Persondatabeskyttelsesdag, Minsk, 2019. Arrangør: menneskerettighedsorganisationen Human Constanta.
Førende (i det følgende - B): – Artur Khachuyan er engageret i... Kan vi sige "på den mørke side" i forbindelse med vores konference?
Artur Khachuyan (i det følgende - AH): På virksomhedssiden, ja.
I: "Han indsamler dine data, sælger dem til virksomheder.
Åh: - Ikke rigtig…
I: "Og han vil fortælle dig præcis, hvordan virksomheder kan bruge dine data, hvad der sker med dataene, når de kommer online. Han vil sandsynligvis ikke fortælle dig, hvad du skal gøre med det. Vi tænker videre...
Åh: - Jeg skal fortælle dig, jeg skal fortælle dig. Faktisk vil jeg ikke fortælle dig det i lang tid, men ved det forrige arrangement blev jeg præsenteret for en person, som Facebook endda blokerede hundens konto for.
Hej alle! Mit navn er Arthur. Jeg behandler og indsamler virkelig data. Jeg sælger selvfølgelig ingen personlige data til nogen i det offentlige domæne. sjov. Mit aktivitetsområde er udvinding af viden fra data, der er i åbne kilder. Når noget ikke er juridisk persondata, men viden kan udvindes fra det og gøres til det samme i betydning, som hvis disse data var hentet fra persondata. Jeg vil ikke sige noget virkelig forfærdeligt. Her har jeg dog også tal om Rusland, men om Hviderusland.
Hvad er den reelle skala?
Netop i forgårs var jeg i Moskva i et af de førende, regerende partier (jeg vil ikke sige hvilket), og vi diskuterede implementeringen af et eller andet projekt. Og det betyder, at IT-direktøren for dette parti rejser sig og siger: "Du sagde, tal og så videre, du ved, FSB's 2. direktorat har udarbejdet en seddel til mig her, som siger, at der er 24 millioner russere i sociale medier. netværk. Og du siger - 120 med noget. Faktisk har vi mere end tredive [millioner] mennesker, der ikke bruger internettet." Jeg siger ja? OKAY".
Folk forstår ikke rigtigt omfang. Det er ikke nødvendigvis statslige instanser, som nok ikke helt forstår, hvordan internettet fungerer, men faktisk min mor f.eks. Hun begynder først nu at forstå, at hun får et kort i Perekrestok af en grund, ikke for de elendige rabatter, som denne Perekrestok tilbyder, men for det faktum, at hendes data senere bliver brugt i OFD, køb, forudsigelsesmodeller og så videre .
Generelt er der så mange beboere, og der er information om så mange i åbne kilder. Kun efternavnet er kendt om nogen, alt er kendt om nogen, lige ned til den porno, han kan lide (jeg joker altid med dette, men det er sandt); og alle mulige informationer: hvor ofte folk rejser, hvem de møder, hvilke køb de foretager, hvem de bor sammen med, hvordan de bevæger sig rundt - en masse alle slags informationer, som dårlige, knap så dårlige og gode fyre kan bruge (Jeg ved ikke engang, hvilken skala jeg skal finde på lige nu, men ikke desto mindre).
Der er sociale netværk, som selvfølgelig er et kæmpe sæt af åbne data, der spiller på svaghederne hos mennesker, der på en måde skriger om privatlivets fred. Men i virkeligheden, hvis du forestiller dig en graf over de seneste 5 år, vokser niveauet af hysteri omkring persondata, men samtidig falder antallet af lukkede sociale mediekonti år for år. Det er måske ikke helt korrekt at drage konklusioner af dette, men: den første ting, der stopper enhver virksomhed, der indsamler data, er en dumt lukket konto på sociale netværk, fordi en persons mening inde på hans lukkede konto, hvis han ikke har 100 tusinde abonnenter, det er egentlig ikke særlig interessant for en eller anden form for analyse; men der er også sådanne tilfælde.
Hvor får de information om os?
Er du nogensinde blevet banket på af dine gamle skolekammerater, som du ikke har kommunikeret med i lang tid, og så forsvandt denne konto? Der er sådan noget blandt de onde, der samler på telefoner: de analyserer venner (og vennelisten er næsten altid åben, selvom en person lukker sin profil, eller vennelisten kan gendannes "i den modsatte retning" af samler alle andre brugere), de tager nogle inaktive din ven, laver en kopi af hans side, banker på din ven, du tilføjer ham og efter to sekunder slettes kontoen; men samtidig forblev en kopi af din side. Så faktisk gjorde fyrene det for nylig, da 68 millioner profiler fra Facebook fløj væk et sted - de tilføjede omtrent det samme til alle som venner, kopierede disse oplysninger, skrev endda til nogen i personlige beskeder, gjorde noget ...
Sociale netværk er en enorm kilde til information, i næsten 80% af tilfældene tages information om en bestemt person ikke direkte, men fra det umiddelbare miljø - dette er alle former for indirekte viden, tegn (vi kalder det "Onde ex" algoritmen ), fordi en af mine En ven skubbede mig til denne helt geniale idé. Hun fulgte aldrig sin kæreste – hun fulgte altid hans fem venner og vidste altid, hvor han var. Dette er faktisk en grund til at skrive en hel videnskabelig artikel.
Der er et enormt antal bots, der også gør alle mulige gode og dårlige ting. Der er harmløse dem, der dumt abonnerer på dig for at reklamere for kosmetik til dig senere; men der er seriøse net, der forsøger at påtvinge deres mening, især før valget. Jeg ved ikke, hvordan det er i Hviderusland, men i Moskva før kommunalvalget havde jeg af en eller anden grund et stort antal venner af nogle uforståelige, og hver kampagne for en anden kandidat, det vil sige, det gør de absolut ikke analysere det indhold, jeg forbruger - de forsøger bare at påtvinge en uforståelig reform under hensyntagen til det faktum, at jeg slet ikke er registreret i Moskva og ikke vil stemme.
Skrald - en kilde til farlig information
Derudover er der Thor, som ikke ligefrem er undervurderet - alle tænker, at man kun behøver at tage dertil for at købe stoffer eller finde ud af, hvordan våben bliver lavet. Men faktisk er der mange datakilder derude. Næsten alle af dem er ulovlige (såsom næsten lovlige), fordi nogen kunne hacke sig ind i databasen over luftfartsselskaber på et hackerwebsted og smide dem der. Juridisk kan du ikke bruge disse data, men hvis du får noget viden derfra (som i en amerikansk domstol), for eksempel en optagelse af en lydsamtale lavet uden en kendelse, kan du ikke bruge dem, men den viden du har modtaget fra denne lydoptagelse glemmer du ikke, og her er det omtrent det samme.
Det er faktisk en meget farlig ting, så jeg joker altid, men det er sandt. Jeg bestiller altid mad altid til det næste hus, fordi udbringningsklubben går i stykker meget ofte, og den har virkelig sådanne problemer. Og for nylig blev jeg meget overrasket: Jeg bestilte dagligvarer, og på kassen, som jeg tog til skraldespanden, blev der klistret et klistermærke, hvorpå der står "Artur Khachuyan", telefonnummer, lejlighedsadresse, samtaleanlægskode og e-mail. Faktisk forsøgte vi endda at forhandle med Moskva kommune om at give adgang til lossepladsen: generelt for at komme til lossepladsen og forsøge, rent for interessens skyld, at prøve at finde noget omtale af personlige data - at gøre noget som en mini-forskning. Men vi fik afslag, da de fandt ud af, at vi ville med Roskomnadzor-ansatte.
Men dette er faktisk tilfældet. Har du set den fantastiske film "Hackers"? De søgte rundt i skraldespanden for at finde en del af virussen. Dette er også en populær ting - når folk smed noget ind i åbne kilder, glemte de det. Det kunne være et eller andet skolested, hvor de skrev deres afhandling om hvid overherredømme, og så gik de til statsdumaen og glemte det. Sådanne tilfælde skete faktisk.
Hvad kan folk i Forenet Rusland lide?
Hvis du går til "topchik" på Lifenews-webstedet ... Studerende lavede en undersøgelse for mig for to år siden: de tog alle deltagerne i primærvalgene i Forenet Rusland (de indsendte alle officielt deres sociale mediekonti til den All-Russian Central Executive Committee), så på, hvad de generelt kan lide - porno barnlig, thrash, obskure annoncer fra mærkelige voksne kvinder ... Generelt glemte folk det lidt.
Så skrev de et brev om, at tyve personer fik stjålet deres konti. Men deres konti blev stjålet for to uger siden, de indsendte dem til valgkommissionen for 8 måneder siden, og likes var for to år siden ... Generelt forstår du, ikke? Der er virkelig en enorm mængde information, som altid kan bruges selv til forskningsformål.
Minioftopchik: i går så jeg nyheden om, at Roskomnadzor blokerede studier af studerende i "tårnet" for to år siden. Måske har nogen set denne nyhed, ikke? Det var mine elever, der foretog forskningen: de var fra Tor, fra Hydra-webstedet, hvor der sælges stoffer (undskyld, fra Rampa), de indsamlede information om hvor meget, hvad, i hvilken region i Rusland det koster, og de gjorde forskning. Det blev kaldt "Forbrugerens kurv af en festgænger". Det er selvfølgelig en sjov ting, men fra et dataanalyses synspunkt er datasættet faktisk interessant – så gik jeg i yderligere to år til alle mulige "hackathons". Dette er en rigtig ting - der er mange interessante ting der.
Hvordan Få Kontakt "købte sjælene" af nysgerrige brugere og hvorfor du skal læse brugeraftalen
Normalt, når du spørger en person, hvilken slags datalækage du er bange for (især hvis en person har et webcam optaget), sætter han altid prioritetsstrukturen sådan her: hackere, staten, virksomheder.
Dette er selvfølgelig en joke. Men faktisk har aktive dataanalytikere, alle slags dataforskere stjålet meget mere end, det forekommer mig, skræmmende russere, amerikanere eller nogle andre hackere (erstat alle, afhængigt af din politiske overbevisning). Generelt er alle normalt bange for dette - har I alle jeres webcam optaget? Du kan ikke engang række hænderne op.
Men hvis hackerne gør noget ulovligt, og staten har brug for en retskendelse for at få dataene, så har de sidste fyre [selskaber] ikke brug for noget som helst, fordi de har sådan noget som en brugeraftale, som ingen nogensinde har brug for. læser. Og jeg håber virkelig, at sådanne begivenheder stadig vil tvinge folk til at læse aftalerne. Jeg ved ikke, hvordan det var i Hviderusland, men i Moskva i midten af det år var der en bølge af GetContact-applikationen (det vidste du sikkert), da en applikation dukkede op ud af ingenting, der siger: giv applikationen adgang til alle dine kontakter, og vi viser dig, hvor sjov du blev optaget.
