je istina); i sve vrste informacija: koliko često ljudi putuju, koga susreću, koje kupovine kupuju, s kim žive, kako se kreću - mnogo svih vrsta informacija koje loši, ne tako loši i dobri momci mogu da koriste (nemam ne znam ni koju skalu da smislim trenutno, ali ipak).
Postoje društvene mreže, koje su, naravno, ogroman skup otvorenih podataka, koji igraju na slabostima ljudi koji kao da vrište o privatnosti. Ali u stvarnosti je ovako: ako zamislite grafikon u posljednjih 5 godina, nivo histerije oko ličnih podataka raste, ali istovremeno se broj zatvorenih naloga na društvenim mrežama smanjuje iz godine u godinu. Možda nije sasvim ispravno izvlačiti zaključke iz ovoga, ali: prva stvar koja zaustavlja svaku kompaniju koja prikuplja podatke je glupo zatvoren nalog na društvenim mrežama, jer mišljenje osobe unutar njegovog zatvorenog naloga, ako nema 100 hiljada pretplatnika, nije baš zanimljivo za bilo kakvu analizu; ali ima i takvih slučajeva.
Odakle im informacije o nama?
Da li vam je ikada na vrata pokucao stari školski drugar sa kojima dugo niste razgovarali, a onda je taj nalog nestao? Postoji ovo među lošim momcima koji skupljaju telefone: oni analiziraju prijatelje (a lista prijatelja je skoro uvijek otvorena, čak i ako osoba zatvori svoj profil, ili se lista prijatelja može vratiti "u suprotnom smjeru" prikupljanjem svih drugi korisnici), uzmu nekog neaktivnog vašeg prijatelja, naprave kopiju njegove stranice, pokucaju na vrata vašeg prijatelja, vi ga dodate i nakon dvije sekunde račun se briše; ali kopija vaše stranice ostaje. To je, zapravo, ono što su momci uradili nedavno, kada je 68 miliona profila sa Fejsbuka negde odletelo - sve su dodali za prijatelje na otprilike isti način, kopirali ove informacije, čak pisali nekome u privatne poruke, uradili nešto...
Društvene mreže su ogroman izvor informacija, u skoro 80% slučajeva informacije se preuzimaju o određenoj osobi ne direktno, već iz neposrednog okruženja - to su sve vrste indirektnih saznanja, znakova (mi to zovemo „Zla bivša djevojka ” algoritam), jer mi je jedan moj prijatelj dao ovu apsolutno briljantnu ideju. Nikada nije pratila svog dečka - uvek je pratila njegovih pet prijatelja i uvek je znala gde je. To je zapravo razlog za pisanje cijelog naučnog članka.
Postoji ogroman broj botova koji rade i razne dobre i loše stvari. Ima bezazlenih koji se glupo pretplate na vas da vam onda reklamiraju kozmetiku; a postoje ozbiljne mreže koje pokušavaju da nametnu svoje mišljenje, posebno pred izbore. Ne znam kako je u Bjelorusiji, ali u Moskvi, prije opštinskih izbora, iz nekog razloga sam imao ogroman broj čudnih prijatelja, svaki je vodio kampanju za drugog kandidata, odnosno apsolutno ne analiziraju sadržaj koji Ja konzumiram - samo pokušavaju da nametnu nekakvu neshvatljivu reformu, uzimajući u obzir činjenicu da ja uopšte nisam prijavljen u Moskvi i da neću ići na glasanje.
Deponija smeća je izvor opasnih informacija
Plus, tu je i Thor, koji i nije toliko podcijenjen – svi misle da tamo trebate ići samo da biste kupili drogu ili saznali kako se sastavlja oružje. Ali u stvarnosti postoji mnogo izvora podataka. Gotovo svi su ilegalni (kao, ilegalni), jer je neko mogao hakovati bazu podataka avio-prevoznika na nekom hakerskom sajtu i baciti je tamo. Zakonski ne možete koristiti ove podatke, ali ako iz njih dobijete neka saznanja (kao na američkom sudu), na primjer, ne možete koristiti snimak audio razgovora napravljenog bez naloga, već saznanja koje ste dobili iz ovog audio zapisa snimanje, nećete zaboraviti - a ovdje je otprilike isto.
Ovo je zapravo veoma opasna stvar, pa se uvek šalim, ali je istina. Uvijek naručujem hranu iz susjedne kuće, jer se Delivery Club vrlo često kvari i zaista ima takvih problema. A nedavno sam se jako iznenadila: naručivala sam namirnice, a na kutiji koju sam nosila u smeće bila je naljepnica na kojoj je pisalo “Artur Hačujan”, broj telefona, adresa stana, kod interfona i e-mail. Čak smo zapravo pokušali da pregovaramo sa moskovskom opštinom da nam omogući pristup deponiji: generalno, dođite u skladište otpada i pokušajte, čisto iz interesa, da pokušate da nađete neki spomen ličnih podataka - da uradite nešto poput mini istraživanje. Ali su nas odbili kada su saznali da želimo da dođemo sa zaposlenima Roskomnadzora.
Ali ovo je zapravo istina. Jeste li gledali fantastičan film “Hakeri”? Kopali su po smeću da pronađu neki dio virusa. Ovo je takođe popularna stvar - kada ljudi bace nešto u otvorene izvore, zaborave na to. Ovo bi mogla biti neka školska web stranica gdje su napisali disertaciju o nadmoći bijelih, a onda su otišli u Državnu dumu i zaboravili na to. Takvi slučajevi su se zaista dešavali.
Šta vole članovi Jedinstvene Rusije?
Ako odete u gornji dio na web stranici LifeNews... Studenti su radili studiju za mene prije dvije godine: uzeli su sve učesnike predizbora Jedinstvene Rusije (svi su službeno predali svoje naloge na društvenim mrežama Sveruskom centralnom Izvršni komitet), pogledali šta im se generalno sviđa - porno detinjasto, smeće, nerazumljive reklame čudnih odraslih žena... Uglavnom, izgleda da su ljudi zaboravili na to.
Zatim su napisali pismo u kojem su rekli da je dvadesetak računa ukradeno. Ali računi su im ukradeni prije dvije sedmice, prije 8 mjeseci su ih predali izbornoj komisiji, a lajkovi su bili prije dvije godine... Generalno, razumiješ, zar ne? Tu je zaista ogromna količina informacija koje se uvijek mogu koristiti čak i u istraživačke svrhe.
Minioftopchik: Jučer sam vidio vijest da je Roskomnadzor prije dvije godine blokirao istraživanje studenata HSE-a. Možda je neko vidio ovu vijest, zar ne? Moji studenti su radili istraživanje: oni iz Tora, sa sajta Hydra na kojem se prodaju droga (izvini, iz Rampe), prikupili su informacije o tome koliko košta, u kom regionu Rusije i uradili istraživanje. Zvala se "Potrošačka korpa naroda stranke". Ovo je, naravno, smiješna stvar, ali sa stanovišta analize podataka, skup podataka je zapravo zanimljiv - onda sam još dvije godine išao na svakakve „hakatone“. Ovo je prava stvar - tu ima puno zanimljivih stvari.
Kako je Get Contact "kupio duše" radoznalim korisnicima i zašto je potrebno pročitati korisnički ugovor
Obično, kada pitate osobu od kakvog se curenja podataka bojite (naročito ako osoba ima pokrivenu web kameru), on uvijek postavi strukturu prioriteta ovako: hakeri, država, korporacije.
Ovo je, naravno, šala. Ali u stvari, aktivni analitičari podataka, svakakvi istraživači podataka ukrali su mnogo više od, čini mi se, strašnih ruskih, američkih ili bilo kojih drugih hakera (zamijenite bilo koje, ovisno o vašim političkim uvjerenjima). Općenito, svi se obično plaše ovoga - sigurno svi imate pokrivenu web kameru? Ne morate čak ni da dižete ruke.
Ali ako hakeri rade nešto nezakonito, a državi je potrebna sudska dozvola za dobijanje podataka, onda najnovijim tipovima [korporacijama] ne treba baš ništa, jer imaju takvu stvar kao što je korisnički ugovor, koji niko nikada ne čita. I zaista se nadam da će ovakvi događaji i dalje natjerati ljude da čitaju sporazume. Ne znam kako je u Bjelorusiji, ali u Moskvi je sredinom te godine bio talas aplikacije “GetContact” (vjerovatno ste znali), kada se niotkuda pojavila aplikacija koja je pisala: daj aplikaciju pristup svim vašim kontaktima, a mi ćemo vam pokazati kako ste snimljeni smiješni.
Nije se pojavilo u medijima, ali mi se dosta visokih službenika žalilo da su ih svi počeli stalno zvati. Očigledno, administratori su odlučili da pronađu Šojguov telefonski broj u ovoj bazi podataka, nekog drugog... Voločkova... Bezopasna stvar. Ali oni koji su pročitali GetContact licencni ugovor - on kaže: neograničen spam u neograničenom vremenu, nekontrolisana prodaja vaših podataka trećim licima, bez ograničenja prava, zastare i uopšte sve što je moguće. A ovo zapravo i nije tako rijetka priča. Na primjer, Facebook je, dok sam ja bio tamo, prikazivao obavještenja 15 puta dnevno: "Sinhronizirajte svoje kontakte i pronaći ću vam sve prijatelje koje imate!"
Korporacije nije briga. Federalni zakon 152 i GDPR
Ali u stvari, prioriteti su u suprotnom smjeru, jer su korporacije zaštićene privatnim pravom i stoga je u gotovo svim slučajevima nemoguće dokazati da nisu u pravu. A uzimajući u obzir činjenicu da je velika, strašna i veoma skupa, to je gotovo nemoguće. A ako ste i vi u Rusiji, sa zastarjelim zakonodavstvom, onda je sve nekako potpuno tužno.
Znate li po čemu se ruski zakon (a on je praktično bjeloruski) razlikuje od, na primjer, GDPR-a? Ruski savezni zakon 152 štiti podatke (ovo je relikt sovjetske prošlosti) - dokument koji štiti podatke od curenja negdje. A GDPR štiti prava korisnika – pravo da će im biti uskraćene neke slobode, privilegije ili nešto treće, jer će im podaci negdje procuriti (tako pojam su uveli pravo u “podatke”). Ali kod nas sve što vam mogu naplatiti je novčana kazna za to što nemate sertifikovani „Otvoreni“ Excel za obradu ličnih podataka. Nadam se da će se to jednog dana promijeniti, ali mislim da ne u bliskoj budućnosti.
Koje su stvarne opcije ciljanja danas?
Prva, vjerovatno zastrašujuća priča o kojoj su svi stalno razmišljali je čitanje ličnih poruka. Sigurno postoji osoba među vama koja je ikada nešto rekla naglas, a zatim dobila ciljano oglašavanje. Da, da li je bilo takvih? Podigni ruke.
