Día de la Protección de Datos Personales, Minsk, 2019. Organizador: organización de derechos humanos Human Constanta.
Principal (en adelante - B): – Artur Khachuyan está involucrado en… ¿Podemos decir “en el lado oscuro” en el contexto de nuestra conferencia?
Artur Khachuyan (en adelante, AH): Del lado corporativo, sí.
A: “Él recopila sus datos y los vende a corporaciones.
OH: - No precisamente…
A: “Y él le dirá exactamente cómo las corporaciones pueden usar sus datos, qué sucede con los datos cuando están en línea. Probablemente no te dirá qué hacer con él. Pensaremos más...
OH: - Te lo diré, te lo diré. De hecho, no os lo contaré hasta dentro de mucho, pero en el evento anterior me presentaron a una persona a quien Facebook incluso le bloqueó la cuenta al perro.
¡Hola a todos! Mi nombre es Arturo. Realmente proceso y recopilo datos. Por supuesto, no vendo ningún dato personal a nadie que sea de dominio público. Bromear. Mi campo de actividad es la extracción de conocimiento a partir de datos que se encuentran en fuentes abiertas. Cuando algo no es jurídicamente un dato personal, pero de ello se puede extraer conocimiento y darle la misma importancia que si estos datos se obtuvieran de datos personales. No diré nada realmente terrible. Pero aquí también tengo cifras sobre Rusia y sobre Bielorrusia.
¿Cuál es la escala real?
Precisamente anteayer estuve en Moscú en uno de los principales partidos gobernantes (no diré cuál) y discutimos la implementación de algún proyecto. Y eso significa que el director de TI de este partido se levanta y dice: "Dijiste, números y demás, ya sabes, la 2.ª Dirección del FSB me preparó una nota aquí, que dice que hay 24 millones de rusos en las redes sociales". redes. Y dices: 120 con algo. De hecho, tenemos más de treinta [millones] de personas que no utilizan Internet”. ¿Yo digo si? DE ACUERDO".
La gente realmente no entiende la escala. No se trata necesariamente de agencias gubernamentales, que probablemente no comprendan del todo cómo funciona Internet, sino de mi madre, por ejemplo. Recién ahora comienza a comprender que en Perekrestok le dan una tarjeta por una razón, no por los miserables descuentos que ofrece este Perekrestok, sino por el hecho de que luego sus datos se utilizan en OFD, compras, modelos predictivos, etc. .
En general, hay tantos residentes y hay información sobre tantos en fuentes abiertas. De alguien sólo se sabe el apellido, de alguien se sabe todo, hasta el porno que le gusta (siempre bromeo con esto, pero es cierto); y todo tipo de información: con qué frecuencia viajan las personas, a quién conocen, qué compras hacen, con quién viven, cómo se mueven... un montón de información de todo tipo que los malos, los no tan malos y los buenos pueden utilizar. (Ni siquiera sé qué escala encontrar en este momento, pero aun así).
Hay redes sociales que, por supuesto, son un conjunto gigante de datos abiertos que juegan con las debilidades de las personas que gritan sobre la privacidad. Pero en realidad, si imaginamos un gráfico de los últimos 5 años, el nivel de histeria sobre los datos personales está creciendo, pero al mismo tiempo, el número de cuentas de redes sociales cerradas está disminuyendo año tras año. Puede que no sea del todo correcto sacar conclusiones de esto, pero: lo primero que detiene a cualquier empresa que recopile datos es una cuenta estúpidamente cerrada en las redes sociales, porque la opinión de una persona dentro de su cuenta cerrada, si no tiene 100 mil suscriptores, no es realmente muy interesante para algún tipo de análisis; pero también hay casos de este tipo.
¿De dónde obtienen información sobre nosotros?
¿Alguna vez te han llamado tus viejos amigos de la escuela, con quienes no te has comunicado durante mucho tiempo, y luego esta cuenta desapareció? Entre los malos que coleccionan teléfonos existe algo así: analizan amigos (y la lista de amigos casi siempre está abierta, incluso si una persona cierra su perfil, o la lista de amigos se puede restaurar "en la dirección opuesta" recopilando a todos los demás usuarios), toman a algunos de tus amigos inactivos, hacen una copia de su página, llaman a tu amigo, lo agregas y después de dos segundos se elimina la cuenta; pero al mismo tiempo quedó una copia de tu página. Entonces, de hecho, los chicos lo hicieron recientemente, cuando 68 millones de perfiles de Facebook volaron a alguna parte: agregaron aproximadamente lo mismo a todos como amigos, copiaron esta información, incluso le escribieron a alguien en mensajes personales, hicieron algo ...