Det dukkede ikke op i medierne, men en masse højtstående medarbejdere klagede til mig over, at alle begyndte at ringe til dem hele tiden. Tilsyneladende besluttede administratorerne at finde Shoigus telefon i denne database, en anden ... Volochkova ... En harmløs ting. Men dem, der læser GetContact licensaftalen - der står: spam i ubegrænsede mængder i ubegrænset tid, ukontrolleret salg af dine data til tredjeparter, uden begrænsning af rettigheder, forældelsesfrister og generelt alt hvad der er muligt. Og det er faktisk ikke sådan en supersjælden historie. Her er Facebook for mig, mens jeg var der, 15 gange om dagen viste notifikationer: "Og synkroniser dine kontakter, og jeg vil finde dig alle dine venner, du har!".
Virksomheder er ligeglade. Føderal lov 152 og GDPR
Men faktisk går prioriteringerne i den modsatte retning, fordi virksomheder er beskyttet af privatretten, og derfor er det i næsten alle tilfælde umuligt at bevise, at de tager fejl. Og i betragtning af, at det er stort, skræmmende og meget dyrt, er det næsten umuligt. Og hvis du også er i Rusland, med forældet lovgivning, så er alt på en eller anden måde fuldstændig trist.
Ved du, hvordan den russiske lov (og den er praktisk talt hviderussisk) adskiller sig fra for eksempel GDPR? Den russiske 152. føderale lov beskytter data (dette er et levn fra den sovjetiske fortid) - et dokument, der beskytter data mod at blive lækket et eller andet sted. Og GDPR beskytter brugernes rettigheder - retten til at de mister nogle friheder, privilegier eller noget andet, fordi deres data vil lække et eller andet sted (de introducerede et sådant koncept direkte i "data-li"). Og vi har alt, hvad de kan opkræve dig for - en bøde for ikke at have en certificeret "åben" - "Excel" til behandling af persondata. Jeg håber, at det vil ændre sig en dag, men jeg tror ikke, det vil ændre sig snart.
Hvad er de reelle målretningsmuligheder i dag?
Den første, sandsynligvis skræmmende historie, som alle konstant tænkte på, var at læse private beskeder. Der er helt sikkert en person blandt jer, der nogensinde har sagt noget højt, og derefter modtaget målrettet reklame. Ja, var der? Ræk hænderne i vejret.
Jeg tror virkelig ikke på historien om, at den betingede Yandex Navigator genkender direkte lyd i strømmen for alle brugere, fordi de, der har stødt på stemmegenkendelse lidt, de forstår, at: for det første skal Yandex-datacenteret » fem gange mere være ; men vigtigst af alt ville omkostningerne ved at tiltrække sådan en person koste mange penge (for at genkende lyd i streamen og forstå, hvad personen taler om). Men! I virkeligheden er der algoritmer, der tagger dig for bestemte søgeord for derefter at lave en form for reklamekommunikation.
Der var mange sådanne undersøgelser, og jeg lavede rent regnskab 100 gange, skrev noget til nogen i beskeder, og så fik jeg pludselig en annonce, som ikke så ud til at have noget med det at gøre. Der er faktisk to konklusioner her. Mod en sådan historie - menes det, at en person simpelthen falder ind i en slags statistisk stikprøve; Lad os sige, at du er en 25-årig mand, som lige i dette øjeblik burde have mødt engelskkurser lige i det øjeblik, du skrev til nogen. I det mindste siger Facebook altid dette i retten: at der er en bestemt adfærdsmodel, som vi ikke vil vise dig, som er bygget på data, som vi ikke vil vise dig, vi har intern forskning, som vi bestemt ikke vil vise dig ( fordi alt er en forretningshemmelighed); generelt faldt du ind i en bestemt statistisk stikprøve, så vi viste det til dig.
Hvordan Facebook pjækkede brugernes privatliv
Desværre er dette generelt umuligt at bevise, hvis du ikke har en person i virksomheden, som på en eller anden måde vil bekræfte disse handlinger. Men i amerikansk lovgivning er denne medarbejders fortrolighedserklæring i dette tilfælde højere end hans ønske om at hjælpe dig, så ingen vil gøre det. Det er også interessant - det var omkring et år eller halvandet år siden - en tendens begyndte at udvikle sig i Amerika, hvor folk installerede en browserudvidelse til at kryptere Facebook-beskeder: du skriver noget til en person, han krypterer det med en nøgle på enheden og sender den til skrald i åben adgang.
For eksempel har Facebook sagsøgt dette firma i halvandet år, og det er ikke klart på hvilket grundlag (fordi jeg ikke er velbevandret i amerikansk lovgivning) tvang dem til at fjerne denne ansøgning og derefter lavede en ændring af brugeraftalen : hvis du kigger, er der sådan en klausul, at du ikke kan transmittere beskeder i krypteret form - det er på en eller anden måde så snedigt beskrevet der, at du ikke kan bruge kryptografiske algoritmer til at ændre beskeder - ja, sådan noget er der. Det vil sige, de sagde: enten bruger du vores platform, skriver i det offentlige domæne, eller også skriver du ikke. Og det rejser spørgsmålet: hvad har de overhovedet brug for private beskeder til?
Private beskeder er en kilde til XNUMX % pålidelig information
Her er en meget simpel ting. Alle, der analyserer det digitale fodaftryk, menneskelig aktivitet, forsøger på en eller anden måde at bruge disse data til markedsføring eller noget andet - de har sådan en metrik som pålidelighed. Det vil sige et bestemt billede af en person - du forstår udmærket, det er ikke en person selv - dette billede er altid lidt mere vellykket, lidt bedre. Private beskeder er reel viden, der kan opnås om en person, de er næsten altid 100% pålidelige. Nå, for sjældent vil nogen skrive noget til nogen i private beskeder, bedrage, og det hele er meget nemt at tjekke - henholdsvis ifølge andre beskeder (du forstår hvad jeg taler om). Den nederste linje er, at viden udvundet på denne måde er næsten 100 % pålidelig, så alle forsøger altid at få fingrene i den.
Men ikke desto mindre er det hele igen en meget svær historie at bevise. Og dem, der mener, at den betingede "Vkontakte" har sådan adgang fra retshåndhævende myndigheder til personlige beskeder - dette er ikke helt sandt. Hvis du bare ser på historien om retsanmodninger om videregivelse af oplysninger, hvordan Vkontakte meget smart (i dette tilfælde Mail.ru) bekæmper disse anmodninger.
De har altid hovedargumentet: Ifølge loven skal retshåndhævende myndigheder argumentere for, hvorfor der er behov for adgang til personlige beskeder. Som regel, hvis der er tale om et mord, siger efterforskeren altid, at personen højst sandsynligt sagde, hvor han gemte våbnet (i private beskeder). Men du og jeg forstår, at ikke en eneste fornuftig kriminel nogensinde vil skrive til sine medskyldige på VKontakte om, hvor han gemte skydevåbnene. Men dette er en af de mest almindelige muligheder, som embedsmænd rapporterer.
Og her er endnu et sådant forfærdeligt eksempel (jeg blev bedt om at give forfærdelige eksempler i dag) - om Rusland (jeg håber ikke, det vil ske i Hviderusland): ifølge loven skal efterforskeren have tilstrækkelig gode grunde til, at operatøren kan afsløre disse oplysninger . Naturligvis er disse pålidelige parametre ikke beskrevet nogen steder (hvad, i hvilken form de skal være), men i Rusland er der nu et stigende antal præcedenser, når et sådant grundlag vises for retten, hvis der er en bestemt model, der forudsagde en vis, god eller dårlig opførsel.
Det vil sige, at ingen i vores land kan fængsles (og det er godt) for at være med i en eller anden statistisk stikprøve af racerene mordere – og det er godt, fordi det bryder uskyldsformodningen; men der er fortilfælde, hvor resultaterne af sådanne prognoser er blevet brugt til at opnå retsgodkendelse for data. Ikke kun i Rusland, i øvrigt. I Amerika er der også sådan noget. Der har Palantir også slået alle længe, sådan noget bliver brugt. Skræmmende fortælling.
Dette er min forskning. Vi gjorde dette: vi gik rundt i St. Petersborg, på steder med grønne prikker skrev vi nogle nøglepunkter til venner fra "rene" konti - som "Jeg vil drikke kaffe", "hvor kan jeg købe vaskepulver?" og så videre. Og så, i overensstemmelse hermed, modtog de geo-refererede annoncer. På en eller anden magisk måde ... Eller som de sagde: “Tilfældigheder? Tænk ikke!" Disse er personlige beskeder på Vkontakte. Tilgiv mig Mail.ru, men det er sandt. Enhver kan gentage dette eksperiment.
Forresten, da de skrev en erklæring til støtte, sagde Mail, at der var wi-fi-punkter, der fangede din poppy-adresse. Sådan noget er der også.
Metoder til indhentning og fælles muligheder for at "dræne" persondata
Den næste historie er udvindingen af yderligere viden, som jeg faktisk rørte ved. Faktisk rummer en færdig persons profil i sociale netværk virkelig 15-20% af den reelle viden, som dataoperatøren gemmer om ham. Resten af historien kommer fra meget interessante ting. Hvorfor tror du, at Google udvikler biblioteker til computersyn så meget? De var især blandt de første til at udvikle biblioteker til rent faktisk at analysere og kategorisere objekter – i baggrunden, i forgrunden, uanset hvor. Fordi dette er en enorm kilde til yderligere information om, hvilken slags lejlighed en person har, en bil, hvor han bor, luksusvarer ...
Der var en masse "hacker"-fyld, da trænede Googles neurale netværk fusionerede (jeg ved ikke, hvem de var, men ikke desto mindre). Der var mange interessante ting om størrelsen på brystet, taljeomkreds - som kun folk ikke forsøgte at finde ud af om andre mennesker baseret på analysen af fotografier. For når en person tager et billede, tænker han ikke altid på, hvor mange interessante ting du kan lære af det? Og hvor mange pas til nyfødte er der udlagt i Rusland? .. Eller: "Hurra, min baby fik visum"! Dette er generelt det moderne samfunds smerte.
Sådan et offtopic (i dag vil jeg dele fakta med dig): i Moskva er den hyppigste lækage af personlige data boliger og kommunale tjenester, når en liste over debitorer hænger på døren, og disse debitorer så sagsøger, fordi deres personlige data blev til åben adgang uden deres tilladelser. Hvad nu hvis dette sker for dig ... Den nederste linje er, at når en person gør noget, ved han ikke, hvad der var på billedet, hvad der ikke var. Der er mange bilnumre nu.
Vi foretog engang en undersøgelse - vi forsøgte at forstå, hvor mange mennesker med åbne billeder af biler (de har hhv. lovovertrædelser og så videre) - dette kunne desværre kun lade sig gøre ved at bruge de sammenlagte færdselspolitidatabaser, hvor der kun er en nummer (ikke særlig pålidelige oplysninger), men det var også interessant.
Din næste annonce afhænger af, hvordan du "forbrugte" den forrige.