Zapravo ne vjerujem u priču da uslovni "Yandex Navigator" prepoznaje direktan zvuk u streamu za sve korisnike, jer oni koji su imali malo iskustva s prepoznavanjem glasa razumiju da: prvo, Yandex data centar »trebalo bi biti pet puta više; ali što je najvažnije, trošak privlačenja takve osobe koštao bi mnogo novca (prepoznavanje zvuka u streamu i razumijevanje o čemu osoba govori). Ali! U stvari, postoje algoritmi koji vas označavaju pomoću određenih ključnih riječi kako biste potom napravili neku vrstu reklamne komunikacije.
Bilo je mnogo ovakvih studija i 100 puta sam napravio prazne račune, napisao nešto nekome u porukama, a onda odjednom dobio oglas koji kao da nema nikakve veze s tim. Ovdje su zapravo dva zaključka. Protiv takve priče, vjeruje se da osoba jednostavno spada u neku vrstu statističkog uzorka; Recimo da ste muškarac od 25 godina koji je upravo u ovom trenutku trebao naići na kurs engleskog jezika baš u trenutku kada ste nekome pisali. Barem, Facebook uvijek kaže ovo na sudu: da postoji određeni model ponašanja koji vam nećemo pokazati, a koji je izgrađen na podacima koje vam nećemo pokazati, imamo interno istraživanje koje vam definitivno nećemo pokazati (jer sve je poslovna tajna); generalno, bili ste uključeni u neki statistički uzorak, pa smo vam to pokazali.
Kako je Facebookova privatnost razbjesnila njegove korisnike
Nažalost, to je generalno nemoguće dokazati osim ako u kompaniji nemate nekoga ko će na neki način potvrditi ove radnje. Ali u američkom zakonu, u ovom slučaju, ugovor o neotkrivanju podataka ovog zaposlenika je veći od njegove želje da vam pomogne, tako da to niko neće učiniti. Zanimljivo je i – bilo je to prije otprilike godinu ili godinu i po – u Americi se počeo razvijati trend kada su ljudi instalirali ekstenziju pretraživača kako bi šifrirala Facebook poruke: napišeš nešto čovjeku, on to šifrira sa ključ na uređaju i šalje smeće u javnu domenu.
Facebook tuži ovu kompaniju godinu i po dana, a nejasno je po kom osnovu (jer ne razumijem dobro američki zakon) ih je natjerao da uklone ovu aplikaciju, a zatim izvršio izmjenu korisničkog ugovora: ako ste Vidite, postoji takva klauzula: da ne možete prenositi poruke u šifriranom obliku - to je nekako tako pametno opisano da ne možete koristiti kriptografske algoritme za izmjenu poruka - pa, postoji takva stvar. Odnosno, rekli su: ili koristite našu platformu, pišete u javnom domenu, ili ne pišete. I tu se postavlja pitanje: zašto su im uopće potrebne lične poruke?
Lične poruke su izvor 100% pouzdanih informacija
Ovo je vrlo jednostavna stvar. Svi koji analiziraju digitalni otisak, ljudsku aktivnost, pokušavaju nekako iskoristiti te podatke za marketing ili nešto drugo, imaju takvu metriku kao što je pouzdanost. Odnosno, određena slika osobe - vi savršeno dobro razumijete, to nije sama osoba - ova slika je uvijek malo uspješnija, malo bolja. Lične poruke su pravo znanje koje se može steći o osobi, gotovo uvijek su 100% pouzdane. Pa zato što će retko ko nekome nešto napisati u privatne poruke, prevariti, a sve se to vrlo lako može proveriti - shodno drugim porukama (shvatate o čemu pričam). Poenta je da je znanje stečeno na ovaj način gotovo 100% pouzdano, tako da se svi uvijek trude da ga steknu.
Ali ipak, ovo je sve, opet, veoma teška priča za dokazati. A oni koji vjeruju da takozvani VKontakte ima takav pristup agencijama za provođenje zakona za lične poruke nisu sasvim tačni. Ako samo pogledate istoriju sudskih zahtjeva za otkrivanje informacija, kako se VKontakte vrlo lukavo (u ovom slučaju Mail.ru) bori protiv ovih zahtjeva.
Njihov glavni argument je uvijek: po zakonu, agencije za provođenje zakona moraju opravdati zašto je potreban pristup ličnim porukama. Po pravilu, ako se radi o ubistvu, istražitelj uvijek kaže da je osoba najvjerovatnije rekla gdje je sakrila oružje (u ličnim porukama). Ali vi i ja razumijemo da nijedan razuman kriminalac nikada ne bi pisao svojim saučesnicima na VKontakteu o tome gdje je sakrio vatreno oružje. Ali ovo je jedna od uobičajenih opcija koje zvaničnici prijavljuju.
A evo još jednog tako strašnog primjera (danas su me zamolili da dam strašne primjere) - o Rusiji (nadam se da se to neće dogoditi u Bjelorusiji): prema zakonu, istražitelj mora imati dovoljno uvjerljive razloge da operater otkrije ove informacije . Naravno, ovi pouzdani parametri nisu nigdje opisani (šta bi trebali biti, u kom obliku), ali u Rusiji je sada sve veći broj presedana kada se takva osnova pojavljuje za sud ako postoji određeni model koji je predviđao određenu, dobro ili loše, ponašanje.
Odnosno, kod nas se niko ne može zatvoriti (i to je dobro) zbog uvrštenja u neki statistički uzorak rasnih ubica – i to je dobro, jer se krši pretpostavka nevinosti; ali postoje presedani u kojima su rezultati ovakvih prognoza korišćeni za dobijanje sudske dozvole za dobijanje podataka. Uzgred, ne samo u Rusiji. Tako nešto postoji i u Americi. Tamo je i “Palantir” dugo sve ubijao, koriste slične stvari. Scary tale.
Ovo je moje istraživanje. Uradili smo ovo: šetali smo po Sankt Peterburgu, na mestima sa zelenim tačkama, napisali neke ključne tačke prijateljima sa „čistih“ naloga – poput „Želim da popijem kafu“, „gde mogu da kupim prašak za veš?“ i tako dalje. I onda su, u skladu s tim, primili geo-povezano oglašavanje. Na koji magičan način... Ili kako su rekli: „Slučajnost? Ne misli!" Ovo su lične poruke na VKontakteu. Neka mi Mail.ru oprosti, ali to je tako. Svako može ponoviti takav eksperiment.
Inače, kada su pisali izjavu podrške, Mail je rekao da tamo postoje wi-fi tačke, a vaša Mac adresa je snimljena. Ovo takođe postoji.
Načini dobijanja i uobičajene opcije za curenje ličnih podataka
Sljedeća priča je izvlačenje dodatnog znanja, čiji sam se dio zapravo dotaknuo. Zapravo, ispunjeni profil osobe na društvenim mrežama zapravo nosi 15-20% stvarnog znanja koje operater podataka pohranjuje o njemu. Ostatak priče proizlazi iz vrlo zanimljivih stvari. Zašto mislite da Google toliko razvija biblioteke za kompjuterski vid? Konkretno, bili su među prvima koji su razvili biblioteke posebno za analizu i kategorizaciju objekata - u pozadini, u prvom planu, bez obzira gdje. Jer ovo je ogroman izvor dodatnih informacija o tome kakav stan osoba ima, auto, gdje živi, luksuzne stvari...
Bilo je mnogo "hakerskog" punjenja kada su Googleove obučene neuronske mreže spojene (ne znam čije su bile, ali ipak). Bilo je mnogo zanimljivih informacija na temu veličine grudi, veličine struka - koje ljudi nisu pokušavali saznati o drugim ljudima na osnovu analize fotografija. Jer kada osoba napravi fotografiju, ne razmišlja uvijek o tome koliko zanimljivih stvari može naučiti iz toga? Koliko pasoša za novorođenčad stoji u Rusiji?.. Ili: „Ura, moja beba je dobila vizu“! To je općenito bol modernog društva.
Ovo je još jedan off topic (danas ću podijeliti s vama činjenice): u Moskvi je najčešće curenje ličnih podataka u stambeno-komunalnim službama, kada se na vratima okači spisak dužnika, a ti dužnici onda tuže jer im lični podaci su stavljeni na raspolaganje javnosti bez njihove dozvole. Šta ako vam se ovo desi... Poenta je da kada čovek nešto uradi, ne zna šta je bilo na toj fotografiji, šta nije bilo. Sada ima puno brojeva automobila.
Jednom smo sproveli istraživanje - pokušali smo da shvatimo koliko ljudi sa otvorenim fotografijama automobila (imaju, dakle, prekršaje i tako dalje) - to se, nažalost, moglo uraditi samo pomoću spojenih baza podataka saobraćajne policije, gde postoji samo broj (ne baš pouzdana informacija), ali je takođe bilo zanimljivo.
Vaš sljedeći oglas ovisi o tome kako ste konzumirali prethodni
Ovo je prva priča. Druga priča su obrasci ponašanja, sadržaj koji osoba konzumira, jer jedna od najvažnijih metrika koju društvene mreže pokušavaju izgraditi o vama je način na koji komunicirate s oglašavanjem. Bez obzira na to koliko algoritmi bili tačni, „neverovatni“, koliko god divna bila veštačka inteligencija i sve ostalo, pravi prioritet društvene mreže je uvek zarađivati novac. Stoga, ako dođe takozvana „Coca-Cola“ i kaže: „Želim da svi stanovnici Bjelorusije vide moju objavu“, oni će to vidjeti, bez obzira na to šta algoritmi misle o toj osobi i kako je tamo ciljati. Vjerovatno ste dobili reklame, pored super-superciljanih, potpuno nepovezanih gluposti. Zato što su platili mnogo novca za ovu nepovezanu glupost.
Ali jedna od glavnih metrika je razumjeti s kojim sadržajem najbolje komunicirate, odnosno kako reagirate na njega, kako biste vam pokazali sličnu reklamnu priču. I shodno tome, ovo je metrika kako komunicirate s oglašavanjem: ko ga zabranjuje, ko ne, kako osoba klikne, da li čita samo naslove ili potpuno pada u materijal; a zatim, na osnovu toga, nastaviti da vas drži u ovom, kako se sada zove, "filter balon", tako da nastavite da komunicirate sa ovim sadržajem.
Ako vas ikada zainteresuje, možete pokušati dugo, tjedan, možda mjesec dana, jednostavno zabraniti sve reklame na društvenim mrežama: pokažu vam neki oglas i zatvorite ga. Ako ovo analizirate i stavite na grafikon, bit će zanimljiva priča: ako zabranite oglašavanje na tjedan dana, sljedeće sedmice će vam pokazati poboljšanu verziju i općenito iz različitih kategorija; odnosno, uslovno volite pse, a prikazuju vam se reklame sa psima - zabranili ste sve pse, a onda ce vam poceti pokazivati raznorazne gluposti iz raznih opcija da bi probali shvatiti sta vam treba.