Las redes sociales son una gran fuente de información, en casi el 80% de los casos la información sobre una persona en particular no se toma directamente, sino del entorno inmediato; esto es todo tipo de conocimiento indirecto, signos (lo llamamos el algoritmo "Evil ex" ), porque uno de mis amigos me impulsó a tener esta idea absolutamente brillante. Ella nunca siguió a su novio; siempre siguió a sus cinco amigos y siempre supo dónde estaba. En realidad, esta es una razón para escribir un artículo científico completo.
Hay una gran cantidad de bots que también hacen todo tipo de cosas buenas y malas. Hay personas inofensivas que estúpidamente se suscriben a usted para anunciarle cosméticos más tarde; pero hay grillos serios que intentan imponer su opinión, especialmente antes de las elecciones. No sé cómo será en Bielorrusia, pero en Moscú antes de las elecciones municipales, por alguna razón, tenía una gran cantidad de amigos, algunos incomprensibles, y cada uno hace campaña para un candidato diferente, es decir, no lo hacen en absoluto. Analice el contenido que consumo: simplemente intentan imponer alguna reforma incomprensible, teniendo en cuenta el hecho de que no estoy registrado en Moscú y no iré a votar.
Basura: una fuente de información peligrosa
Además, está Thor, que no está precisamente subestimado: todo el mundo piensa que sólo hay que ir allí para comprar drogas o descubrir cómo se fabrican las armas. Pero, de hecho, existen muchas fuentes de datos. Casi todos son ilegales (por ejemplo, casi legales), porque alguien podría piratear la base de datos de las compañías aéreas en algún sitio de piratas informáticos y arrojarlas allí. Legalmente, no puede utilizar estos datos, pero si obtiene algún conocimiento de allí (como en un tribunal estadounidense), por ejemplo, una grabación de una conversación de audio realizada sin orden judicial, no puede utilizarlos, pero el conocimiento que recibió de Esta grabación de audio no la olvidarás, y aquí es más o menos lo mismo.
En realidad, esto es algo muy peligroso, por eso siempre bromeo, pero es verdad. Siempre pido comida para la casa de al lado, porque el Delivery Club se rompe muy a menudo y realmente tiene muchos problemas. Y recientemente me sorprendió mucho: pedí comida y en la caja que tiré a la basura había una pegatina pegada que decía "Artur Khachuyan", número de teléfono, dirección del apartamento, código de intercomunicación y correo electrónico. De hecho, incluso intentamos negociar con la municipalidad de Moscú para dar acceso al vertedero de basura: en general, venir al vertedero de basura e intentar, puramente por interés, intentar encontrar alguna mención de datos personales, para hacer algo así como una mini-investigación. Pero nos rechazaron cuando supieron que queríamos venir con empleados de Roskomnadzor.
Pero este es realmente el caso. ¿Has visto la increíble película "Hackers"? Estaban hurgando en la basura para encontrar alguna parte del virus. Esto también es algo popular: cuando la gente lanzaba algo a fuentes abiertas, se olvidaba de ello. Podría ser algún sitio escolar donde escribieron su disertación sobre la supremacía blanca, y luego fueron a la Duma Estatal y se olvidaron de eso. Casos así sucedieron realmente.
¿Qué le gusta a la gente de Rusia Unida?
Si vas al "topchik" en el sitio web de Lifenews... Los estudiantes hicieron un estudio para mí hace dos años: tomaron a todos los participantes en las primarias de Rusia Unida (todos enviaron oficialmente sus cuentas de redes sociales a la Central Panrusa). Comité Ejecutivo), observó lo que les gusta en general: porno infantil, thrash, anuncios oscuros de mujeres adultas extrañas ... En general, la gente se olvidó de esto.
Luego escribieron una carta afirmando que a veinte personas les habían robado sus cuentas. Pero les robaron las cuentas hace dos semanas, las presentaron a la comisión electoral hace 8 meses, y los me gusta hace dos años ... En general, ¿entiendes, no? Existe una cantidad realmente enorme de información que siempre se puede utilizar incluso con fines de investigación.