Dette er den første historie. Den anden historie er adfærdsmønstre, det indhold, en person forbruger, fordi en af de vigtigste målinger, som sociale netværk forsøger at bygge om dig, er, hvordan du interagerer med annoncer. Uanset hvor nøjagtige, "fantastiske" algoritmer er, uanset hvor vidunderlige kunstige intelligenser og alt andet virker, er den virkelige prioritet for et socialt netværk altid at tjene penge. Derfor, hvis den betingede "Coca-Cola" kommer og siger - "Jeg vil have, at alle indbyggerne i Belarus skal se mit indlæg", vil de se det, uanset hvad algoritmerne synes om denne person, hvordan man målretter ham der. Du har sikkert modtaget annoncer, foruden super-super-målrettede, vrøvl helt uden relation. Fordi der blev betalt mange penge for dette urelaterede sludder.
Men en af de vigtigste målinger er at forstå, hvilket indhold du interagerer bedst med, nemlig hvordan du reagerer på det for at vise dig en lignende reklamehistorie. Og følgelig er dette en metrik for, hvordan du interagerer med annoncering: hvem forbyder det, hvem gør ikke, hvordan en person klikker, om han kun læser overskrifter eller falder helt ind i materialet; og så ud fra det, fortsæt med at holde dig i denne, som det nu hedder, "filterboble", så du fortsætter med at interagere med dette indhold.
Hvis du pludselig nogensinde er interesseret, prøver du i lang tid, inden for en uge, måske en måned, bare forbyd alle annoncer fra sociale netværk i træk: du får vist en form for annonce - du lukker den. Hvis du analyserer dette og sætter det på en graf, vil der være en interessant historie: Hvis du forbyder annoncer i en uge, vil den næste uge vise dig i en forbedret version og generelt fra forskellige kategorier; det vil sige, betinget, du elsker hunde, og annoncer med hunde bliver vist til dig - du har forbudt alle hunde, og så vil de begynde at vise dig alle mulige alsidige nonsens fra forskellige muligheder for at prøve at forstå, hvad du har brug for.
Og så vil de i sidste ende spytte, markere dig som en person, der ikke interagerer med reklamer, sætte et betinget kryds på dig, og i det øjeblik vil de begynde at vise dig annoncer af udelukkende rige mærker. Det vil sige, at du i dette øjeblik kun vil se annoncer for Coca-Cola, Kit-Kita, Unilever og alle de mennesker, der tjener enorme penge, fordi du har brug for at få visninger. Inden for en måned skal du udføre et eksperiment: forbyd alle annoncer i en eller to uger, så ser du alt i træk, og forbyd det - i sidste ende vil du kun se annoncer, som det viser sig (og reklamebureauer siger), kun kunder, der betaler for visninger, fordi det er umuligt at forstå, hvordan du interagerer med denne annonce.
Porno ses oftere af dem, der har en tendens til at dykke dybt ned i indholdet
Derfor er her en historie om alle former for adfærdssporing. Jeg har sådan et interessant eksempel - besøgende på en regerings hjemmeside. Det sjove er, at jo mere dybde af visning folk har, jo flere af disse mennesker foretrækker at se porno frem for traditionelle forhold. "Undskyld" at jeg taler om dette emne hele tiden, men jeg har faktisk et meget godt forhold til Pornhub, og det er altid meget interessante undersøgelser, for det er et emne, der er lidt tabu, men det fortæller meget om en person. Og de følgende punkter om tilbagevenden af trafikken, der følger herfra ... Vi vil også huske om Pornhub!
Hvad betragtes som personlige data, og kan en iPhone låses op med en 3D-ansigtsmodel?
Min favorit er omgåelse af loven om persondata. Hvis du læser den tekniske dokumentation fra samme Facebook, som har leveret nogle interne dokumenter (for eksempel til retten), vil du ikke finde nogen omtale af hverken ansigtsgenkendelse eller stemmeanalyse. Der vil være et meget komplekst sprog, som ingen kvalificeret advokat vil finde inde i lovgivningen. Vi arbejder stort set på samme måde i Rusland - sådan noget skal jeg vise dig nu.
Hvad ser du her? Enhver normal person ville sige det ansigt. Det her er forresten Sasha Grey. Og juridisk er dette en matrix af nogle tredimensionelle punkter, hvoraf der er 300 tusinde stykker. På godt og ondt betragtes dette ikke som persondata ved lov. Generelt betragter den russiske RKN ikke et billede for at være personlige data - det betragter det som personlige data, hvis der er noget andet i nærheden (for eksempel et fulde navn eller et telefonnummer), og dette billede i sig selv er slet ikke noget. Så snart loven om biometri blev indført, og biometriske data blev sidestillet med personlige data (så meget uhøfligt), begyndte alle straks at sige: dette er ikke biometriske data, det er en række punkter! Især hvis du tager en direkte eller omvendt Fourier-transformation fra denne række af punkter, ser det ud til, at du ikke kan deanonymisere en person tilbage fra denne transformation, men du kan identificere ham. Rent teoretisk bryder denne ting ikke loven.
Jeg lavede også en anden undersøgelse: dette er en algoritme, der bygger en tredimensionel rekonstruktion af et ansigt ud fra åbne kilder – vi tager en konto på Instagram og så kan vi printe ansigtet på en 3D-printer. Hvem, forresten, er interesseret, jeg har et link i det offentlige domæne; hvis nogen pludselig vil låse nogens "iPhone" op ... Det er en joke - "iPhone" kan ikke låses op, kvaliteten er reduceret der.
Privat profil er et plus for sikkerheden
Dette er den første ting, og den anden ... Jeg har allerede berørt det faktum, at information hovedsageligt hentes fra brugerens miljø. Jeg tegnede dette billede i 17: den gennemsnitlige bruger af russiske sociale netværk er inde, han har et gennemsnit på 200-300 venner, hans venner af venner og hans venner af venners venner.
Takket være sociale netværk for at introducere smarte e-feed-algoritmer, integrerede år, tilsyneladende for at øge sandsynligheden for, at du støder på noget interessant indhold. Dette er antallet af personer, der på et hvilket som helst tilfældigt tidspunkt kan se det indhold, du producerer, selvom din konto kun er begrænset af de øverste niveauer af privatliv (kun for venners venner og så videre). Her er venners venner:
Hvis nogen tror, at når han vælger at se "venner af venner" i "Mine indlæg" på VK, så er tre håndtryk omkring 800 tusinde mennesker, hvilket i princippet ikke er så lille, men afhænger af dit indhold. Måske laver du nogle uanstændige streams, og alle disse venners venner kan interagere med dette indhold. En af dem kan reposte noget et eller andet sted, alle mennesker har et like-feed, som i virkeligheden højst sandsynligt bliver annulleret, fordi det ikke er en særlig personlig ting. Derfor kan indholdet til enhver tid komme et sted hen.
VK lancerede det år også superlukkede profiler, men indtil videre har et meget lille antal mennesker brugt dem (jeg vil ikke sige hvilken, men en lille!). Måske vil folk en dag tænke over dette - det håber jeg virkelig inderligt. Al forskning er konstant rettet mod at få folk til at forstå problemernes omfang. For indtil en bestemt person bliver berørt af nogle frygtelige ting, vil de aldrig tænke over det. Fortsæt.
Offentlige myndigheder ved ikke, hvad personlige data er, og har ikke travlt med at definere dem
Enhver specialist inden for persondataret siger altid følgende: du behøver aldrig at kombinere forskellige datakilder, for her har du e-mails (dette er blot personlige data med en form for anonymiserede identifikatorer), her - fulde navn .. Hvis dette kombinerer alt, ser det ud til, at de bliver personlige data. Generelt ville det være rigtigt at komme ind på dette emne først, men jeg tror, at du allerede er fordybet i det og måske er klar over, hvordan loven fungerer.
Faktisk er der ingen, der ved, hvad personlige data er. Vigtigt koncept! Når jeg kommer til offentlige myndigheder, siger jeg: "En flaske cognac til en, der siger, hvad personlige data er." Og ingen kan sige. Hvorfor? Ikke fordi de er dumme, men fordi ingen vil tage ansvar for sig selv. For hvis Roskomnadzor siger, at dette er personlige data, vil nogen gøre noget i morgen, og de får skylden; og de er udøvende myndigheder og bør generelt ikke være ansvarlige for noget.
Den nederste linje er, at loven klart siger, at persondata er de data, som en person kan identificeres med. Og der er givet et eksempel: fulde navn, hjemmeadresse, telefonnummer. Men du og jeg ved, at en person kan identificeres både på grund af, hvordan han trykker på knapperne, og på grund af, hvordan han interagerer med grænsefladen, og af andre indirekte parametre. Hvis nogen undrer sig, er der et stort antal smuthuller i næsten alle områder.
Identifikatorer, der afslører os
For eksempel begyndte alle at sætte point for at fange valmueadresser (er du helt sikkert stødt på det?) - smarte (eller jeg ved det ikke, grådige) producenter af mobilt udstyr, som Apple og Google, introducerede hurtigt algoritmer, der giver en tilfældig valmue adresse, så du ikke kan var at identificere, når du går rundt i byen og sende alle din valmue adresse. Men de smarte fyre tænkte endnu længere på den næste historie.
For eksempel kan du få en mobiloperatørlicens; efter at have modtaget en licens fra en mobiloperatør, vil du få adgang til sådan noget - SS7-protokollen kaldes, ifølge hvilken du vil se en bestemt udsendelse af mobiloperatører; der er en masse alle slags identifikatorer, der ikke er personlige data. Før det var det IMEI, og nu - bogstaveligt talt tog nogen det fra tungen og besluttede at opretholde en enkelt database med disse "IMEI'er" i Rusland (sådan et initiativ). Det er det sådan set, men alligevel.
Der er for eksempel en masse identifikatorer - for eksempel IMCI (Mobile Equipment Identifier), som hverken er personlige data eller bundet til nogle andre ting, og derfor kan de gemmes uden nogen juridisk retsforfølgelse, og derefter med hvem udveksling disse identifikatorer for at kunne kommunikere med personen senere.
Kulturen for at arbejde med persondata er på et lavt niveau
Generelt er bundlinjen, at alle nu er meget bekymrede for at flette data fra den ene til den anden, og de fleste virksomheder, der foretager denne sammenlægning, tænker nogle gange slet ikke over det. For eksempel kom en bank, indgik en tavshedspligt med en virksomhed, der laver scoring, dumpede 100 tusinde af sine kunder ...
Og ikke altid denne bank i aftalen har en klausul om overførsel af data til tredjepart. Disse klienter fremskyndede noget, og det er ikke klart, hvor denne database blev af senere, blev ikke hen - i de fleste virksomheder i Rusland er der ingen kultur for at slette data ... - denne "excel" vil helt sikkert hænge et sted på sekretærens computer senere.