I onda će vas na kraju pljunuti, označiti kao osobu koja se ne bavi reklamom, staviti križić na vas i u tom trenutku će vam početi prikazivati reklame isključivo bogatih brendova. Odnosno, u ovom trenutku ćete vidjeti samo reklame za Coca-Colu, Kit-Kit, Unilever i sve ljude koji zarađuju ogroman novac jer trebate povećati preglede. Provedite eksperiment na mjesec dana: zabranite svako oglašavanje na jednu ili dvije sedmice, zatim pogledajte sve redom i zabranite - na kraju ćete vidjeti samo oglašavanje, kako se kasnije ispostavi (a reklamne agencije kažu), samo klijenti koji plaćaju preglede, jer je nemoguće razumjeti kako ste u interakciji sa ovim oglasima.
Pornografiju češće gledaju oni koji su skloni da se duboko udube u sadržaj.
Shodno tome, evo priče o svim vrstama praćenja ponašanja. Imam zanimljiv primjer - posjetitelje vladine web stranice. Smiješno je to što ljudi imaju veću dubinu gledanja, to više njih više voli gledanje pornografije nego tradicionalne veze. „Izvinite“ što stalno pričam o ovoj temi, ali ja zapravo imam jako dobar odnos sa Pornhub-om, a ovo je uvijek vrlo zanimljivo istraživanje, jer ovo je tema koja se čini tabu, ali govori mnogo o osobi. I iz ovoga proizilaze sljedeće tačke o povratku saobraćaja... Sjetićemo se i „Pornohub“!
Šta se smatra ličnim podacima i da li je moguće otključati iPhone sa 3D modelom lica?
Moj favorit je zaobilaženje zakona o privatnosti. Ako pročitate tehničku dokumentaciju tog istog Facebooka, koji je dostavio neke interne dokumente (na primjer, sudu), tamo nećete naći nikakvog pominjanja prepoznavanja lica ili analize glasa. Postojaće veoma složene formulacije koje nijedan kvalifikovani pravnik neće naći u zakonu. Ovdje u Rusiji to funkcionira otprilike na isti način - sada ću vam pokazati ovu stvar.
Šta vidiš ovde? Svaka normalna osoba će reći to lice. Ovo je, inače, Sasha Grey, po mom mišljenju. Ali pravno, ovo je matrica određenih trodimenzionalnih tačaka, kojih ima 300 hiljada. U dobru i zlu, ovo se po zakonu ne smatra ličnim podacima. Općenito, ruski RKN ne smatra jednu fotografiju ličnim podatkom - smatra je ličnim podacima ako postoji nešto drugo u blizini (na primjer, puno ime ili broj telefona), a ova fotografija sama po sebi nije ništa. Čim je uveden zakon o biometriji, a biometrijski podaci izjednačeni sa ličnim podacima (dakle, vrlo grubo), svi su odmah počeli da govore: ovo nisu biometrijski podaci, ovo je niz tačaka! Naročito ako uzmete direktnu ili inverznu Fourierovu transformaciju iz ovog niza tačaka, čini se da ne možete deanonimizirati osobu iz ove transformacije, ali je možete identificirati. Čisto teoretski, ova stvar ne krši zakon.
Takođe sam uradio još jednu studiju: ovo je algoritam koji gradi trodimenzionalnu rekonstrukciju lica koristeći otvorene izvore - uzimamo Instagram nalog i onda možemo da štampamo lice na 3D štampaču. Inače, za one koji su zainteresovani, imam link u javnom domenu; ako odjednom neko želi da otključa nečiji iPhone... Šalim se - iPhone se ne može otključati, smanjen je kvalitet.
Zatvoreni profil je plus za sigurnost
Ovo je prva stvar, a druga... Već sam se dotakao činjenice da se informacije uglavnom dobijaju iz okruženja korisnika. Nacrtao sam ovu sliku 17. godine: prosječan korisnik ruskih društvenih mreža je unutra, ima u prosjeku 200–300 prijatelja, svojih prijatelja prijatelja i prijatelja prijatelja prijatelja.
Hvala društvenim mrežama na uvođenju algoritama za “pametne” e-feedove, integralne godine, navodno da povećaju vjerovatnoću da ćete naići na neki zanimljiv sadržaj. Ovo je broj ljudi koji mogu vidjeti sadržaj koji proizvodite u bilo kojem nasumičnom trenutku, čak i ako je vaš račun ograničen samo na gornje razine privatnosti (samo za prijatelje prijatelja itd.). Ovo su prijatelji prijatelja:
Ako neko misli da kada izabere da vidi "prijatelje prijatelja" u "Mojim objavama" na VK, onda je tri rukovanja otprilike 800 hiljada ljudi, što u principu i nije tako malo, ali zavisi od vašeg sadržaja. Možda radite neke nepristojne streamove, a svi ovi prijatelji prijatelja mogu komunicirati s ovim sadržajem. Neko od njih može negdje repostirati nešto, svi ljudi imaju lajkove, koji će, u stvari, najvjerovatnije biti otkazani, jer to nije baš osobna stvar. Dakle, u svakom trenutku sadržaj može negdje završiti.
VK je te godine pokrenuo superzatvorene profile, ali do sada ih je koristio vrlo mali broj ljudi (neću reći koliko, ali malo je!). Možda će ljudi to jednog dana shvatiti - iskreno se nadam. Sva istraživanja su stalno usmjerena na to da ljudi shvate razmjere problema. Jer sve dok nekoga konkretno ne pogodi neka strašna stvar, nikada neće razmišljati o tome. Nastavi.
Državne agencije ne znaju šta su lični podaci i ne žure da ih definišu
Svaki stručnjak za pravo o ličnim podacima uvijek kaže sljedeće: nikada ne morate kombinirati različite izvore podataka, jer ovdje imate e-mailove (ovo su samo lični podaci sa nekim anonimiziranim identifikatorima), evo vašeg punog imena... Ako se ovo kombinuje sve, čini se da će postati lični podaci. Općenito, bilo bi ispravno da se prvo dotaknemo ove teme, ali mislim da ste već uživjeli u to i možda znate kako zakon funkcionira.
U stvari, niko ne zna šta su lični podaci. Važan koncept! Kad dođem u državne agencije, kažem: “Flaša konjaka za svakoga ko može da vam kaže šta su lični podaci.” I niko ne može reći. Zašto? Ne zato što su glupi, već zato što niko ne želi da preuzme odgovornost. Jer ako Roskomnadzor kaže da su to lični podaci, sutra će neko nešto uraditi, pa će biti kriv; a oni su izvršni organi vlasti i ne bi trebali biti odgovorni ni za šta.
Poenta je da zakon jasno kaže da su lični podaci podaci po kojima se može identifikovati osoba. A tu je i primjer: puno ime, kućna adresa, broj telefona. Ali vi i ja znamo da osobu možete prepoznati po tome kako pritiska dugmad, i po tome kako je u interakciji sa interfejsom, i po drugim indirektnim parametrima. Ako nekoga zanima: u gotovo svakoj oblasti postoji ogroman broj rupa.
Identifikatori koji nas otkrivaju
Na primjer, svi su počeli postavljati tačke za hvatanje mac adresa (sigurno ste se s tim već susreli?) - pametni (ili ne znam, pohlepni) proizvođači mobilne opreme, kao što su Apple i Google, brzo su uveli algoritme koji daju izbacite nasumične mac adrese tako da niste mogli prepoznati kada hodate gradom i svima pošaljete svoju MAC adresu. Ali pametnjakovići su smislili sljedeću priču još dalje.
Na primjer, možete dobiti licencu mobilnog operatera; Nakon što ste dobili licencu mobilnog operatera, dobićete pristup ovoj stvari - poziva se SS7 protokol kroz koji ćete vidjeti nešto zraka od mobilnih operatera; postoji gomila svih vrsta identifikatora koji nisu lični podaci. Prije toga je to bio IMEI, ali sada - doslovno ga je neko skinuo s jezika i odlučio da održi jedinstvenu bazu podataka ovih "IMEI" u Rusiji (takva inicijativa). Nekako postoji, ali ipak.
Postoji i, na primjer, gomila identifikatora - na primjer IMCI (mobilna oprema identifikator), koji nije lični podatak niti je vezan za bilo koje druge stvari i shodno tome može se sačuvati bez ikakvog sudskog gonjenja, a onda kod koga Nekako razmijenite ove identifikatore kako biste kasnije komunicirali s osobom.
Kultura rada sa ličnim podacima je niska
Sve u svemu, poenta je da su svi sada veoma zabrinuti zbog kombinovanja podataka jedni s drugima, a većina kompanija koje rade ovu kombinaciju ponekad i ne razmišljaju o tome. Na primjer, došla je banka, sklopila ugovor o tajnosti podataka sa kompanijom koja se bavi bodovanjem i prebacila joj 100 hiljada svojih klijenata...
I ova banka nema uvijek klauzulu u svom ugovoru o prijenosu podataka trećim licima. Ovi klijenti su tu nešto skripali, a kasnije nije jasno kuda je ova baza podataka otišla, nije otišla - većina kompanija u Rusiji nema kulturu brisanja podataka... - ovaj "Excel" će sigurno završiti negdje na sekretaričin kompjuter i onda spusti slušalicu.
Naši podaci se mogu prodati uz svaku kupovinu u trgovini
Postoji mnogo shema koje izgledaju gotovo legalne (odnosno legalne). Na primjer, priča je sljedeća: od 15 najvećih ruskih banaka samo dvije su zapravo SMS gateway - Tinkoff i Alfa, odnosno šalju svoje SMS poruke. Druge banke koriste SMS gatewaye za slanje SMS-a krajnjim klijentima. Ovi SMS gateway-i gotovo uvijek imaju pravo analizirati sadržaj (na primjer, zbog sigurnosti i nekih svojih zaključaka) kako bi potom prodali agregiranu statistiku. Ovi SMS gateway-i su „prijatelji“ sa operaterima fiskalnih podataka koji obrađuju čekove.
I ispada sledeće: došli ste na kasu, operater fiskalnih podataka (dali su vam, nisu vam dali broj telefona - tu je nekako povezan) ... dobijate SMS na broj telefona, gateway ovih SMS poruka vidi poslednje 4 cifre kartice i broj telefona. Znamo u kom trenutku ste izvršili transakciju od operatera fiskalnih podataka, a u SMS-u znamo (sada) na koji broj informacija o zaduženju tog i tog iznosa novca sa te i takve zadnje četiri cifre kartice je primljen. Posljednje četiri cifre kartice nisu vaši identifikatori, ne krše zakon, jer vas ne mogu deanonimizirati, a ne može ni iznos transakcije.