Minioftopchik: ayer vi la noticia de que Roskomnadzor bloqueó los estudios de los estudiantes de la "torre" hace dos años. Quizás alguien vio esta noticia, ¿no? Fueron mis alumnos quienes hicieron la investigación: eran de Tor, del sitio web de Hydra donde se venden medicamentos (lo siento, de Rampa), recopilaron información sobre cuánto, qué, en qué región de Rusia cuesta, e hicieron el investigación. Se llamaba "la cesta de consumo del fiestero". Esto, por supuesto, es curioso, pero desde el punto de vista del análisis de datos, el conjunto de datos es realmente interesante; luego, durante otros dos años, asistí a todo tipo de "hackathons". Esto es algo real: hay muchas cosas interesantes allí.
Cómo Get Contact "compró las almas" de los usuarios curiosos y por qué es necesario leer el acuerdo de usuario
Por lo general, cuando le preguntas a una persona qué tipo de fuga de datos temes (especialmente si una persona tiene una cámara web grabada), siempre presenta la estructura de prioridades de la siguiente manera: piratas informáticos, el estado, corporaciones.
Esto es, por supuesto, una broma. Pero, de hecho, los analistas de datos activos, todo tipo de científicos de datos han robado mucho más que, me parece, los terribles rusos, estadounidenses o algunos otros piratas informáticos (sustituya por cualquiera, según sus creencias políticas). En general, todo el mundo tiene miedo de esto: ¿tienen todos la cámara web pegada con cinta adhesiva? Ni siquiera puedes levantar la mano.
Pero si los piratas informáticos están haciendo algo ilegal y el Estado necesita una orden judicial para obtener los datos, entonces las últimas [corporaciones] no necesitan nada en absoluto, porque tienen algo así como un acuerdo de usuario que nadie jamás lee. Y realmente espero que tales acontecimientos obliguen a la gente a leer los acuerdos. No sé cómo fue en Bielorrusia, pero en Moscú a mediados de ese año hubo una ola de la aplicación GetContact (probablemente lo sabías), cuando de la nada apareció una aplicación que dice: dale a la aplicación acceso a todos tus contactos, y te mostraremos lo gracioso que fuiste grabado.
No apareció en los medios, pero muchos empleados de alto rango se quejaron de que todos empezaban a llamarlos todo el tiempo. Al parecer, los administradores decidieron encontrar el teléfono de Shoigu en esta base de datos, alguien más... Volochkova... Algo inofensivo. Pero aquellos que leen el acuerdo de licencia de GetContact dicen: spam en cantidades ilimitadas por tiempo ilimitado, venta incontrolada de sus datos a terceros, sin restricción de derechos, prescripción y, en general, todo lo que es posible. Y en realidad no es una historia tan rara. Aquí está Facebook para mí, mientras estuve allí, 15 veces al día mostraba notificaciones: "¡Y sincroniza tus contactos, y te encontraré a todos los amigos que tienes!".
A las corporaciones no les importa. Ley Federal 152 y GDPR
Pero, en realidad, las prioridades van en la dirección opuesta, porque las empresas están protegidas por el derecho privado y, por lo tanto, en casi todos los casos es imposible demostrar que están equivocadas. Y dado que es grande, aterrador y muy caro, es casi imposible. Y si además estás en Rusia, con una legislación obsoleta, entonces de alguna manera todo es completamente triste.
¿Sabes en qué se diferencia la ley rusa (y es prácticamente bielorrusa) de, por ejemplo, el RGPD? La Ley Federal 152 de Rusia protege los datos (esta es una reliquia del pasado soviético), un documento que protege los datos para que no se filtren en alguna parte. Y el RGPD protege los derechos de los usuarios: el derecho a perder algunas libertades, privilegios o algo más porque sus datos se filtrarán en alguna parte (introdujeron ese concepto directamente en el "data-li"). Y tenemos todo lo que pueden acusarle: una multa por no tener un "abierto" certificado - "Excel" para procesar datos personales. Espero que esto cambie algún día, pero no creo que lo haga pronto.
¿Cuáles son las verdaderas oportunidades de focalización hoy en día?
La primera historia, probablemente aterradora, en la que todos pensaban constantemente fue en leer mensajes privados. Seguramente hay una persona entre ustedes que alguna vez dijo algo en voz alta y luego recibió publicidad dirigida. Sí, ¿las hubo? Levanta tus manos.