Vores data kan sælges ved hvert køb i butikken
Der er mange ordninger, der ser ud til at være næsten lovlige (det vil sige lovlige). For eksempel er historien som følger: af de 15 største russiske banker er kun to den egentlige SMS-gateway - Tinkoff og Alfa, det vil sige, at de selv sender deres egen SMS. Andre banker bruger SMS-gateways til at sende SMS til slutkunder. Disse SMS-gateways har næsten altid ret til at analysere indhold (f.eks. for sikkerhed og nogle af deres konklusioner) for derefter at sælge aggregerede statistikker. Disse SMS-gateways er "venlige" med skattedataoperatører, der udfører kontrol.
Og det viser sig følgende: du kom til kassereren, operatøren af skattemæssige data (de gav, gav ikke dit telefonnummer - på en eller anden måde er det bundet der) ... du modtager en SMS til dit telefonnummer, gatewayen til disse SMS ser de sidste 4 cifre på kortet og nummertelefonen. Vi ved, på hvilket tidspunkt du foretog en transaktion fra skattedataoperatøren, og i SMS ved vi (nu allerede), til hvilket nummer der er modtaget oplysninger om debitering af sådan og sådan en sum penge med sådan og sådan sidste fire cifre på kortet. De sidste fire cifre på kortet er ikke dine identifikatorer, de overtræder ikke loven, fordi du ikke kan deanonymiseres ved at bruge dem, transaktionsbeløbet er det heller ikke.
Men hvis du har aftalt med skattedataoperatøren, ved du hvilket tidsvindue (plus eller minus 5 minutter) denne SMS skal komme til dig. Således blev du hurtigt bundet til dit telefonnummer i OFD, og dit telefonnummer er bundet til reklame-id'er generelt til alt-alt-alt. Derfor kan du så blive indhentet: De kom til butikken, og så sender de dig noget mere sludder uden tilladelse. Jeg tror, der er næppe nogen i dette rum, der nogensinde har indgivet en ansøgning til FAS for spam. Der er næppe nogen ... Bortset fra mig, tror jeg.
Papirer er en arkaisk, men effektiv måde at kæmpe for dine rettigheder på
Det virker meget fedt. Sandt nok skal du vente i halvandet år, men FAS vil faktisk foretage en revision: hvem, hvordan, hvem har overført dataene, hvorfor hvor og så videre.
Spørgsmål fra salen (i det følgende - Z): - Der er ingen FAS i Hviderusland. Dette er et andet land.
Åh: - Ja, jeg forstår. Der er sikkert noget lignende...
Indvendinger kommer fra salen
Åh: - Okay, dårligt eksempel, undskyld. Det er lige meget. Blandt mine venner kender jeg ikke nogen, der i princippet kender til eksistensen af en sådan historie - at du kan skrive, og så vil de arbejde i endnu et år.
Den anden historie, som også udvikler sig meget i Rusland, men jeg tror, at du vil finde en analog i dit land. Jeg kan rigtig godt lide at gøre dette, når en statslig instans ikke kommunikerer godt med dig, en bank eller noget andet - du siger: "Giv mig et stykke papir." Og du skriver på et stykke papir: "I henhold til paragraf 14 i den 152. føderale lov beder jeg dig behandle personoplysninger i papirform." Jeg ved ikke præcis, hvordan det gøres i Belarus, men det bliver bestemt gjort. Ifølge russisk lovgivning har de ikke ret til at nægte dig en service baseret på dette.
Jeg kender endda mange mennesker, der sendte lignende beskeder til Mail.ru og bad om at føre en fortegnelse over deres personlige data i papirform. Mail.ru kæmpede tilbage fra dette i meget lang tid. Jeg kender endda en Yandex-udvikler, der fik en vittighed: de slettede hans VK-konto og sendte ham en masse printede skærmbilleder og sagde, at de ville sende ham skærmbilleder, hver gang han ville opdatere sin side.
Det er sjovt, men ikke desto mindre er dette et reelt alternativ, hvis nogen virkelig bekymrer sig om dataene, på den ene side ... Og på den anden side fortalte samme RKN, at denne aftale om behandling af personoplysninger er formel, og loven giver flere muligheder for at give dette samtykke. Og at jeg for eksempel var inviteret hertil til et arrangement, og hvis Human Constanta for eksempel ikke må indgå en aftale med mig om behandling af personoplysninger inden for rammerne af russisk lovgivning (bare fordi jeg ankom og accepterede at tale er samtykke til behandling af personoplysninger), tager de stadig disse papirtilladelser. Men RKN fortalte mig en lignende ting, at det slet ikke er et faktum, at de højst sandsynligt vil forsvinde en dag.
Jeg håber, at de i Rusland aldrig vil oprette en enkelt operatør, Gud tilgive mig, af personlige data, for værre end at lægge alle personlige data i én kurv, det kan kun lægges i statens kurv. For hvem ved, hvad der vil ske med alt dette.
Virksomheder deler personlige data, og love regulerer det ikke godt
De fleste virksomheder udveksler en eller anden form for data, identifikatorer indbyrdes. Det kan være en butik med en bank, og så en bank med et socialt netværk, et socialt netværk med noget andet ... Og i sidste ende har disse mennesker en vis kritisk masse af viden, som kan bruges på en eller anden måde, og al denne viden er sand, forsøger nu at holde sig på deres side. Men ikke desto mindre, så kommer det stadig ind i en form for reklametrafik eller et andet sted.
Overførslen af data til tredjeparter er det sjoveste, der kan være, fordi lovene ikke beskriver, hvad det er for en tredjepart, som de overhovedet skal betragtes som "tredjeparter". Forresten, dette er en meget almindelig sætning af amerikanske advokater - de har det der Tredjeparter - hvem, hvem betragter du som tredjeparter: bedstemor, oldemor? .. Der var endda sådan en præcedens i Amerika, når nogens data var afsløret, en person sagsøgt , og de beviste, at denne person gennem flere venner kender ejeren af data - et vist antal håndtryk, førte nogle mærkelige sociologiske undersøgelser - og dermed beviser, at disse mennesker ikke kan betragtes som tredjeparter til hinanden. Sjov. Men overførsel af sådanne data er meget almindelig.
Selvom du går til et websted, hvor der er en tæller til identifikation, har denne tæller ret til at overføre data fra denne trafik et eller andet sted ("Clickstream", ejere af reklameplatforme af noget, "Pornohub", for eksempel). Pornhub, hvis en af jer er webudvikler, kan du gå og se, hvor mange sporingspixels der er på Pornhub-webstedet. Du går bare ind - der er indlæst en enorm mængde af java-scripts, såsom at forbedre siden. Faktisk bliver der også sat cookies på tværs af domæner, hvilket bare ikke er der, fordi denne information altid er højt værdsat på clickstream-markedet.
"Facebook" logrer og kommer ikke til at rive masken af
Naturligvis fortæller ingen af de store aktører nogensinde nogen til hvem og hvordan de sælger data. På grund af dette forsøger Europa for eksempel nu at sagsøge Facebook. Lige efter indførelsen af GDPR forsøger EU at ryste Facebook af sig sin egen offentliggørelse af algoritmer til videresalg af data til tredjeparter.
Facebook gør ikke dette og siger offentligt, at det ikke gør det, fordi de er et "verdensselskab" (jeg citerer dette fra en e-mail, de sendte mig), de er "mod misbrug af teknologi" (især hvis du sælger ansigtsgenkendelse til Kreml). Generelt er bundlinjen, at Facebook ikke gør dette helt ærligt: dets hovedmål, og det vigtigste, der vil ske, så snart en sådan mekanisme afsløres, er, at det vil være muligt realistisk at beregne annoncemarginen, det vil være muligt at forstå de reelle omkostninger ved annoncer.
Konventionelt, hvis Facebook fortæller dig nu, at prisen på en reklamevisning er 5 rubler, og vi sælger den til dig for 3 (og ligesom to rubler forbliver for os), og de betinget modtager 5% af overskuddet fra disse reklameindtryk. Faktisk er dette ikke 5%, men 505, for hvis denne algoritme dukker op (til hvem og hvordan sendte Facebook "clickstream", besøgsdata, pixeldata til alle slags annoncenetværk), viser det sig, at de tjener penge meget mere end de siger om det. Og pointen her er ikke selve pengene, men det faktum, at prisen på et klik er en rubel, men faktisk - hundrededele af en cent.
Generelt er bundlinjen, at alle forsøger at skjule en sådan overførsel, det er lige meget - reklame, ikke-reklametrafik, men det er der. Det er der desværre ingen mulighed for juridisk at vide, for virksomhederne er private, og alt, hvad de har indeni, er deres privatret og deres forretningshemmelighed. Men historier som denne dukker op hele tiden.
Narkotikahandlere er forudsigelige og "brander" på "Avito"
Det sidste billede fra denne præsentation. Det er sjovt, og dets essens er, at der er visse kategorier af mennesker, der er meget bekymrede for deres personlige data. Og det er godt, faktisk! Dette eksempel handler om sådan en kategori af mennesker som narkohandlere. Det ser ud til, at folk, der burde være meget bekymrede over deres personlige data ...
Dette er en undersøgelse, der blev udført i begyndelsen af det år under tilsyn af de kompetente myndigheder. Ja, dette er et manuskript, der fik penge til at købe stoffer i Telegram, i Tor, men kun fra de mennesker, der kunne identificeres.
Faktisk brænder næsten alle narkohandlere i Moskva på, at deres telefonnummer slet ikke er i nogen åbne kilder, men før eller siden vil de sælge noget på Avito, hvorved det vil være muligt at forstå den omtrentlige placering af disse mennesker. Den nederste linje er, at de røde prikker er, hvor folk bor, og de grønne prikker er, hvor de går for at efterlade, du ved hvad. Det var en af de dele af algoritmen, der forudsagde indsættelsen af patruljetjenester, men disse Moskva-fyre forsøger altid på en eller anden måde at gå diagonalt væk.
De mener, at hvis de bor fra øverst til venstre, så skal de gå fra øverst til højre, og de vil helt sikkert aldrig blive fundet der. Det, jeg fortæller dig, er, at hvis du forsøger at skjule dig fra de allestedsnærværende algoritmer, er den virkelig fedeste mulighed at ændre adfærdsmodellen: Installer en slags "Gæst" for at randomisere besøg, ejendele og så videre. Ja, Herre, der er endda algoritmer, plug-ins, der ændrer størrelsen på browseren med et par pixels, så det er umuligt at beregne signaturen, browserens "fingeraftryk" og på en eller anden måde identificere dig.
Det var alt, jeg ville sige. Hvis du har spørgsmål - lad os gå. Her er et link til præsentationen.
Spørgsmål fra publikum (B): – Fortæl mig venligst, hvad angår brugen af Tor, med hensyn til trafiksporing... Anbefaler du det?