Ali ako ste se dogovorili sa operaterom fiskalnih podataka, znate u kom vremenskom roku (plus minus 5 minuta) treba da vam stigne ovaj SMS. Tako ste u OFD-u brzo bili povezani sa vašim brojem telefona, a vaš broj telefona je povezan sa reklamnim identifikatorima, općenito sa svime, svime, svime. Stoga vas mogu kasnije sustići: došli su u radnju, pa su vam bez dozvole poslali neku drugu glupost. Mislim da jedva da postoji neko u ovoj prostoriji ko je ikada napisao žalbu FAS-u na neželjenu poštu. Jedva da ih ima... Osim mene, vjerovatno.
Radovi su arhaičan, ali efikasan način borbe za svoja prava
Ovo radi veoma cool. Istina, moraćete da čekate godinu i po dana, ali će FAS zapravo proveriti: ko, kako, kome je preneo podatke, zašto gde i tako dalje.
Pitanje iz publike (u daljem tekstu – 3): – U Bjelorusiji ne postoji FAS. Ovo je druga zemlja.
OH: - Da, razumijem. Sigurno postoji neki analog...
Prigovori stižu iz publike
OH: - Ok, loš primjer, izvini. Nije bitno. Među mojim prijateljima ne poznajem nikoga ko u principu zna za postojanje takve priče - da možete otići da je napišete, a onda će raditi još godinu dana.
Druga priča, koja se takođe uveliko razvija u Rusiji, ali mislim da ćete naći analog u svojoj zemlji. Zaista volim ovo da radim, kada neka državna agencija loše komunicira s vama, neka banka ili nešto treće - kažete: „Daj mi parče papira“. I pišete na komadu papira: „U skladu sa stavom 14. 152. saveznog zakona, molim vas da lične podatke obrađujete u papirnoj formi.“ Ne znam kako se to tačno radi u Bjelorusiji, ali se svakako radi. Prema ruskim zakonima, nemate pravo da odbijete uslugu po ovom osnovu.
Čak poznajem mnogo ljudi koji su slali slične stvari na Mail.ru i tražili da vode evidenciju o svojim ličnim podacima u papirnom obliku. Mail.ru se borio protiv ovoga veoma dugo. Čak znam i jednog Yandex programera koji se šalio: izbrisali su mu VK nalog i poslali mu gomilu odštampanih snimaka ekrana, i rekli da će mu poslati snimke ekrana svaki put kada želi da ažurira svoju stranicu.
Smiješno, ali ipak je ovo prava alternativa ako je nekome stvarno stalo do podataka, s jedne strane... A s druge strane, isti RKN mi je rekao da je ovaj ugovor o obradi ličnih podataka formalan, a zakon predviđa još nekoliko opcija za davanje ove saglasnosti. I da sam, na primjer, pozvan ovdje na događaj, i ako, na primjer, Human Constanta možda ne sklopi ugovor sa mnom o obradi ličnih podataka u okviru ruskih zakona (jer sama činjenica da sam došao i pristao da govorim je saglasnost za obradu ličnih podataka) - svi i dalje uzimaju ove papirne dozvole. Ali iz RKN su mi rekli nešto slično, da to uopšte nije činjenica, da će najvjerovatnije jednog dana nestati.
Nadam se da u Rusiji nikada neće stvoriti ni jednog operatera, oprosti mi, ličnih podataka, jer jedino što je gore od stavljanja svih ličnih podataka u jednu korpu je stavljanje u državnu korpu. Jer ko zna šta će sa svim ovim biti kasnije.
Kompanije dijele lične podatke, a zakoni su slabi da to regulišu
Većina kompanija međusobno razmjenjuje neku vrstu podataka i identifikatora. To može biti prodavnica sa bankom, pa banka sa društvenom mrežom, društvena mreža sa nečim drugim... I na kraju, ti ljudi imaju određenu kritičnu masu znanja koja se može iskoristiti na neki način, i sva ova saznanja su istinita, sada pokušavaju da to zadrže na svojoj strani. Ali ipak, onda ipak završi u nekom reklamnom prometu ili negdje drugdje.
Prenošenje podataka trećim licima je najzabavnija stvar koja se može dogoditi, jer zakoni ne opisuju kakva su to treća lica, prema kojima bi se trebali smatrati „trećim“. Ovo je, inače, vrlo česta fraza američkih advokata – oni to imaju Treće strane – ko, koga smatrate trećim licima: baka, prabaka?.. Bio je čak i takav presedan u Americi, kada otkriveni su nečiji podaci, osoba je podnijela tužbu, a dokazali su da je ta osoba poznavala vlasnika podataka preko nekoliko prijatelja - određeni broj rukovanja, naveli su neke čudne sociološke studije - čime su dokazali da se ti ljudi ne mogu smatrati trećima strane jedna drugoj. Smiješno. Ali činjenica prijenosa takvih podataka je vrlo česta.
Čak i ako odete na stranicu na kojoj postoji brojač za identifikaciju, ovaj brojač ima pravo negdje prenijeti podatke o tom prometu (u Clickstream, vlasnicima reklamnih platformi za bilo šta, Pornhub, na primjer). Pornhub, ako je neko od vas web programer, idite vidjeti koliko piksela za praćenje ima na web stranici Pornhub. Samo uđete i tu se učita ogromna količina java skripte, kao da poboljšate funkcionisanje sajta. Zapravo, tu su instalirani i cross-domanski „kolačići“, kojih nema, jer su ove informacije uvijek visoko cijenjene na „clickstream“ tržištu.
Facebook se klati i neće skinuti masku
Naravno, nijedan od glavnih igrača nikada nikome ne govori kome i kako prodaju podatke. Zbog toga, na primjer, Evropa sada pokušava tužiti Facebook. Neposredno nakon uvođenja GDPR-a, Evropska unija pokušava uzdrmati Facebookovo vlastito otkrivanje algoritama za preprodaju podataka trećim stranama.
Facebook to ne radi i javno izjavljuje da to ne radi jer su “mirovne korporacije” (citiram iz e-maila koji su mi poslali) i oni su “protiv štetne upotrebe tehnologije” (posebno ako prodajete prepoznavanje lica Kremlju). Općenito, poenta je da Facebook to ne radi sasvim iskreno: njegov glavni cilj i glavna stvar koja će se dogoditi čim se otkrije takav mehanizam je da će biti moguće stvarno izračunati marginalnost oglašavanja, to će biti moguće razumjeti stvarnu cijenu oglašavanja.
Uobičajeno, ako vam Facebook sada kaže da je cijena reklamnog impresija 5 rubalja, a mi vam ga prodajemo za 3 (i, recimo, imamo dvije rublje), a oni, uslovno, primaju 5% profita od ove reklamne impresije. Zapravo, to nije 5%, već 505, jer ako ovaj algoritam izađe na vidjelo (kome i kako je Facebook prenio koliko puta „clickstream“, podatke o posjetima, podatke o pikselima na sve vrste reklamnih mreža), ispada da zarađuju mnogo više nego što se o tome govori. A poenta ovdje nije sam novac, već činjenica da je cijena klika rublja, ali u stvari - stotinke kopejki.
Općenito, poenta je da svi pokušavaju sakriti takav prijenos, nije bitno da li je riječ o reklamnom ili nereklamnom prometu, ali on postoji. Nažalost, ne postoji način da se to pravno sazna, jer su kompanije privatne, a sve što imaju unutra je njihovo privatno pravo i njihova poslovna tajna. Ali slične priče su se tamo vrlo često pojavljivale.
Dileri droge su predvidljivi i "zapaljivi" na Avitu
Poslednja slika sa ove prezentacije. Smiješno je, a suština mu je da postoje određene kategorije ljudi koji su jako zabrinuti za svoje lične podatke. I to je zapravo dobro! Ovaj primjer govori o takvoj kategoriji ljudi kao što su dileri droge. Čini se da ljudi koji bi trebali biti veoma zabrinuti za svoje lične podatke...
Riječ je o studiji koja je rađena početkom ove godine pod nadzorom nadležnih organa. Da, ovo je skripta koja je dobila novac za kupovinu droge na Telegramu i Thoru, ali samo od onih ljudi koji su mogli biti identificirani.
Zapravo, gotovo svi moskovski dileri droge se oslanjaju na činjenicu da njihov broj telefona nije ni u jednom otvorenom izvoru, ali prije ili kasnije će nešto prodati na Avitu, odakle će se moći razumjeti približna lokacija tih ljudi. Poenta je da su crvene tačke tamo gde ljudi žive, a zelene gde idu da ostave znate šta. Ovo je bio jedan od dijelova algoritma koji je predviđao postavljanje patrolnih službi, ali ovi moskovski momci uvijek pokušavaju nekako da idu dijagonalno, dalje.
Vjeruju da ako žive gore lijevo, onda bi trebali ići gore desno i sigurno se tamo nikada neće naći. Ono što vam govorim je da ako se pokušavate sakriti od sveprisutnih algoritama, prava najbolja opcija je da promijenite svoj model ponašanja: instalirate neku vrstu "Gostera" za nasumično odabiranje posjeta, posjeda i tako dalje. O moj Bože, čak postoje algoritmi i dodaci koji mijenjaju veličinu pretraživača za par piksela tako da se potpis, „otisak prsta“ pretraživača ne može izračunati i nekako vas identificirati.
To je sve što sam htio reći. Ako imate pitanja, javite nam. Evo linka do prezentacije.
Pitanje iz publike (Z): – Recite mi, molim vas, sa stanovišta korišćenja Thora, sa stanovišta praćenja saobraćaja... Da li ga preporučujete?
Teško je to sakriti, ali je moguće
OH: - "Thor"? “Thor” ne, ni u kom obliku. Istina, ne znam kako je u Bjelorusiji - u Rusiji uopće ne biste trebali ići tamo, jer gotovo većina provjerenih "gracenoda" odjednom dodaje određene pakete vašem prometu. Ne znam koje, ali ako pogledate: postoje "čvorovi" koji označavaju promet, nije jasno ko to radi, u koje svrhe, ali neko to označava u zaglavlju da bi se kasnije moglo razumjeti. U Rusiji se sada sav promet pohranjuje, čak i ako je pohranjen u šifriranom obliku, i svi trole paket Yarovaya o činjenici da je šifrirani promet pohranjen, ali ostaje označen, odnosno ne može se koristiti ili dešifrirati. .
Z: – U Evropi se čuva dugo, verovatno deset godina.
OH: - Da, razumijem. Svi se ovome smiju - kao, pohranjujete https koji se ne može pročitati. Sadržaj se ne može pročitati, ali možete razumjeti odakle su paketi došli pomoću određenih algoritama - po težini paketa, po dužini itd. A kada imate sve provajdere pod svojom kontrolom, imate, shodno tome, svu opremu za kičmu i sve pasoše... Generalno, da li razumete o čemu pričam?