Realmente no creo en la historia de que el Yandex Navigator condicional reconoce el audio directo en la transmisión para todos los usuarios, porque aquellos que han encontrado un poco el reconocimiento de voz, entienden que: en primer lugar, el centro de datos de Yandex » debería ser cinco veces más ; pero lo más importante es que el costo de atraer a esa persona costaría mucho dinero (para poder reconocer el audio en la transmisión y entender de qué está hablando la persona). ¡Pero! En realidad, existen algoritmos que te etiquetan por determinadas palabras clave para luego realizar algún tipo de comunicación publicitaria.
Hubo muchos estudios de este tipo, hice cuentas limpias 100 veces, le escribí algo a alguien en mensajes y de repente recibí un anuncio que parecía no tener nada que ver con eso. En realidad, hay dos conclusiones aquí. En contra de tal historia, se cree que una persona simplemente cae en algún tipo de muestra estadística; digamos que eres un hombre de 25 años que en este mismo momento debería haber encontrado cursos de inglés justo en el momento en que le escribiste a alguien. Al menos Facebook siempre dice esto en los tribunales: que hay un determinado modelo de comportamiento que no le mostraremos, que se basó en datos que no le mostraremos, tenemos investigaciones internas que definitivamente no le mostraremos ( porque todo es un secreto comercial); en general, entraste en una determinada muestra estadística, así que te la mostramos.
Cómo Facebook cabreó la privacidad de los usuarios
Desafortunadamente, esto generalmente es imposible de probar si no hay una persona dentro de la empresa que de alguna manera confirme estas acciones. Pero según la ley estadounidense, en este caso, el acuerdo de confidencialidad de este empleado es mayor que su deseo de ayudarlo, por lo que nadie lo hará. También es interesante, fue hace aproximadamente un año o un año y medio, una tendencia comenzó a desarrollarse en Estados Unidos, cuando la gente instaló una extensión de navegador para cifrar mensajes de Facebook: le escribes algo a una persona, él lo cifra con una clave en el dispositivo y lo envía a la basura en acceso abierto.
Por ejemplo, Facebook ha estado demandando a esta empresa durante un año y medio, y no está claro por qué motivo (porque no conozco bien la ley estadounidense) los obligó a eliminar esta aplicación y luego hicieron una enmienda al acuerdo de usuario. : si nos fijamos, existe una cláusula que dice que no se pueden transmitir mensajes en forma cifrada; de alguna manera se describe allí con tanta astucia que no se pueden usar algoritmos criptográficos para modificar mensajes; bueno, existe tal cosa. Es decir, dijeron: o usas nuestra plataforma, escribes en el dominio público o no escribes. Y esto plantea la pregunta: ¿para qué necesitan mensajes privados?
Los mensajes privados son una fuente de información XNUMX% confiable
Aquí hay algo muy simple. Todos los que analizan la huella digital, la actividad humana, intentan de alguna manera utilizar estos datos para marketing o cualquier otra cosa; tienen una métrica como la confiabilidad. Es decir, una determinada imagen de una persona (lo entiendes perfectamente, esta no es una persona en sí misma) esta imagen siempre es un poco más exitosa, un poco mejor. Los mensajes privados son conocimientos reales que se pueden obtener sobre una persona, casi siempre son 100% confiables. Bueno, porque rara vez alguien le escribe algo a alguien en mensajes privados, lo engaña, y todo esto es muy fácil de comprobar, respectivamente, según otros mensajes (entiendes de lo que estoy hablando). La conclusión es que el conocimiento extraído de esta manera es casi 100% confiable, por lo que todos siempre están tratando de tenerlo en sus manos.
Sin embargo, todo esto es, nuevamente, una historia muy difícil de probar. Y aquellos que creen que el "Vkontakte" condicional tiene ese acceso por parte de las fuerzas del orden a mensajes personales, esto no es del todo cierto. Si nos fijamos simplemente en el historial de solicitudes judiciales de divulgación de información, veremos cómo Vkontakte (en este caso, Mail.ru) rechaza estas solicitudes de manera muy inteligente.