Det er svært at skjule, men det er muligt
Åh: - "Thor"? "Thor" er generelt ikke i nogen form. Sandt nok, jeg ved ikke hvordan i Hviderusland - i Rusland bør du under ingen omstændigheder tage dertil, fordi næsten de fleste verificerede "gracenodes" pludselig tilføjer nogle pakker til din trafik. Jeg ved ikke hvilke, men hvis du ser: der er "knudepunkter", der markerer trafik, det er ikke klart, hvem der gør det, til hvilke formål, men nogen markerer det i overskriften, så du kan forstå det senere. I Rusland er al trafik nu gemt, selvom den er gemt i krypteret form, og alle troller Yarovaya-pakken om, at krypteret trafik er gemt, men den forbliver markeret, det vil sige, den kan ikke bruges, den kan ikke dekrypteres ...
Z: - I Europa har det været lagret i lang tid, sikkert ti år.
Åh: - Ja, jeg forstår. Alle griner af det her - ligesom du gemmer https, der ikke kan læses. Indholdet kan ikke læses, men det er muligt at forstå, hvor pakkerne kom fra med bestemte algoritmer – ved pakkernes vægt, på længden og så videre. Og når man har alle udbyderne under motorhjelmen, er der altså alt backbone-udstyret og alle passene ... Forstår du generelt, hvad jeg taler om?
Z: Hvilken browser anbefaler du at bruge?
Åh: Til Thor?
Z: - Slet ikke.
Åh: - Jamen, det ved jeg ikke. Jeg bruger faktisk Chrome, men kun fordi udviklerpanelet er det mest praktiske der. Hvis jeg pludselig skal et sted hen, går jeg på en café. Sandt nok, der skal du ikke logge ind på et rigtigt SIM-kort.
Z: Du talte om nogle elever. Underviser eller afholder du nogle kurser?
Åh: – Ja, vi har mestre i datajournalistik. Vi træner journalister til at indsamle data, analysere - de laver periodisk sådanne undersøgelser.
Der er ingen sikre apps
Z: - Det er ikke sikkert at kommunikere med venner på Facebook, Vkontakte, for ikke at modtage kontekstuel annoncering senere. Hvordan forbedrer man sikkerheden?
Åh: – Spørgsmålet er, hvad du anser for et acceptabelt sikkerhedsniveau. I princippet eksisterer ordet "sikker" ikke. Spørgsmålet er, hvad du synes er acceptabelt. Nogle anser det for acceptabelt at dele intime billeder via Facebook, og nogle efterretningsofficerer mener, at alt, hvad der blev sagt gennem munden, selv til den nærmeste person, i virkeligheden er usikkert. Hvis du ikke ønsker, at det sociale netværk skal finde ud af noget om det, så ja - det er bedre ikke at skrive om det. Jeg kender ikke til sikre applikationer. Det er jeg bange for, at de ikke gør. Og dette er normalt i forhold til det faktum, at enhver ejer af enhver applikation skal på en eller anden måde tjene penge på den, selvom denne applikation er gratis, eller det er en slags medie. Det er lidt gratis, men det skal stadig leve af noget. Derfor er intet sikkert. Du skal så at sige kun selv bestemme, hvad der passer dig.
Z: – Hvad bruger du?
Åh: - Sociale netværk?
Z: - Fra budbringere.
Åh: - Af budbringere bruger jeg hovedbudbringeren i Den Russiske Føderation - Telegram.
Z: - Viber. Er han sikker?
Åh: - Hør her, jeg er ikke særlig god til instant messengers. For at være ærlig, så er jeg ikke i sikkerhed, jeg tror ikke på noget, for det ville nok være meget mærkeligt. Selvom Telegram er lidt ligesom open source, og dets krypteringsalgoritmer er blevet afsløret. Men det er også sådan en vanskelig ting, fordi "open source"-klienten er der, og ingen har set serverne. Det tror jeg ikke: Viber har en masse spam, bots og så videre. Fig ved. Jeg synes ikke, det her fungerer særlig godt.
Hvem er farligere - virksomheder eller staten?
Vært (B): - Og jeg har et spørgsmål til dig. Se, du nævnte dette et par gange i forbifarten - at staten... For meget data er ikke særlig godt... Et selskab har for mange data. Nå, det er bare livet, ikke? Så hvem er mere bange - virksomheder eller staten? Hvor er faldgruberne?
Åh: - Det er et meget svært spørgsmål. Han grænser. Svær etisk barriere. En person, hvis han ikke har noget at frygte, hvis han i princippet ikke brød loven, hvorfor har han brug for privatliv? Selvom jeg ikke tror det - mener denne stat det. Måske er der et gran af sandhed i dette. Hør her, jeg er mest bange for hackere – sådan en gestus. Faktisk den største gestus, jeg har set i mit liv (ud af hele dette emne): for omkring halvandet til to år siden blev en pædofil fanget i Moskva-regionen, og under efterforskningsaktioner blev der fundet flere tutorials om Python på sin computer, scripts API VK. Han samlede pigernes beretninger, analyserede, hvem af dem der var i nærheden, samlede indholdet, som de ... Kort sagt, du forstår. Her er den største dåse, jeg nogensinde har set. Og jeg er virkelig bange for det her, at nogen i et skønt øjeblik vil gøre sådan noget.
Endnu et lille "offtopic": Den Europæiske Organisation for Statssikkerhed lavede det år en rapport om, at antallet af tyverier fra bankkonti steg med omkring 20 procent, med 25 eller noget, da det hemmelige spørgsmål blev hacket. Tænk bare på dit hemmelige spørgsmål i banken lige nu, og se om jeg kan finde ud af svaret på det fra åbne kilder. Hvis du har din mors pigenavn eller yndlingsret der ... Generelt analyserede folk konti, baseret på dette forstod de kaldenavnet på deres elskede kæledyr - noget som dette ...
Z: - Du sagde, at virksomheder, virksomheder indsamler de nødvendige oplysninger ved hjælp af algoritmer? Er du sikker på, du ved hvordan?
Åh: - Der var en bevægelse af mennesker, som på et tidspunkt kørte fotografier gennem et særligt filter, så dette filter ville bryde analysen af billeder, så det på en eller anden måde ville være umuligt at identificere disse personer senere. Her gav jeg dig et eksempel på, at Facebook kæmpede med krypteringen af beskeder. Og hvis denne ting dukker op og bliver udbredt, vil sociale netværk helt sikkert bekæmpe den. Plus, billedgenkendelse fungerer nu meget godt, og det grænser op til det faktum, at det tilstrækkelige niveau til at "bryde" dette foto (for at "bryde" algoritmen, der genkender disse billeder) - højst sandsynligt er der intet klart om det. ikke være.
Alle mulige fejlfiltre fungerer godt, hvis det er et stærkt direkte skift i halvdelen af billedet. Din konto vil derefter få alle farverne af LSD. Rent teoretisk synes jeg ikke, det er særlig skræmmende, hvis Facebook for eksempel finder ud af, hvad det er for en bil, jeg har - nok hvis jeg ikke logger ind på bilen gennem Facebook.
Glemselloven virker, men ikke på internettet
Z: - Har du stødt på en bruger, der ville tvinge dig til at respektere ham, slette ham, få adgang. Du arbejder med store arrays af data, du giver sandsynligvis besked om det. Folk kan kontakte dig. Hvor mange procent?
Åh: - Jeg fortæller dig det nu. Nu er det her, det bliver virkelig interessant. Nu tæller jeg hvor mange der kommer, for efter arrangementet kommer der altid 15-20% ind, udfyld en formular til sletning af data - sådan noget er der. I virkeligheden er det et sted omkring 7-8% af lukkede konti, som vi ikke analyserer, og omkring 5 ud af tusinde mennesker, der beder om at få slettet deres data. Dette er meget lille, selv efter min ydmyge mening.
Problemet her er dette: der er sådan noget som loven om glemsel. Men glemselloven gælder i hvert fald i Rusland lovligt kun for søgemaskiner. Der står lige der: søgemaskiner. Og det er fjernelse af kun links til materialer og ikke selve materialerne. I virkeligheden, for at fjerne noget fra internettet, bliver du nødt til at omgå alle disse kilder, så jeg tror ikke på det i princippet. Vi forsøger at advare brugerne om, at de skal tænke sig om, før de udgiver.
Mens denne procentdel er meget lille - 5-7 personer ud af tusinder. Forresten, om loven om glemsel: alle kender sådan en cool sag "Sechin vs. RBC". The Law of Oblivion virkede, artiklen blev fjernet, men den er overalt. Du forstår, at hvis noget engang kom på internettet, så forsvinder det aldrig derfra.
Brugere slettes, men de identificeres ved typisk adfærd
Z: - Tror du ikke, at folk, der sletter deres konti og forsøger at blive et "sort hul", vil være i en større ulempe i forhold til andre økonomiske aktører?
Åh: - Mest sandsynligt, ja - denne stilling vil være urentabel for dem. Der er en masse rabatter og tilbud, der afhænger af dem. Men rent teoretisk, hvis en person sletter en konto nu ... Det er populært blandt alle ekstremister, når de sletter en konto og laver en falsk, men fortsætter med at interagere med det samme indhold - denne person kan igen identificeres (især hvis det er inden for det samme sociale netværk , fra en computer - dette er generelt et spørgsmål); elementært ved indholdsforbrugsmodellen vil det være muligt at finde denne person, hvis der er en sådan opgave.
Jeg håber, at der i de næste 5 år vil være en form for teknologi til at tjene penge på disse data, når det virkelig vil være muligt at betale penge til en person - du betaler selv, og vi vil ikke bruge mine data. Og jeg tror, at hvis der indføres et betalt abonnement på nogle Instagram, vil ingen bruge det, så alternativet er at betale brugere for deres data. Men det er ikke meget snart, for lobbyen med skræmmende firmafolk vil ikke tillade, at en sådan lov vedtages, selvom det ville være fedt. Men her er pointen, at det er umuligt at estimere den reelle værdi af en persons data på et bestemt tidspunkt.
Facebook er en flok fyre
Z: - God eftermiddag. For nylig var der nyheder om, at Facebook har til hensigt at integrere alle sine projekter, inklusive Instagram og Facebook, WhatsApp og så videre. Hvordan, efter din mening, fra et synspunkt af personlige data, når nu disse programmer hænger separat på min smartphone, men de stadig tilhører Facebook? .. Hvad vil der ske derefter?
Åh: - Jeg forstår. Juridisk hører de allerede til Facebook, og det kan forene dem ukontrolleret i sig selv, så jeg tror, at intet ændrer sig. Det eneste er, at nu er det nok at hacke en applikation for at få alt på én gang. Og Facebook... Jeg håber, de ser med. Frygteligt fyldt med huller fyre generelt alle steder.
På det seneste er der dukket en del information op om dette – om datalæk fra Facebook. Det er ikke fordi Facebook pludselig begyndte at miste disse data, men fordi GDPR nu tvinger virksomheden til at advare på forhånd. Og den største straf er, hvis der var en lækage, og virksomheden forholdt sig tavs om det, og derfor taler Facebook nu om det. Det betyder ikke, at disse datalæk ikke eksisterede før.