Z: – Koji pretraživač preporučujete da koristite?
OH: – Za “Thora”?
Z: - Ne sve.
OH: - Pa ne znam. Ja zapravo koristim Chrome, ali samo zato što je tabla za programere najpogodnija. Ako iznenada trebam negde da idem, idem u neki kafić. Istina, nema potrebe da se prijavljujete sa pravom SIM karticom.
Z: – Govorili ste o nekim studentima. Da li negdje predajete ili vodite neke kurseve?
OH: – Da, imamo master diplome iz data novinarstva. Obučavamo novinare da prikupljaju podatke i analiziraju ih - oni povremeno rade slična istraživanja.
Nema sigurnih aplikacija
Z: – Nije bezbedno komunicirati sa prijateljima na Facebooku, Vkontakteu, kako kasnije ne biste dobili kontekstualno oglašavanje. Kako možete poboljšati sigurnost?
OH: – Pitanje je šta smatrate prihvatljivim nivoom sigurnosti. U principu, ne postoji riječ „sigurno“. Pitanje je šta smatrate prihvatljivim. Neki smatraju da je prihvatljivo razmjenjivati intimne fotografije putem Facebooka, a neki obavještajci smatraju da je sve što je izgovoreno kroz usta, čak i najbližoj osobi, zapravo nesigurno. Ako ne želite da društvena mreža sazna nešto o tome, onda da, bolje je ne pisati o tome. Ne znam nijednu sigurnu aplikaciju. Bojim se da ih nema. I to je normalno sa stanovišta da bilo koji vlasnik bilo koje aplikacije mora nekako da je unovči, čak i ako je ova aplikacija besplatna ili je neka vrsta medija. Čini se da je besplatno, ali ipak mora od nečega živjeti. Dakle, ništa nije sigurno. Vi samo morate sami da odlučite, da tako kažem, šta Vama odgovara.
Z: – Šta koristiš?
OH: - Društvene mreže?
Z: - Od glasnika.
OH: – Što se tiče glasnika, ja koristim glavni državni glasnik Ruske Federacije – Telegram.
Z: - “Viber”. Je li sigurno?
OH: – Slušaj, nisam baš upućen u glasnike. Da budem iskren, ne vjerujem u sigurnost, ne vjerujem ni u šta, jer bi to vjerovatno bilo jako čudno. Iako je Telegram neka vrsta otvorenog koda, i njegovi algoritmi šifriranja su otkriveni. Ali ovo je i tako zeznuta stvar, jer postoji klijent „otvorenog koda“, ali niko nije video servere. Mislim da nije: ima puno neželjene pošte, botova i tako dalje na Viberu. Ko zna. Mislim da sve ovo ne funkcioniše dobro.
Ko je opasniji – korporacije ili država?
Domaćin (B): – I imam jedno pitanje za vas. Vidite, par puta ste ovo spomenuli u prolazu - da država... Previše podataka nije baš dobro... Korporacija ima previše podataka. Pa, to je samo život, zar ne? Pa koga da se više plašimo – korporacija ili države? Gdje su zamke?
OH: - To je veoma teško pitanje. To se graniči. Kompleksna etička barijera. Čovjek, ako nema čega da se plaši, ako nije prekršio zakon, u principu, zašto mu treba privatnost? Iako ja ne mislim tako, država tako misli. Možda u ovome ima zrnce istine. Slušaj, ono čega se najviše bojim su hakeri - ovako nešto. Zapravo, najveća okrutnost koju sam vidio u životu (iz cijele ove teme): prije otprilike godinu i po do dvije godine u Podmoskovlju je uhvaćen pedofil i tokom istražnih radnji su pronašli nekoliko Python tutorijala i skripte na svom računaru, API VK. Sakupio je račune djevojaka, analizirao koja je od njih u blizini, prikupio sadržaj koji one... Ukratko, shvatili ste. Ovo je najveće sranje koje sam ikada vidio. I to je ono čega se zaista bojim, da će neko jednog dana uraditi nešto slično.
Još jedan mali “offtopic”: Evropska organizacija za državnu sigurnost je te godine objavila da je broj krađa sa bankovnih računa porastao za oko 20 posto kada je hakovano tajno pitanje. Razmislite sada o svom tajnom pitanju u banci i razmislite mogu li pronaći odgovor na njega iz otvorenih izvora. Ako tamo imate mamino devojačko prezime ili svoje omiljeno jelo... Generalno, ljudi su analizirali račune, na osnovu toga su shvatili ime svog omiljenog ljubimca - otprilike ovako...
Z: – Rekli ste da kompanije i korporacije prikupljaju potrebne informacije pomoću algoritama? Sigurno znate kako?
OH: – Došlo je do pomeranja ljudi koji su svojevremeno puštali fotografije kroz poseban filter, da bi ovaj filter prekinuo analizu slika, kako bi kasnije bilo nemoguće te ljude nekako identifikovati. Evo dao sam vam primjer: Facebook se borio sa kriptografijom poruka. A ako se ova stvar pojavi i postane raširena, društvene mreže će se vjerovatno boriti protiv toga. Osim toga, prepoznavanje slika sada radi vrlo dobro, a to se graniči sa činjenicom da će nivo dovoljan da se „razbije“ ova fotografija (kako bi se „razbio“ algoritam koji prepoznaje ove slike) – najvjerovatnije na njoj više ništa nije jasno ne biti.
Sve vrste filtera grešaka rade dobro ako postoji jak direktan pomak na polovini fotografije. Vaš račun će tada poprimiti sve boje LSD-a. Čisto teoretski, ne mislim da je strašno ako Facebook, na primjer, sazna kakav auto imam - vjerovatno ako se ne prijavim u auto preko Facebooka.
Zakon zaborava radi, ali ne na internetu
Z: – Da li ste naišli na korisnika koji vas je natjerao da ga poštujete, izbrišete, dobijete pristup. Radite s velikim količinama podataka, vjerovatno ćete o tome obavijestiti. Ljudi vas mogu kontaktirati. Koji procenat?
OH: – Sad ću ti reći. Sada ovo postaje zaista zanimljivo. Sada ću prebrojati koliko će ljudi doći, jer nakon događaja uvijek dođe 15-20% popuni formular za brisanje podataka - postoji takva stvar. U stvarnosti, to je oko 7-8% zatvorenih naloga koje ne analiziramo i oko 5 ljudi od hiljadu koji traže brisanje svojih podataka. Ovo je vrlo malo, čak i po mom skromnom mišljenju.
Problem je u ovome: postoji nešto kao što je zakon zaborava. Ali zakon o zaboravu, barem u Rusiji, pravno se primjenjuje samo na pretraživače. Ovde piše: pretraživači. A to znači brisanje samo linkova na materijale, a ne i samih materijala. U stvarnosti, da biste uklonili nešto sa interneta, moraćete da zaobiđete sve ove izvore, tako da ja u to u osnovi ne verujem. Pokušavamo upozoriti korisnike da prvo moraju razmisliti prije objavljivanja.
Za sada je ovaj procenat veoma mali - 5-7 ljudi od hiljada. Usput, o zakonu o zaboravu: svi znaju tako kul slučaj „Sečin protiv RBC-a“. Proradio je zakon zaborava, članak je obrisan, ali ga ima svuda. Shvaćate da ako nešto jednom dođe na internet, nikada neće nestati odatle.
Korisnici se brišu, ali se identificiraju tipičnim ponašanjem
Z: – Ne mislite li da će ljudi koji brišu svoje račune i pokušavaju postati „crna rupa“ biti u nepovoljnijem položaju u odnosu na druge ekonomske subjekte?
OH: - Najvjerovatnije da - ova situacija će im biti nepovoljna. Postoji mnogo popusta i ponuda koje zavise od njih. Ali, čisto teoretski, ako osoba sada izbriše nalog... Popularno je među svim vrstama ekstremista, kada izbrišu nalog i naprave lažnjak, ali nastave da komuniciraju sa istim sadržajem - ova osoba se, opet, može identifikovati (naročito ako je unutar iste društvene mreže, sa jednog računara - to je uglavnom pitanje); Jednostavno na osnovu modela potrošnje sadržaja, tu osobu će biti moguće pronaći ako postoji takav zadatak.
Nadam se da će se u narednih 5 godina pojaviti neka vrsta tehnologije za monetizaciju ovih podataka, kada će zaista biti moguće platiti osobi novac - platit ćete sami, a mi nećemo koristiti vaše podatke. Ali mislim da ako neki Instagram uvede plaćenu pretplatu, niko je neće koristiti, pa je alternativa plaćati korisnicima njihove podatke. Ali to se neće dogoditi uskoro, jer lobi strašnih korporativnih tipova neće dozvoliti da se donese takav zakon, iako bi to bilo cool. Ali poenta je da je nemoguće procijeniti stvarnu vrijednost podataka jedne osobe u bilo kojem određenom trenutku.
Facebook - curi momci
Z: - Dobar dan. Nedavno se pojavila vijest da Facebook namjerava integrirati sve svoje projekte, uključujući Instagram i Facebook, WhatsApp i tako dalje. Šta mislite, sa stanovišta ličnih podataka, kada sada na mom pametnom telefonu izgleda da ovi programi vise odvojeno, ali i dalje pripadaju Facebooku?.. Šta će se dalje dogoditi?
OH: - Razumijem. Oni pravno već pripadaju Fejsbuku, i on ih može nekontrolisano ujediniti u sebi, tako da mislim da se ništa neće promeniti. Jedino što je sada dovoljno hakovati jednu aplikaciju da biste dobili sve odjednom. I Facebook... Nadam se da gledaju. Strašno curi momci na svim mjestima.
Nedavno se pojavilo mnogo informacija o tome - o curenju podataka sa Facebooka. Ovo se nije pojavilo zato što je Facebook iznenada počeo da gubi ove podatke, već zato što GDPR sada primorava kompaniju da unapred upozorava. A najveća kazna je ako je došlo do curenja informacija, ali kompanija je o tome šutjela i zato Facebook sada sam o tome priča. To ne znači da ovih curenja podataka nije bilo ranije.
Z: - Zdravo. Imam pitanje u vezi pohrane podataka. Sada svaka država donosi zakon kojim bi se osiguralo da se podaci građana pohranjuju na teritoriji te države. Koji uslov je dovoljno ispuniti da bi se ispunio ovaj zakon za neku međunarodnu primjenu?.. Na primjer, Facebook: postoji samo jedna baza podataka...
Kako ispoštovati ove uslove?