Z: - Hej. Jeg har et spørgsmål om datalagring. Nu indfører hver stat en lov om, at borgernes data opbevares på denne stats territorium. Hvilken betingelse er nok at opfylde for at overholde denne lov, for nogle internationale ansøgninger?.. For eksempel Facebook: der er kun én database...
Hvordan overholder man disse betingelser?
Åh: – Hør her, lovligt skal du bare leje en server her i landet og sætte noget på den. Problemet er, at der ikke er et kompetent tilsynsorgan. Facebook-data ligger ikke i Rusland. Roskomnadzor kæmper mod dem, kæmper, kæmper, kæmper... Facebook har en del af serverne, hvor grænsefladen til netop denne Facebook er placeret, og det er umuligt at kontrollere, hvor dataene faktisk er, hvordan de er synkroniseret.
Z: – Tjek trafikken?
Åh: – Tjek trafikken? Ja. Men trafikken kan så gå til et eller andet rygradspunkt. Plus, mellem serverne kan der være noget som en VPN eller noget andet. Rent teoretisk er det umuligt på nogen måde at kontrollere, at f.eks. en systemadministrator på et fint tidspunkt ikke vil gå til denne server og ikke tage noget derfra. Det vil sige, at denne lov ikke blev lavet for databeskyttelsens skyld, men for at virksomheder skulle åbne repræsentationskontorer, betale skat og opbevare jern i landet. Men efter min mening er dette et meget mærkeligt initiativ, for at være ærlig.
Z: - Det vil sige, at det er nok at tjekke grænsefladen rent faktisk?
Åh: Nogen kan komme til dig og tjekke, at du har data der. Men du kan vise noget "excel", og ingen kan tjekke det, næppe nogen vil tjekke det. Nu ser de blot på IP-adresser: at IP-adressen tilknyttet domænet er placeret på landets territorium - de tjekker ikke yderligere. Nu vil de sandsynligvis komme til mig for at tjekke.
Der er ingen tjenester, som du kan stole 100% på, men ordentlige mennesker har intet at frygte
Z: - Sådanne nyheder, genoptrykt mange steder: en fyr postede det fra Microsoft, lavede en tjeneste for at tjekke hans ...
Åh: - Noget som: er dine adgangskoder blevet lækket? Faktisk lancerer den samme Facebook efter de samme læk på Facebook altid en form for backup-sites, hvor man kan tjekke, at den ikke er med i denne database – igen er det påkrævet af GDPR. Det vil sige, at hvis du ikke gør sådan noget, så bliver du ikke særlig god. Derfor præsenterer alle nu disse projekter som "dette er vores initiativ"; faktisk loven kræver det. Dette er faktisk en meget cool ting, men jeg ville ikke stole rigtigt på sådanne verifikationstjenester, hvis du skal sende noget mere kompliceret end dit kodeord dertil, fordi mange mennesker har de samme adgangskoder.
Z: - Du indtaster bare din e-mail der, og de siger allerede, hvor mange gange den blev kompromitteret ...
Åh: - Jeg stoler virkelig ikke på sådanne ting, for senere er det meget nemt at linke dig til denne browser, til en rigtig konto. Især hvis du bruger tjenester fra de samme personer, som lancerede dette websted. Det er, som om det var året, hvor Facebook sendte det ind: Hvis dine intime billeder lækkes til Facebook, sender du dem til os, og vi tjekker, hvor de blev nævnt.
Jeg ved ikke, hvad det er for et PR-mareridt, og hvem på Facebook, der fandt på det, men det skete virkelig. De ønskede at sammenligne, om ingen sendte i private beskeder din nøgenhed. Dette forfølger i princippet gode mål, men det er så mærkeligt som muligt. Jeg ville ikke stole på det.
Z: - Og et spørgsmål mere. Hvor høj er risikoen for en lækage for den gennemsnitlige bruger? Risiko for beskadigelse fra utætheder.
Åh: - Jeg forstod dig. Se, hvilken slags data der skal gemmes. Jeg synes ikke særlig højt. Det værste er, at hvis e-mails og adgangskoder lækker et sted, og du har denne adgangskode overalt, så ja. Generelt synes jeg, at brugerne har lidt at være bange for. Men hvis de selvfølgelig ikke gemmer en form for sønderdeling i Google mail. Der var mange eksempler.
Den mest berømte historie er i Google, da en pige blev kidnappet i Utah, kunne de ikke finde hende, og i et fint øjeblik sendte kidnapperne hende billeder i en arkiveret vedhæftet fil. Og Google, der scannede denne vedhæftede fil, fandt tegn på børnepornografi. Alle blev fundet. Og det lykkedes stadig at sagsøge Google for at have overtrådt korrespondancehemmeligheden. Denne retssag har stået på i et stykke tid. Men ikke desto mindre mener jeg, at en almindelig bruger ikke har noget at være bange for, hvis han ikke lægger f.eks. sit pas ud i det offentlige domæne. Dette er en dobbelthistorie – afhængig af hvilken slags data og hvilken slags bruger. Måske er det nu i orden, men om 15 år, når han bliver en form for embedsmand, så dukker nogle af hans materialer op.
Hvordan fungerer det med staten?
Z: - Tak skal du have. Du talte lidt om, at du forsker for staten, statslige organer, tjenester og samarbejder med dem. Måske kan du fortælle os lidt mere om nogle aktuelle projekter. Endnu mere, hvis du kan, om ... To spørgsmål: det første er aktuelle projekter, og det andet er, om der var sådanne forslag fra offentlige tjenester ...
Åh: - Uanstændigt!
Z: - Ja. Når du tænkte, at du måske ikke skulle gøre dette.
Åh: - Det skal jeg fortælle dig. Jeg fortæller alle dette. Denne mand og jeg havde en lang kamp på Twitter. Fra Milonov-holdet på Twitter modtog jeg på en eller anden måde et spørgsmål om at finde lærere, der ser homoseksuel porno. Vi sagde straks nej. Men der er nogle, breve kommer ofte, og meget ofte er det forbundet med en slags oppositionelle, stævner. Vi beskæftiger os ikke med sådan noget sludder, og så hælder alle lort over os. Jeg skammer mig ikke over det.
Vi har følgende politik vedrørende "staterne": vi udvikler software, software til tredimensionel rekonstruktion, ansigtsgenkendelse, dataanalyse. Hvad de præcis gør, er meget svært at sige, men ud fra modellerne er det forudsigelse af kriminalitet, hvad der er forbundet med statens sikkerhed inde i byen, bevægelse af mennesker, geomarketing og så videre. Fra placering af genstande i det indre bymiljø til identifikation af pædofile, voldtægtsmænd, galninger og alle mulige skurke.
Helt ærligt havde vi ikke at gøre med nogen oppositionelle. Måske fortæller de os det ikke til vores ansigter. Det er faktisk et meget stort problem – samarbejde med ”staterne”, for de forklarer ikke altid, hvad opgaven er. De fortæller dig: lav software til at identificere husmødre, men de skal faktisk lave noget andet med det - alt går i stykker der.
Plus, staten er en meget interessant og mærkelig klient, der konstant forsøger at lægge nogle tre øre i din forskning, og ofte er deres tilgange og forståelse af maskinlæring meget overfladisk. For eksempel har jeg et separat foredrag om maskinlæringsfejl. Jeg nævner altid der som et eksempel, da vi lavede et kriminalitetsprognosesystem i Moskva-regionen, sagde kunden: hvor de sælger vandmeloner, så øg venligst koefficienten fire gange. Og så viste det sig faktisk, at de steder, hvor der sælges vandmeloner, ikke er kriminelle. Disse er simpelthen fejl i det faktum, at en person bidrager med sine tanker.
Kort sagt, staten er en sej kunde, der er mange interessante opgaver der. De fleste kommer ned til lignende modeller for at forudsige noget. Oftest er det en form for byinfrastruktur.
Z: – Er der nogle kilder, hvor du kan følge din forskning? En masse information. Som jeg forstår det, er meget af det stadig overbord. Dine sider, noget andet...
Åh: Jeg har ikke personlige sider.
Z: - Sandsynligvis er Facebook allerede blevet lukket?
Åh: - For omkring fire måneder siden var der en historie: De sendte os alle så store breve, at "I er freaks, I sælger alt til Kreml, I overtræder alle Facebooks regler. De sendte endda et brev til min hund: "Hej, Mars Blue Corgi, du indsamler data!" og så videre. Hør, vi rebrander nu. Om to-tre uger har vi en hjemmeside, og alt vil være opdateret. Du kan se dette. Men vi er meget dovne netop i denne henseende.
Hvordan kan du bestemme pålideligheden af en VPN?
Z: - Hvornår sagde du, at du ville gå på cafe uden at identificere dig der ved dit telefonnummer. Og under hvad?
Åh: - Man kan ikke sige - under en fremmed, for dette er en opfordring til at overtræde identifikationsbestemmelserne. Nej Nej Nej. Jeg laver sjov. Nu identificerer næsten alle cafeer alt i en række - der er ikke kun et telefonnummer, der er en masse pixels, der er enhedsidentifikation, en valmueadresse og hvad ikke, for at bruge det senere - fra reklameformål til operationelle formål søgeaktiviteter. Så du skal være meget forsigtig med ting som dette. Ikke alene kan du skrive noget, men de kan skrive fra din enhed, og så vil der ske noget.
Du har måske set historien om, at de nu undersøger, hvordan de (i øvrigt også i Hviderusland) udlejer Facebook-konti, som for eksempel til kasinoannoncer. Men faktisk ved man ikke for hvad, de giver også adgang til en computer. Det er de ting, du skal være mest forsigtig med. Hvis du beslutter dig for at skrive noget anonymt fra et eller andet sted ... ville jeg komme på en cafe og tænde for noget sejt VPN. Men faktisk (igen, jeg peger ikke fingre af nogen), når du har en konto i en VPN, tjekker du, hvem der ejer denne VPN, hvilket firma, hvem der ejer dette firma, og så videre. For de fleste spillere på VPN-markedet er ikke ligefrem gode fyre.
Nå, det betyder ikke noget i Hviderusland. I Rusland kontrolleres en god VPN ved, om azino777 er blokeret der eller ej. For hvis ikke, så er der en god chance for, at denne VPN-tjeneste lukkes inden for en uge. Dybest set, tjek alt.
Om automatisk sletning af beskeder
Z: - Du talte så meget om private beskeder, at deres sociale netværk bliver læst ... Men for eksempel har Facebook hemmelige private beskeder, der kan lægges (udover at de også er krypteret) til destruktion. Hvordan kan du kommentere på dette?
Åh: - Ingen måde. For det første er jeg ikke super professionel indenfor kryptografi, og for det andet er problemet her, at ingen har set Facebook-serveren, ingen ved hvordan det hele fungerer der. Konventionelt er det i nogle specifikationer skrevet, at dette er ende-til-ende-kryptering, men det er måske ikke sådan, eller det er ende-til-ende, men med en form for fejl eller noget andet. Det giver mening at bruge sådan noget, hvis du er bange for, at den, du har sendt det til, på et tidspunkt vil forsøge at gøre noget.
Telegram har en praktisk funktion til at sende intime billeder, der sletter sig selv: Når du prøver at tage et skærmbillede, slettes det automatisk. iPhonen har en skærmoptagelsesfunktion, og du kan optage skærmvideo og så videre... Jeg får bare tilsendt materialer med denne funktion meget ofte (auto-sletning) - jeg forstår aldrig hvorfor. Jeg kan downloade lige nu! Det er helt op til dig.
Social vurdering i Kina: myter, virkelighed, udsigter
I: - Jeg misbruger faktisk lidt, selvom jeg ikke har brug for en VPN (i øvrigt har vi en verificeret VPN). Et spørgsmål om etik. Vi har en skøn ven fra Kasakhstan, ham tog vi også med med et foredrag. På en eller anden måde sad de sammen med ham til en konference, hvor de talte om forskellige ting, og han siger (og han er engageret i cybersikkerhed, altså i sin reneste form, ingeniørsikkerhed, en person, der er interesseret i tekniske løsninger): ”Her, han vendte tilbage fra Kina. De gør sådan en cool ting der - social vurdering. Har du forresten undersøgt noget om dette problem, hvordan virker det for dem?
Åh: - Vi sælger scoringer i Rusland, jeg ved meget om det.
I: - Så jeg har et spørgsmål, hvad vil du sige mere om det her - om hvad vi måske alle sammen venter på i fremtiden. Men et andet spørgsmål om etik. Han sagde så glad: "En interessant ingeniørløsning!" Har du dit eget etiske kodeks?
Åh: - Ja, det er der i øvrigt. For to år siden introducerede vi det - lige efter historien med Milonov besluttede vi på en eller anden måde at rangere disse projekter. Tilbage til vurderingen: dette er et af de super populære spørgsmål, fordi medierne meget stærkt dæmoniserer hele denne historie - at folk ikke må tage til udlandet, de bliver dræbt af en laser fra månen. Jeg bringer dig igen, tekniske stykker ...
Hvis du begynder at grave i denne historie, se på hvilke parametre der er inkluderet i denne sociale vurdering, vil du forstå: den inkluderer lukket underholdsbidrag, straffeattest, kredithistorie, det vil sige fra et ingeniørmæssigt synspunkt en virkelig fantastisk ting. Du lever uden at bryde loven, du lever godt – de giver dig en lav rente på et lån. Du har et vigtigt socialt arbejde (for eksempel en lærer) - de giver dig en passende bolig. I starten forvirrede dette alle, for i første omgang blev historien lækket, at hvis du skriver dårligt om præsidenten, så vil din rating blive sænket. Selvom der ikke var beviser. Til forsvar for vurderingen, vil jeg sige, mod vurderingen, vil jeg sige, at ingen har set algoritmen, hvilke parametre der faktisk bruges der.
Så dukkede en historie op om, at mere end en million mennesker ikke måtte tage til udlandet, de var forbudt at rejse. Faktisk er dette ikke helt den præcise formulering. Når du modtager et visum (for eksempel til Europa), får du et visum til en kurs på "70 euro pr. dag" (noget i den stil); Hvis du ikke fremlægger bevis for indkomst, får du ikke visum. I Kina besluttede det lokale udenrigsministerium at gå lidt længere: Det advarede simpelthen med det samme folk, der ikke havde penge nok, om, at hvis man ville til udlandet, ville man ikke have penge nok. Alt dette blev derfor sendt til den opfattelse, at de fattige ikke må tage til udlandet. Dette er en kompleks etisk ting, det grænser op til en vis formodning om skyld eller uskyld, men faktisk kan jeg ikke give en vurdering.
Folk dræber, ikke våben
Det vigtigste at forstå er, at alle disse algoritmer, som samfundet fordømmer, ikke er problemet med algoritmerne. Algoritmer gjorde det simpelthen muligt at analysere en stor "volumen" af mennesker meget hurtigt, og dette sociale problem blev rejst til tops. Det vil sige, at den Microsoft-bot, der lærte af tweets og blev racist, ikke er botens skyld, men de tweets, den læste. Eller en virksomhed, der beslutter sig for at bygge en model af en ideel medarbejder ved at analysere de nuværende, og det viser sig, at der er tale om en hvid, kønsmand med en videregående uddannelse.
Dette er ikke en model - racistisk, sexistisk eller noget andet; det er de mennesker, der hyrede disse mennesker (de havde ret, de tog fejl - det er lige meget). Alting grænser bare til, at kunstig intelligens er ond, dårlig, og den vil ødelægge verden, men faktisk ... Hvis betinget nu, for eksempel, vedtager den russiske regering en lov, der siger, at oppositionelle ikke får gratis uddannelse, og de skriver software der, der identificerer og fratager dem denne gratis uddannelse - det er ikke algoritmens skyld. Selvom der ikke er nogen, der støtter dette koncept af mig, for - når jeg siger, at det ikke er våben, der slår folk ihjel, men mennesker - "du er fascist" og så videre.
Generelt er dette virkelig en meget cool ingeniørløsning. Det er nødvendigt at forstå, hvorfor dette for eksempel ikke vil ske i Rusland. Du [i Belarus] vil ikke have dette, fordi du er en europæisk stat, alt er fint med dig. Dette vil ikke ske i Rusland af mange grunde: For det første har vi ikke den samme grad af tillid til retshåndhævelsessystemet som i Kita; Vi har ikke det niveau af digitalisering. Hvorfor lykkedes det i Kina? Fordi regeringen: de har digital medicin, digital forsikring, digital politi. Og nogen smart tænkte: lad os sætte det hele sammen og gøre det - faktisk er dette et loyalitetsprogram. Der er flere lækkerier end "ikke godter".
Derfor, ja - jeg tror, at dette ikke vil blive indført i Rusland. Vi skal først digitalisere hele sundhedsministeriet (og det er en opgave i 50 år) - nogen skal sætte livet til for at gøre det her, men ingen vil selvfølgelig gøre det her. På den anden side er russiske banker de bedste i verden i forhold til at score folk, de gør ikke noget: "Ja, mand? Kan du lide unge piger? Her er et kreditkort til din elskerinde. Det er meget avanceret der. For eksempel i Amerika er en sådan scoring forbudt næsten overalt, fordi der er love, ifølge hvilke banken er forpligtet til at forklare dig hvorfor: "Aha! Fordi Social Data Hub-virksomheden holder historien i 10 år, og nu - det og det gav ud om dig! Og lad os sagsøge både det ene og det andet! Sådanne historier har vi ikke.
Hvorfor undertrykkes statistikken?
I princippet går jeg ind for at score, hvis det ikke er en form for "totalitær" historie. Men hele pointen er, at det er umuligt at forudsige, vurdere. Dette er den sværeste historie inden for big data-etik til at forudsige den sociale påvirkning, der vil være der om 15 år. Jeg beder for eksempel anklagemyndigheden i meget lang tid om at åbne oplysninger om kriminalitet. Kriminalitetsstatistikker er en af hjørnestenene i enhver statistik; alle ønsker virkelig dette. Men for eksempel i Rusland åbnes kriminalstatistikker ikke af en meget simpel grund: de er bange for at forstyrre demografien i byerne. De tror, at folk vil holde op med at bo i nogle byer, selv inde i byen vil alt på en eller anden måde blive omfordelt. Af samme grund oplyses USE-statistikken ikke - du forstår selv, at folk vil gå på nogle skoler, og ikke på nogle.
Måske er dette korrekt, måske ikke, men der var mange projekter ... For eksempel besluttede Yandex på én gang (igen, ifølge de "gule" rygter, jeg så det ikke, jeg ved det ikke) at tilføje antallet af angreb på taxachauffører til ejendomsprognosemodellen , det vil sige en form for tilgang til kriminalitetsniveauet, tælle antallet af taxachaufførers klager over, at nogen chikanerede dem, truede dem, og så videre. De vendte hurtigt tilbage inde i virksomheden for ikke at gøre sådanne ting.
Z: – Du kommunikerer med studerende, kommunikerer med publikum i dit land, i vores land. Du bemærkede fra antallet af spørgsmål fra publikum, at vi stadig er på det udviklingsstadium, hvor vi mener, at vi har brug for fortrolighed, at vi kan skjule os for nogen, beskytte vores data uden at give dem, skjule dem, kryptere dem. Hvis Den Europæiske Union allerede er gået til næste fase, stadiet af privatlivets fred, som indebærer kontrol over data - at tvinge alle, der indsamler dine data til at give dig effektiv kontrol over dem ... Ved prøver efter region, efter sociale lag - hvilket af kategorierne af borgere, mennesker, mere Er den allerede flyttet til anden etape, eller hvem sidder ellers på den første i hovedsagen?
Hvem er mest bekymret for sikkerheden af personlige data?
Åh: - Det samlede flertal ... Jeg vil sige: alle er ligeglade! Det begejstrer nu topledere. Byerne i Rusland er Moskva og St. Petersborg. Det aktive center er it-specialister, designere, kreative erhverv, alle der ved, hvordan man filtrerer indhold, får ny viden, med stor interesse for internationale problemer. Grundlæggende er der tale om topledere; ja, it-specialister (sikkerhedsspecialister ikke medregnet); bankfolk - altså alle de mennesker, der på en eller anden måde kan blive ramt af et datalæk.
Hvis for eksempel data fra en husejer fra en eller anden Kaluga bliver stjålet: det er usandsynligt, at noget seriøst vil ændre sig i hans liv, hvis nogen stjæler fra ham, for eksempel adgang til gmail, hvor han har adgang til serier . Spørgsmålet er, at loven beskytter alle lige, og med rette, for ... fra lovens synspunkt er alle lige - ha ha ... men det vigtigste er, at det er umuligt at forstå, hvis data vil koste hvor meget, indtil disse data går tabt - desværre er det meget svært at forudsige. Men mest denne kategori af borgere.
Telefon - i folie!
For den eneste gang i mit liv så jeg total opbevaring af alt og alle i to virksomheder. Den ene er den største informationssikkerhedsintegrator: alt, op til USB, er limet inde på kontoret med lim; og folk går der på samme måde - jeg mødte en mand der, som har en telefon i en foliepose. Jeg fandt ud af, at der er firmaer, der sælger specielle tasker som denne. Og anden gang så jeg en lignende historie i Bloomberg blandt ansatte: vi stod i et rygerum, og nogen tog billeder et sted, og et af dem - "Så vi ikke var synlige der i baggrunden!" Jeg siger, "Åh wow!"