OH: – Slušaj, zakonski treba samo iznajmiti server u ovoj zemlji i staviti nešto na njega. Problem je što ne postoji nadležno regulatorno tijelo. Facebook podaci ne postoje u Rusiji. Roskomnadzor se s njima bori i tuče, tuče se i tuče... Fejsbuk ima deo servera na kojima se nalazi interfejs baš ovog Fejsbuka i nemoguće je proveriti gde zapravo leže podaci i kako su sinhronizovani.
Z: – Provjeriti promet?
OH: – Provjeriti promet? Da. Ali saobraćaj tada može ići do neke glavne tačke. Osim toga, između servera može postojati nešto poput VPN-a ili nečeg drugog. Čisto teoretski, ne postoji način da se kontroliše da se, recimo, sistem administrator jednog dana neće prijaviti na ovaj server i uzeti nešto odatle. Odnosno, ovaj zakon nije napravljen radi zaštite podataka, već da bi se osiguralo da kompanije otvaraju predstavništva, plaćaju poreze i skladište robu u zemlji. Ali po mom mišljenju, ovo je neka vrsta vrlo čudne inicijative, da budem iskren.
Z: – Dakle, dovoljno je stvarno provjeriti interfejs?
OH: Neko može doći do vas i provjeriti da li su vaši podaci tamo. Ali možete pokazati nekakav Excel, i niko ga neće moći provjeriti, teško da će ga neko provjeriti. Sada jednostavno gledaju IP adrese: da se IP adresa povezana sa domenom nalazi na teritoriji zemlje - ne provjeravaju dalje. Sad će, vjerovatno, doći da me provjere.
Ne postoje servisi kojima možete vjerovati 100%, ali pristojni ljudi nemaju čega da se boje
Z: - Ovo je vijest, preštampana na mnogim mjestima: tip je objavio iz Microsofta, napravio servis da provjeri svoje...
OH: – Nešto poput: da li su vam lozinke procurile? Zapravo, nakon istih curenja na Facebooku, isti Facebook uvijek pokreće neku vrstu backup stranica na kojima možete provjeriti da nije uključen u ovu bazu podataka – opet, GDPR to zahtijeva. Odnosno, ako to ne uradite, nećete se osećati dobro. Stoga svi sada ove projekte predstavljaju kao „ovo je naša inicijativa“; u stvari, zakon to nalaže. Ovo je zapravo jako dobra stvar, ali ne bih baš vjerovao takvim uslugama provjere ako trebate poslati nešto složenije od vaše lozinke, jer mnogi ljudi imaju iste lozinke.
Z: – Samo unesete svoj e-mail, a oni vam već kažu koliko je puta kompromitovan...
OH: – Ja zapravo ne verujem takvim stvarima, jer vas je vrlo lako povezati sa ovim pretraživačem, sa pravim nalogom. Pogotovo ako koristite usluge istih ljudi koji su pokrenuli ovu stranicu. To je kao one godine kada je Fejsbuk poslao: ako su vaše intimne fotografije procurile na Fejsbuk, pošaljite nam ih i mi ćemo proveriti gde su pomenute.
Ne znam kakva je ovo PR noćna mora i ko je to na Fejsbuku smislio, ali zaista se desilo. Htjeli su vidjeti da li je neko poslao vaše aktove u privatne poruke. U principu, ovo služi dobrim svrhama, ali je što je moguće čudnije. Ne bih vjerovao.
Z: - I još jedno pitanje. Za prosječnog korisnika, koliko su visoki rizici od curenja? Rizici od oštećenja zbog curenja.
OH: - Razumio sam te. Zavisi koju vrstu podataka pohraniti. Mislim da nije visoko. Najgore je ako vam e-mailovi i lozinke negdje cure, a ovu lozinku imate posvuda – onda da. Generalno, mislim da korisnici nemaju čega da se plaše. Ali osim ako, naravno, ne pohranjuju neke komade u Google mail. Bilo je mnogo primjera.
Najpoznatija priča je na Guglu, kada je devojka kidnapovana u Juti, nisu mogli da je pronađu, a u jednom trenutku kidnaperi su joj poslali fotografije u arhivskom prilogu. I Google je, skenirajući ovaj prilog, pronašao znakove dječje pornografije. Našli su svakoga. A uspjeli su i tužiti Google zbog kršenja povjerljivosti prepiske. Ovo suđenje je trajalo dosta dugo. Ali ipak, vjerujem da se prosječan korisnik nema čega bojati ako, recimo, svoj pasoš ne učini javno dostupnim. Ovo je dvostruka priča - ovisno o tome kakvi podaci i kakav korisnik. Možda je sada u redu, ali za 15 godina, kada postane nekakav funkcioner, neki od njegovih materijala će izaći na vidjelo.
Kako to funkcionira sa vladom?
Z: - Hvala ti. Malo ste pričali o istraživanju za državu, vladine agencije, službe i radu s njima. Možda nam možete reći nešto više o nekim trenutnim projektima. Čak i više, ako možete, o... Dva pitanja: prvo su trenutni projekti, a drugo da li je bilo takvih prijedloga državnih službi...
OH: - Nepristojno!
Z: - Da. Kada ste pomislili: možda ne biste trebali ovo da radite.
OH: - Reći ću ti. To govorim svima. Ova osoba i ja smo se dugo svađali na Twitteru. Jednom sam dobio pitanje od Milonovljevog Tviter tima o pronalaženju nastavnika koji gledaju gej pornografiju. Odmah smo rekli ne. Ali ima ih, često dolaze pisma, a vrlo često je to povezano sa nekim opozicionarima, skupovima. Ne bavimo se takvim glupostima, ionako nas svi sere. Ne stidim se ovoga.
Imamo sljedeću politiku u vezi sa “stanjima”: razvijamo softver, softver za trodimenzionalnu rekonstrukciju, prepoznavanje lica i analizu podataka. Vrlo je teško reći čime se tačno bave, ali modeli uključuju predviđanje kriminala, stvari vezane za državnu sigurnost u gradu, kretanje ljudi, geomarketing i tako dalje. Od postavljanja predmeta u gradsko okruženje do identifikacije pedofila, silovatelja, manijaka i svih vrsta loših momaka.
Iskreno, nismo se bavili bilo kakvim opozicionim djelovanjem. Možda nam to ne govore u lice. U stvari, to je veoma veliki problem - saradnja sa „vladama“, jer one ne objašnjavaju uvek šta je zadatak. Kažu vam: napravite softver za identifikaciju domaćica, ali će u stvari uraditi nešto drugo s njim - sve se pokvari.
Osim toga, država je vrlo zanimljiv i čudan klijent koji stalno pokušava da ubaci tri centa u vaše istraživanje, a često su njihovi pristupi i razumijevanje mašinskog učenja vrlo površni. Na primjer, imam zasebno predavanje o greškama u mašinskom učenju. Tu uvijek dajem primjer: kada smo pravili sistem za predviđanje kriminala u Moskovskoj regiji, kupac je rekao: gdje prodaju lubenice, povećajte koeficijent za četiri puta. A onda se, zapravo, pokazalo da mjesta na kojima se prodaju lubenice uopće nisu kriminalna. To su jednostavno greške osobe koja daje svoje misli.
Ukratko, država je kul klijent, ima tu dosta zanimljivih zadataka. Većina se svodi na slične modele predviđanja nečega. Najčešće je to neka vrsta urbane infrastrukture.
Z: – Postoje li izvori u kojima možete pratiti svoje istraživanje? Puno informacija. Koliko sam ja shvatio, mnogo toga je još uvijek preostalo. Vaše stranice, nešto drugo...
OH: – Nemam lične stranice.
Z: – Vjerovatno je Facebook već zatvoren?
OH: – Prije otprilike četiri mjeseca bila je priča: svima su nam slali tako velika pisma da ste „vi ste nakaze, sve prodajete Kremlju, kršite sva pravila Fejsbuka“. Čak su mom psu poslali i pismo: "Zdravo, Mars plavi korgi, prikupljaš podatke!" i tako dalje. Slušaj, sada vršimo rebrendiranje. Za dvije ili tri sedmice naša web stranica će biti otvorena i sve će biti ažurirano. Ovo će biti nešto za gledati. Ali mi smo jednostavno vrlo lijeni u tom pogledu.
Kako možete odrediti pouzdanost VPN-a?
Z: – Kada ste rekli da ćete otići u kafić, a da se ne identifikujete svojim brojem telefona? I pod čime?
OH: – Ne možete reći „pod tuđim imenom“, jer je ovo poziv na kršenje propisa o identifikaciji. Ne ne ne. Šalim se. Sada skoro svi kafići identifikuju sve – ne postoji samo telefonski broj, postoji gomila piksela, postoji identifikacija uređaja, MAC adresa i ostalo, da bi se to kasnije koristilo – od reklamnih razloga do operativnih aktivnosti pretraživanja. Stoga morate biti veoma oprezni sa takvim stvarima. Ne samo da možete nešto napisati, već i oni mogu pisati s vašeg uređaja, a onda se nešto dogodi.
Možda ste vidjeli priču o tome kako sada sprovode istragu o tome kako (usput rečeno, i u Bjelorusiji) iznajmljuju Facebook račune, na primjer, za reklamiranje kazina. Ali u stvari, nepoznato je zašto, daju i pristup kompjuteru. Ovo su stvari koje trebate izbjegavati koliko god je to moguće. Ako odlučiš da odnekud napišeš nešto anonimno... Došao bih u kafić i uključio neki cool VPN. Ali u stvari (opet, ne upirem prstom ni u koga), kada imate nalog na VPN-u, provjeravate ko je vlasnik ovog VPN-a, koja kompanija, ko je vlasnik ove kompanije i tako dalje. Jer većina igrača na VPN tržištu nisu baš dobri momci.
Pa, dobro, u Bjelorusiji to nije važno. U Rusiji se dobar VPN provjerava je li azino777 tamo blokiran ili ne. Jer ako ne, onda postoji velika vjerovatnoća da će ovaj VPN servis biti zatvoren u roku od tjedan dana. Općenito, provjerite sve.
O automatskom brisanju poruka
Z: – Toliko ste pričali o ličnim porukama da ih čitaju društvene mreže... Ali, na primer, Fejsbuk ima tajne lične poruke koje se mogu podesiti (osim što su i šifrovane) za uništavanje. Kako možete ovo komentarisati?
OH: - Nema šanse. Prvo, nisam super profesionalac u kriptografiji, a drugo, ovdje je problem što niko nije vidio Facebook server, niko ne zna kako sve to tamo funkcionira. Uobičajeno, neka specifikacija kaže da je ovo end-to-end enkripcija, ali možda nije tako, ili je end-to-end, ali sa nekim greškama ili nečim drugim. Ima smisla koristiti takvu stvar ako se bojite da će osoba kojoj ste je poslali u nekom trenutku pokušati nešto učiniti.
Telegram ima zgodnu funkciju za slanje intimnih fotografija koje se sami brišu: kada pokušate da napravite snimak ekrana, on se automatski briše. iPhone sada ima funkciju za snimanje videa sa ekrana, a možete snimati video sa ekrana i tako dalje... Jednostavno mi vrlo često šalju materijale sa ovom funkcijom (auto-delete) - nikad ne razumijem zašto. Mogu ga preuzeti odmah! Sve je po vašem nahođenju.
Društveni rejting u Kini: mitovi, stvarnost, izgledi
AT: – Ja to zapravo malo zloupotrebljavam, iako mi VPN ne treba (usput, imamo dokazan VPN). A pitanje je oko etike. Imamo divnog prijatelja iz Kazahstana, takođe smo ga doveli da drži predavanje. Jednom smo sjedili s njim na nekoj konferenciji, gdje su razgovarali o raznim stvarima, a on je rekao (a bavi se sajber-sigurnošću, odnosno u čistom obliku, inženjerskom sigurnošću, osoba koju zanimaju tehnička rješenja): „Evo, Vratio sam se iz Kine. Tamo rade tako kul stvar - društveni rejting.” Usput, jeste li radili neko istraživanje o ovom pitanju, kako to funkcionira kod njih?
OH: – Prodajemo golove u Rusiji, znam dosta o tome.
AT: – Pa imam pitanje, šta biste nam više rekli o tome – o tome šta nas sve možda čeka u budućnosti. Ali još jedno pitanje o etici. Tako radosno je rekao: "Zanimljivo inženjersko rješenje!" Imate li svoj etički kodeks?
OH: - Da, usput, postoji. Pre dve godine smo to predstavili - odmah nakon priče sa Milonovom, odlučili smo da nekako rangiramo ove projekte. Da se vratimo na rejting: ovo je jedno od super popularnih pitanja, jer mediji itekako demonizuju celu ovu priču – da ljudi ne smeju da idu u inostranstvo, ubijaju ih laserom sa meseca. Donosim vam, opet, inženjerske stvari...
Ako počnete kopati po ovoj historiji, pogledajte koji su parametri uključeni u ovu društvenu ocjenu, shvatit ćete: uključuje zatvorenu alimentaciju, kaznene dosijee, kreditnu istoriju, odnosno, zaista sjajna stvar sa inženjerske tačke gledišta. Živite bez kršenja zakona, živite dobro - daju vam niske kredite. Imate važan društveni posao (na primjer, učitelj) - dobivate odgovarajući smještaj. U početku je to sve zbunilo, jer je isprva procurila priča da ako pišeš loše o predsjedniku, onda će ti biti snižen rejting. Iako nije bilo dokaza. U odbranu rejtinga, reći ću protiv ocjene da niko nije vidio algoritam, koji parametri se tu zapravo koriste.
Tada se pojavila priča da više od milion ljudi ne smije da ode u inostranstvo i da im je zabranjen izlazak. Zapravo, ovo nije sasvim tačna formulacija. Kada dobijete vizu (na primjer, za Evropu), dobijate vizu po cijeni od “70 eura dnevno” (tako nešto); Ako ne dostavite dokaz o prihodima, nećete dobiti vizu. U Kini je lokalno Ministarstvo vanjskih poslova odlučilo otići malo dalje: jednostavno je odmah upozorilo ljude koji nemaju dovoljno novca da ako želite u inostranstvo, nećete imati dovoljno novca. Shodno tome, sve je to kasnije kanalisano u koncept da siromašnima nije dozvoljen odlazak u inostranstvo. Ovo je složena etička stvar, graniči se sa određenom pretpostavkom krivice ili nevinosti, ali u stvari ne mogu dati ocjenu.
Ljudi ubijaju, a ne oružje
Glavna stvar koju treba da shvatite je da svi ovi algoritmi koje društvo osuđuje nisu problem sa algoritmima. Algoritmi su jednostavno omogućili da se vrlo brzo analizira veliki “volumen” ljudi, a ovaj društveni problem je podignut na vrh. Odnosno, Microsoftov bot koji je učio iz tvitova i postao rasista - nije kriv bot, već tvitovi koje čita. Ili kompanija koja odluči da analizira sadašnji model izgradi model idealnog radnika, a ispostavi se da je riječ o bijelcu, rodno orijentisanom muškarcu sa visokim obrazovanjem.
Ovo nije model koji je rasistički, seksistički ili bilo šta drugo; to su ljudi koji su te ljude zaposlili (da li su bili u pravu ili ne - nije bitno). Sve se jednostavno graniči sa činjenicom da je vještačka inteligencija zla, loša, i da će uništiti svijet, ali u stvari... Ako, uslovno, sada, na primjer, ruska vlast donese zakon da opozicionari neće dobiti besplatno obrazovanja, a oni će pisati softver koji ih identifikuje i lišava ovog besplatnog obrazovanja - nije algoritam koji će biti kriv. Mada niko ne podržava ovu moju koncepciju, jer kad kažem da ne ubija oružje, nego ljudi, “ti si fašista” i tako dalje.
Općenito, ovo je stvarno cool inženjersko rješenje. Morate razumjeti zašto se to neće dogoditi, na primjer, u Rusiji. Vi [u Bjelorusiji] ovo nećete imati, jer ste evropska država, s vama je sve u redu. To se u Rusiji neće dogoditi iz više razloga: prvo, mi nemamo isti nivo povjerenja u sistem provođenja zakona kao u Kini; Nemamo isti nivo digitalizacije. Zašto je sve funkcionisalo u Kini? Jer vlada: imaju digitalnu medicinu, digitalno osiguranje, digitalnu policiju. I neko pametan je došao na ideju: hajde da sve to spojimo i napravimo – u suštini to je program lojalnosti. Ima više dobrota nego "ne-dobrota".
Dakle, da – mislim da to neće biti uvedeno u Rusiji. Prvo treba da digitalizujemo kompletno Ministarstvo zdravlja (a to je zadatak za 50 godina) - neko će morati da položi život da bi to uradio, ali to, naravno, niko neće. S druge strane, ruske banke su lideri u svijetu u bodovanju ljudi, ne rade ništa: „Da, čovječe? Volite li mlade djevojke? Evo kreditne kartice za tvoju ljubavnicu.” Tamo je sve veoma napredno. Recimo, u Americi je ovakvo bodovanje gotovo svuda zabranjeno, jer postoje zakoni po kojima je banka dužna da vam objasni zašto: „Aha! Zato što kompanija Social Data Hub čuva istoriju već 10 godina, i taj i taj je otkrio nešto o vama! I hajde da tužimo obojicu! Ali kod nas nema takvih priča.
Zašto se prešućuje statistika?
U principu, podržavam bodovanje, ako nije neka “totalitarna” priča. Ali cijelo je pitanje da je to nemoguće predvidjeti i procijeniti. Ovo je najteža priča u etici velikih podataka - predvidjeti društveni uticaj koji će biti tamo za 15 godina. Na primjer, ja sam jako dugo molio tužilaštvo da otvori informacije o kriminalu. Statistika kriminala je jedan od kamena temeljaca svake statistike; svi to zaista žele. Ali, na primjer, u Rusiji ne otvaraju statistiku kriminala iz vrlo jednostavnog razloga: boje se da poremete demografiju u gradovima. Vjeruju da će ljudi prestati živjeti u nekim gradovima, a i unutar grada će se sve nekako preraspodijeliti. Iz istog razloga ne otkrivaju statistiku Jedinstvenog državnog ispita - razumijete da će ljudi ići u neke škole, a ne u druge.
Možda je to tačno, možda nije, ali bilo je mnogo projekata... Na primer, Yandex je svojevremeno (opet, prema „žutim“ glasinama, nisam video, ne znam) odlučio da modelu predviđanja nekretnina dodati broj napada na taksiste, odnosno nekakav pristup stepenu kriminala, računajući broj pritužbi taksista da ih je neko maltretirao, prijetio i tako dalje. Brzo su to odbili unutar kompanije da ne rade takve stvari.
Z: – Vi komunicirate sa studentima, komunicirate sa publikom u svojoj zemlji, kod nas. Iz brojnih pitanja publike primijetili ste da smo još uvijek u onoj fazi razvoja kada mislimo da nam je potrebna povjerljivost, da možemo sakriti od nekoga, zaštititi svoje podatke tako što ćemo ih ne dati, sakriti ih, šifrirati. Ako je Evropska unija već prešla u sljedeću fazu, fazu privatnosti, koja podrazumijeva kontrolu nad podacima - prisiliti svakoga ko prikuplja vaše podatke da vam da efektivnu kontrolu nad njima... Na osnovu uzoraka po regijama, po društvenim slojevima - koja kategorija građana, ljudi, je više Da li je ona već prešla u drugu fazu, ili ko još uglavnom sjedi na prvoj?
Koga najviše brine sigurnost ličnih podataka?
OH: – Totalna većina... Rekao bih: nikog nije briga! Ovo sada brine top menadžere. Po gradovima u Rusiji to su Moskva i Sankt Peterburg. Aktivni centar su informatičari, dizajneri, kreativci, svi koji znaju filtrirati sadržaje, steći nova znanja, sa visokim stepenom interesovanja za međunarodna pitanja. To su uglavnom top menadžeri; da, IT stručnjaci (ne računajući stručnjake za sigurnost); bankari - odnosno svi ljudi na koje bi curenje podataka moglo na neki način uticati.
Ako se, na primjer, ukradu podaci nekog domaćina iz neke Kaluge, malo je vjerovatno da će se nešto ozbiljno promijeniti u njegovom životu ako mu neko ukrade, na primjer, pristup gmailu, gdje čuva pristup TV serijama. Pitanje je da zakon štiti sve podjednako, i tako je, jer...sa stanovišta zakona svi su jednaki - haha...ali najvažnije je da se ne može shvatiti čiji podaci koliko će vrijediti dok ovi podaci ne nestanu - nažalost, vrlo je teško predvidjeti. Ali u osnovi ova kategorija građana.
Telefon - u foliji!
Jedini put u životu vidio sam kompletno skladište svega i svačega u dvije kompanije. Jedan je najveći integrator informacijske sigurnosti: sve tamo, čak i USB, zapečaćeno je ljepilom unutar ureda; i ljudi tamo su isti - sreo sam tamo čovjeka koji je imao telefon u folijskoj vrećici. Saznao sam da postoje kompanije koje prodaju ovakve specijalne torbe. I drugi put sam u Bloombergu vidio sličnu priču među zaposlenima: stajali smo u sobi za pušenje, a neko se negdje slikao, a jedan od njih - "Da se ne vidimo tamo u pozadini!" Bio sam kao, “Oh, wow”!