"Vi er bedre end FSB"
Jeg vil ikke sige, at dette er mindre end én procent af befolkningen, men desværre er næsten alle ligeglade i den generelle masse. Men på den anden side har jeg en skandaløs tjeneste til at overvåge mindreåriges handlinger (vi lancerede den for længe siden under sloganet "Vi er bedre end FSB") for at advare en forælder om, at en mindreårig laver skrald, før vores egen algoritme, installeret hvor - noget der, nogen vil sende til ham.
Når du skal verificere et barn, skal du sende en scanning af passet (det er som udgangspunkt en normal praksis), men vi skrev, at du kan klippe pasnummeret af, fordi vi ikke er interesserede i det; vi er kun interesserede i dit foto, hologram og fornavn. Og næsten 100 % af folk - godt, omkring 95 ud af 100 pas - folk i Photoshop klippede forsigtigt disse tal ud og sendte kun den rigtige del. Det vil sige, de forstod - ja, hvis de ikke har brug for det, så behøver de ikke sende det. Efter min mening er dette en form for reelt fremskridt, som de blev tilskyndet til af mistillid til os.
Z: - Udvalget er så klart. Der er folk, der søger, de er allerede avancerede.
Folk vil ikke følges, men de læser ikke aftaler.
Åh: - Ja. Og det andet er det samme: vi lancerede en datingapplikation i slutningen af det år (vi genstarter den snart). Der var en kontrolgruppe på 100 mennesker. Og der, ifølge GDPR-tilgangene, var der 15 afkrydsningsfelter på min konto – jeg giver tilladelse til at analysere interaktion med grænsefladen, til at få adgang til min demografi, til at få adgang til 98D-ansigtsrekonstruktion, til at få adgang til mine personlige beskeder, og så videre. Vi har maksimalt malet alle former for adgang. Selv et eller andet sted er der statistik over, hvem der har sat kryds ved hvad. 2% lod alle afkrydsningsfelterne være markeret som standard (på trods af at de gik til denne side og så det hele, men de var ligeglade), men disse XNUMX% var interessante at analysere, hvad der var en prioritet for folk.
Alle fjernede tilladelsen til at få adgang til private beskeder, og næsten alle fjernede tilladelsen til at få adgang til sextestdata (hvad de kan lide der, hvad de udfyldte der, deres perversioner - bare for sjov). Men folk blev sparket ind i denne, stukket: grænsefladen fortæller dem - læs dette omhyggeligt, gør det muligt at rulle gennem denne aftale til slutningen. Men det blev udelukkende gjort, fordi det var et forskningsprojekt, og alle blev advaret. Ingen virksomhed, inklusive os, vil, når de frigiver denne applikation til offentligheden, tvinge en person til at læse denne besked til ende, fordi ... ja, undskyld, det er sådan det virker.
Forudsat at de kom til os for at vide, hvad virksomheden gør, velvidende at de gik til en tjeneste, der vil foreslå kandidater til dig baseret på, hvilken slags porno du kan lide - selv på baggrund af dette læser kun 2% disse afkrydsningsfelter og generelt har gjort noget. Og så har næsten ingen af dem fjernet markeringen i feltet "Adgang til trafik og data om at besøge andre websider." Grundlæggende var alle bekymrede for private beskeder.
Nøgenhed og landinger for likes - interessante love i de broderlige republikker
Z: – Jeg har et spørgsmål om databeskyttelse. Du kan have en telefon i folie på, lade som om de ikke eksisterer ... Så viser det sig, at du sådan set gemmer, gemmer, men så skal du give dine data til staten, for det kræver af dig, og du kan bare ikke ... Og så viser det sig, at offentlige entreprenører alle er fulde af huller. Og i Hviderusland er der stadig sådan en norm: Hvis jeg kontrollerer sikkerheden af mine personlige data (jeg retter noget og får adgang til det), så bliver jeg straks en kriminel. Samme artikel blev brugt til at anklage journalister i "BelTa-sagen" for at have fået uautoriseret adgang til data (du kan selv læse det). Her eget, og et spørgsmål: om sådanne begrænsninger er en effektiv foranstaltning for privatlivets fred, generelt for sikkerheden af private data?
Åh: - Jeg forstår. Der er mange meget interessante love i Hviderusland. Jeg har for nylig fundet ud af ... Jeg laver sjov med overførsel af nøgenhed, men du, viser det sig, er forbudt.
Z: - Demonstration forbudt!
Åh: - Det er lidt underligt.
Z: - Du kan se, du kan ikke sende, du kan ikke lide. I kan ikke se sammen!
Åh: - Jeg vil besvare dit spørgsmål. Jeg vil vende tilbage til emnet "sitting for likes" i Moskva. I Rusland er dette emnet nummer et. Jeg ved ikke, hvordan det er i Hviderusland, men for at være ærlig, staten... Hvis du analyserer statistikken, i Moskva er 95 landinger for likes ud af 100, når folk klagede over folk, nogen skriver til anklagemyndigheden om en anden person. Staten indleder meget sjældent sådanne sager. Det forekommer mig, at denne lov er fuldstændig absurd. Jeg kender ikke en eneste rigtig kriminel, der blev fængslet for dette. Men denne foranstaltning bruges til at tilregne en person i det mindste noget. Det forekommer mig, at dette er det mest mærkelige. Jeg tror, at det en dag bliver aflyst.
Z: - Det kaldes at holde under motorhjelmen.
Åh: - Nå, øh, okay ... det kan jeg ikke sige. Jeg er ikke ligefrem et pro-statsmonster, men min opfattelse er lidt ændret, du ved, af folk, der kommer til os og siger: "Mit barn mangler, hjælp mig med at finde det." Jeg siger: "Jeg kan ikke gøre noget uden rettens tilladelse." Du ser på disse forældre, som ville give alt i deres liv, de ville give enhver adgang til alle data - bare for at løse deres problem. Derfor er det meget svært for mig at føre sådan en diskussion: På den ene side mener jeg, at staten gør det rigtige, når den fanger nogle rigtige mennesker, og på den anden side er det generelt en frygtelig historie at give ukontrolleret adgang.
Jeg går tilbage til din ting, "undskyld" for at blive distraheret. Jeg tror slet ikke på folieposer. At have en mobiltelefon og pakke den ind i folie er noget dumt. Hvorfor gøre det? Af hensyn til ikke at forbinde telefonen til Wi-Fi? Det er nemmere at slukke. Så mobiloperatøren ikke identificerer dig? Så de kan stadig trilatere signalet, på en eller anden måde beregne det. For mig er de eneste effektive sikkerhedsforanstaltninger opbevaring, beskyttet, som et lokalt netværk – måske i en lejlighed, hvor man kan opbevare noget.
Z: - Det er et spørgsmål om lov. Er lovgivningen strafbar over for en person, der ønsker at verificere deres data?
Åh: - Jeg forstår, ja. Jeg vidste ikke engang om denne ting, så jeg kan ikke fortælle dig det med sikkerhed. Der er ikke sådan noget i Rusland, selvom alt er meget svært der. Sandsynligvis kan du rådføre dig med kvalificerede advokater, og måske er der et eller andet smuthul - måske indgive det til en EU-domstol ... Nej? Jeg kan ikke fortælle dig om det. Mit kendskab til jura er overfladisk, på niveau med virksomhedens leder. Jeg ved, hvad jeg ikke skal gøre, uden at nogen fortæller dig noget. Dette er selvfølgelig meget trist.
Z: - Jeg mener, i andre lande (for eksempel i staterne) er det normal praksis, at man kan teste en form for sårbarhed, og så erklære det, men ikke afsløre det.
Åh: Ja, bug bounty. Jeg forstår, at der er.
Z: “Og virksomheder har ikke en mekanisme til at tage dig ud, fordi det er billigere.
Åh: »Det her grænser også til lovens niveau. Det afhænger af, hvordan du finder denne sårbarhed. Det forekommer mig, at en stor del af pengene, der blev betalt for denne sårbarhed i Amerika, blev betalt i henhold til en hemmeligholdelsesaftale og under trusler om at sagsøge denne person. Det er ligesom at holde et stearinlys også. Vi risikerer altid den slags. Mine medarbejdere har fundet lignende sårbarheder et par gange i alle mulige statsansøgninger – jeg siger altid: "Send et anonymt brev er bedre, end du fortæller dem, at hullet er der." Og så kommer der et eller andet forskningsinstitut, som leverede denne service... Generelt vil jeg ikke fortsætte videre.
At tjekke en virksomhed for ærlighed vil ikke fungere: Hvis du ikke kan lide det, skal du ikke bruge det
Z: - Et spørgsmål. Du sagde, at du udførte et eksperiment - 15 afkrydsningsfelter skulle afkrydses ... Lad os sige, at brugeren annullerer alle afkrydsningsfelterne. Hvem skal kontrollere det og hvordan? Hvordan tjekker man det overhovedet?
Åh: - Helt ærligt, jeg vil sige dig: ingen og intet. Helt seriøst. At du har markeret og fjernet markeringen i "Forbud mod reklamesporing" hos Google, betyder ikke noget som helst. Desværre, selv når du forbyder indeksering af søgemaskiner på Vkontakte, indekserer søgemaskiner det stadig, og så giver de simpelthen ikke disse resultater til bestemte personer. Dette er alt sammen på niveau med manglen på kompetente myndigheder, der ikke kan verificere dette. Derudover er de virksomheder, der gør det, private. Facebook har en rigtig eller forkert position, de har kun én: Hvis du ikke kan lide den, så lad være med at bruge den.
Om regulering
Z: Jeg har kun et enkelt spørgsmål. Og hvordan har du det med spørgsmålet om regulering i databehandling, selvregulering?
Åh: - Jeg, som repræsentant for virksomheden, mener, at markedet, erhvervslivet har brug for selvregulering. Jeg tror på, at big data-foreningen kan regulere alt selv, uden staten. Jeg har virkelig mistillid til regeringens regulering og har virkelig mistillid til alle historier, når staten vil beholde noget, for hver sag viste, at det er meget dårligt. Nogen vil sikkert sætte login og adgangskode på det gule klistermærke på skærmen, og så videre.
Generelt tror jeg på selvregulering. Derudover tror jeg på, at vi i de næste 5 år vil komme til en vis åbenhed. Allerede nu kan man allerede se det i nyheder, at det er meget svært for staten at lyve over for brugerne, det er meget svært for brugerne at lyve over for systemet. Og dette er i princippet nok godt. Da vores efterretningsofficerer er beregnet ud fra offentlige billeder
Alt dette fører til et fald i kriminalitetsniveauet. Altså rent matematisk. Hvis nogen er interesseret i at tale om at mindske kriminalitetsniveauet, er der en masse alle mulige konklusioner, der kan drages. Generelt går jeg ind for selvregulering af markedet. Tak skal du have!
Nogle annoncer 🙂
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, , en unik analog af entry-level servere, som blev opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere i Equinix Tier IV datacenter i Amsterdam? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com