“Bolji smo od FSB-a”
Ne bih rekao da je to manje od jedan posto stanovništva, ali, nažalost, u opštoj masi, gotovo svima nije svejedno. Ali sa druge strane imam skandalozan servis za praćenje postupanja maloletnika (davno smo ga pokrenuli pod sloganom „Bolji smo od FSB-a“), da upozorim roditelja da maloletnik pravi smeće. , prije našeg vlastitog algoritma, instaliranog gdje -neko će mu biti poslan.
Prilikom ovjere djeteta potrebno je poslati sken pasoša (to je u principu normalna praksa), ali smo napisali da možete odrezati broj pasoša jer nas to ne zanima; Zanimaju nas samo vaša fotografija, hologram i ime i prezime. A za skoro 100% ljudi - pa, oko 95 pasoša od 100 - ljudi su pažljivo izrezali ove brojeve u Photoshopu i poslali samo neophodan dio. Odnosno, shvatili su - da, pošto im ne treba, onda ne trebaju ni slati. Po mom mišljenju, ovo je neka vrsta stvarnog napretka, koji je podstaknut njihovim nepovjerenjem u nas.
Z: – Uzorak je tako specifičan. Ima ljudi koji se prijavljuju, već su napredovali.
Ljudi ne žele da ih prate, ali ne čitaju sporazume
OH: - Da. A druga stvar je ista: pokrenuli smo aplikaciju za upoznavanje za testiranje krajem te godine (uskoro ćemo je ponovo pokrenuti). Postojala je kontrolna grupa od 100 hiljada ljudi. A tu je, prema GDPR pristupima, bilo 15 potvrdnih okvira na mom ličnom nalogu - dajem dozvolu da analiziram interakciju sa interfejsom, da pristupim svojoj demografiji, da pristupim trodimenzionalnoj rekonstrukciji lica, da pristupim mojim ličnim porukama itd. . Opisali smo sve moguće pristupe što je više moguće. Negdje postoji čak i statistika o tome ko je označio koje kvadratiće. 98% je ostavilo sve okvire označene prema zadanim postavkama (i pored toga što su otišli na ovu stranicu i vidjeli sve, ali ih nije bilo briga), ali je bilo zanimljivo analizirati ovih 2% šta je ljudima prioritet.
Svi su uklonili dozvolu za pristup ličnim porukama i skoro svi su uklonili dozvolu za pristup podacima seksualnih testova (šta im se tamo sviđa, šta su tu popunili, njihove perverzije - šalim se). Ali ljudi su bili gurnuti u ovo, bockani: interfejs im govori - pročitajte ovo pažljivo, daje vam priliku da skrolujete kroz ovaj sporazum do kraja. Ali to je učinjeno isključivo zato što je to bio istraživački projekat i svi su bili upozoreni. Nijedna kompanija, uključujući i nas, kada puste ovu aplikaciju u javnu domenu, neće natjerati osobu da pročita ovu poruku do kraja, jer... e, izvinite, tako sve funkcionira.
Pod uslovom da su došli kod nas, znajući šta kompanija radi, znajući da su otišli u servis koji će vam ponuditi kandidate na osnovu toga kakvu pornografiju volite - čak i na osnovu ovoga, samo 2% je pročitalo ove kvadratiće i generalno nešto uradilo . I gotovo niko od njih nije poništio opciju “Pristup prometu i podacima o posjetima drugim web stranicama”. Uglavnom su svi bili zabrinuti zbog ličnih poruka.
Golotinja i zatvor za lajkove - zanimljivi zakoni bratskih republika
Z: – Imam pitanje o zaštiti podataka. Možeš da nosiš svoj telefon u foliji, praviš se da ih nema... Onda ispadne da ga nekako sačuvaš, sačuvaš, ali onda moraš da daš svoje podatke državi, jer ona traži od tebe, i jednostavno ne možeš... A onda se ispostavi da su državni izvođači svi dupki. A u Bjelorusiji postoji i takva norma: ako provjerim sigurnost svojih ličnih podataka (nešto ispravim i dobijem pristup), onda sam odmah kriminalac. Isti članak je korišten da se novinari u „slučaju BelT” optuže za neovlašteni pristup podacima (možete sami pročitati). Dakle, moje vlastito pitanje je: da li su takva ograničenja efikasna mjera za privatnost, i općenito za sigurnost privatnih podataka?
OH: - Razumijem. U Bjelorusiji postoji mnogo vrlo zanimljivih zakona. Tek nedavno sam saznao... Stalno se šalim na račun emitiranja golotinje, ali ispada da je to ovdje zabranjeno.
Z: – Demonstracije su zabranjene!
OH: - Ovo je zapravo pomalo čudno.
Z: – Možete gledati, ne možete prenositi, ne možete lajkovati. Ne možete to gledati zajedno!
OH: – Odgovoriću na tvoje pitanje. Dozvolite mi da se vratim na temu „biti u zatvoru zbog lajkova“ u Moskvi. U Rusiji je ovo tema broj jedan. Ne znam kako je u Belorusiji, ali, iskreno, država... Ako analizirate statistiku, u Moskvi je 95 od 100 hapšenja zbog lajkova kada se ljudi žale na ljude, neko piše tužilaštvu o drugom osoba. Država vrlo rijetko pokreće takve slučajeve. Čini mi se da je ovaj zakon apsurdan. Ne znam ni jednog pravog kriminalca koji je zbog ovoga bio zatvoren. Ali ova mjera se koristi da se osobi imputira barem nešto. Čini mi se da je ovo što je moguće čudnije. Mislim da će jednog dana biti otkazan.
Z: - Ovo se zove čuvanje poklopca.
OH: - Pa dobro... Ne mogu reći. Nisam baš prodržavni monstrum, ali moju percepciju su malo promenili, znate, ljudi koji nam dođu i kažu: „Dete mi je nestalo, pomozite mi da ga pronađem“. Ja kažem: „Ne mogu ništa da uradim bez dozvole suda“. Gledate ove roditelje koji bi dali sve u životu, dali bilo kakav pristup bilo kakvim podacima, samo da riješe svoj problem. Stoga mi je jako teško voditi takvu raspravu: s jedne strane, smatram da država radi pravu stvar kada hvata prave ljude, ali s druge strane, nekontrolisan pristup je generalno strašna priča.
Vraćam se vašem tekstu, "izvinite" što sam vas omestio. Uopste ne verujem u folijske kese. Imati mobilni telefon i zamotati ga u foliju je pomalo glupo. Zašto ovo radiš? Da se telefon ne poveže na Wi-Fi? Lakše ga je isključiti. Da vas mobilni operater ne identifikuje? Oni još uvijek mogu trilatirati signal i nekako ga izračunati. Za mene, jedine efikasne sigurnosne mjere su sigurno skladištenje, poput lokalne mreže - možda u stanu, gdje možete nešto pohraniti.
Z: - Postavlja se pitanje zakona. Da li je zakon represivan prema osobi koja želi provjeriti svoje podatke?
OH: - Razumijem, da. Nisam ni znao za ovu stvar, tako da vam ne mogu sa sigurnošću reći. U Rusiji toga nema, iako je tamo sve veoma komplikovano. Vjerovatno se možete posavjetovati sa kvalifikovanim advokatima i, možda, postoji nekakva rupa - možda se možete obratiti nekom evropskom sudu... Ne? Ne mogu vam reći o ovome. Moje poznavanje prava je površno, na nivou direktora kompanije. Znam šta ne treba raditi a da ti niko ništa ne kaže. Ovo je, naravno, veoma tužno.
Z: – Mislim da je u drugim zemljama (na primjer, u Sjedinjenim Državama) normalna praksa da možete testirati neku vrstu ranjivosti, pa je onda prijaviti, ali ne i otkriti.
OH: - Da, "bug bounty". Shvatio sam da postoji tako nešto.
Z: “A kompanije nemaju mehanizam da vas uklone jer je to jeftinije.”
OH: – I to se graniči sa nivoom zakona. Zavisi kako ćete pronaći ovu ranjivost. Čini mi se da je dosta novca plaćenog za ovu ranjivost u Americi isplaćeno na osnovu ugovora o neotkrivanju podataka i prijetnji da će tu osobu tužiti. Takođe kao da nije držao sveću. Uvek rizikujemo ovakve stvari. Moji zaposleni su nekoliko puta pronašli slične propuste u raznim državnim aplikacijama - ja uvijek kažem: „Pošaljite anonimno pismo radije nego da im kažete da je rupa tu.“ A onda će doći neki istraživački institut i pružiti ovu uslugu... Generalno, neću nastaviti.
Nemoguće je provjeriti integritet poslovanja: ako vam se ne sviđa, nemojte ga koristiti
Z: - Pitanje. Rekli ste da ste sproveli eksperiment - 15 checkbox-a je trebalo označiti... Recimo da korisnik poništi sve checkboxove. Ko će to kontrolisati i kako? Kako mogu ovo provjeriti?
OH: – Reći ću vam iskreno: niko i nikako. Ozbiljno. Činjenica da ste označili i poništili polje "Zabrani praćenje oglasa" na Googleu ne znači ništa. Nažalost, čak i kada postavite zabranu indeksiranja pretraživača na VKontakte, pretraživači ga i dalje indeksiraju, a zatim jednostavno ne daju ove rezultate određenim ljudima. Sve je to zbog nedostatka nadležnih organa koji to ne mogu provjeriti. Osim toga, kompanije koje to rade su privatne. Bez obzira da li Facebook ima ispravan ili pogrešan stav, oni ga imaju: ako vam se ne sviđa, nemojte ga koristiti.
O regulaciji
Z: – Imam samo jedno jednostavno pitanje. Kako mislite o pitanju regulacije u obradi podataka i samoregulaciji?
OH: – Kao predstavnik kompanije, smatram da je tržištu i poslovanju potrebna samoregulacija. Vjerujem da Udruženje Big Data može sve regulisati sama, bez države. Zaista ne vjerujem državnoj regulativi i zaista ne vjerujem svim pričama kada država želi nešto da zadrži za sebe, jer je svaki slučaj pokazao da je to jako loše. Neko će sigurno staviti login i lozinku na žutu naljepnicu na monitoru i tako dalje.
Generalno, vjerujem u samoregulaciju. Plus, vjerujem da ćemo u narednih 5 godina doći do neke vrste otvorenosti. I sada se to već vidi iz news feedova da je državi jako teško lagati korisnike, a korisnicima vrlo teško lagati sistem. I ovo je, u principu, vjerovatno dobro. Pošto su naši obavještajci identifikovani sa javnih fotografija
Sve to vjerovatno dovodi do smanjenja stope kriminala. Pa, čisto matematički. Ako neko želi da razgovara o smanjenju stope kriminala, može se izvući mnogo različitih zaključaka. Generalno, ja sam za samoregulaciju tržišta. Hvala ti!
Neke reklame 🙂
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivih sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, , jedinstveni analog servera početnog nivoa, koji smo mi izmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji u Equinix Tier IV data centru u Amsterdamu? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com