Siempre tienen el argumento principal: según la ley, las fuerzas del orden deben argumentar por qué es necesario el acceso a los mensajes personales. Como regla general, si se trata de un asesinato, el investigador siempre dice que lo más probable es que la persona haya dicho dónde escondió el arma (en mensajes privados). Pero usted y yo entendemos que ningún criminal en su sano juicio escribirá jamás a sus cómplices en Vkontakte sobre dónde escondió las armas de fuego. Pero esta es una de las opciones más comunes que informan los funcionarios.
Y aquí hay otro ejemplo tan terrible (hoy me pidieron que diera ejemplos terribles) - sobre Rusia (espero que esto no suceda en Bielorrusia): según la ley, el investigador debe tener razones suficientemente buenas para que el operador revele esta información. . Naturalmente, estos parámetros confiables no se describen en ninguna parte (qué, en qué forma deberían ser), pero en Rusia ahora hay un número cada vez mayor de precedentes cuando tal base aparece ante el tribunal si existe un determinado modelo que predice un determinado, buena o mala conducta.
Es decir, en nuestro país nadie puede ser encarcelado (y esto es bueno) por estar incluido en alguna muestra estadística de asesinos de pura sangre, y esto es bueno, porque viola la presunción de inocencia; pero hay precedentes en los que los resultados de tales pronósticos se han utilizado para obtener autorización judicial para los datos. Por cierto, no sólo en Rusia. En Estados Unidos también existe tal cosa. Allí, el Palantir también ha vencido a todos durante mucho tiempo, se usan esas cosas. Cuento de miedo.
Esta es mi investigación. Hicimos esto: caminamos por San Petersburgo, en los lugares de puntos verdes escribimos a amigos algunos puntos clave de cuentas "limpias", como "Quiero tomar café", "¿Dónde puedo comprar detergente en polvo?" etcétera. Y luego, en consecuencia, recibieron publicidad georreferenciada. De alguna manera mágica... O como decían: “¿Coincidencia? ¡No pienses!" Estos son mensajes personales en Vkontakte. Perdóname Mail.ru, pero es verdad. Cualquiera puede repetir este experimento.
Por cierto, cuando escribieron una declaración de apoyo, Mail dijo que había puntos Wi-Fi que capturaron su dirección de amapola. También existe tal cosa.
Métodos de obtención y opciones habituales para "drenar" datos personales
La siguiente historia es la extracción de conocimientos adicionales, una parte de la cual realmente toqué. De hecho, el perfil completo de una persona en las redes sociales realmente contiene entre el 15 y el 20% del conocimiento real que el operador de datos almacena sobre ella. El resto de la historia proviene de cosas muy interesantes. ¿Por qué crees que Google está desarrollando tanto bibliotecas para visión por computadora? En particular, fueron de los primeros en desarrollar bibliotecas para analizar y clasificar objetos, en segundo plano, en primer plano, sin importar dónde. Porque esta es una gran fuente de información adicional sobre qué tipo de apartamento tiene una persona, coche, dónde vive, artículos de lujo ...
Hubo un montón de relleno de "hackers" cuando se fusionaron las redes neuronales entrenadas de Google (no sé de quién eran, pero al menos). Había muchas cosas interesantes sobre el tamaño del pecho y la circunferencia de la cintura, que solo las personas no intentaban descubrir sobre otras personas basándose en el análisis de fotografías. ¿Porque cuando una persona toma una foto, no siempre piensa en cuántas cosas interesantes se pueden aprender de ella? ¿Y cuántos pasaportes para recién nacidos existen en Rusia?... O: "¡Hurra, mi bebé obtuvo una visa"! Este es generalmente el dolor de la sociedad moderna.
Un tema tan fuera de tema (hoy compartiré hechos con ustedes): en Moscú, la filtración de datos personales más frecuente es la vivienda y los servicios comunales, cuando se cuelga una lista de deudores en la puerta, y estos deudores luego demandan, porque sus datos personales Entré en acceso abierto sin sus permisos. Y si te pasa esto… La cuestión es que cuando una persona hace algo, no sabe qué había en esa foto, qué no. Ahora hay muchos números de automóviles.
Una vez realizamos un estudio: intentamos comprender cuántas personas tienen fotografías abiertas de automóviles (tienen, respectivamente, infracciones, etc.); esto, desafortunadamente, solo se pudo hacer utilizando las bases de datos fusionadas de la policía de tránsito, donde solo hay un número (información no muy confiable), pero también fue interesante.
Tu próximo anuncio depende de cómo "consumiste" el anterior.
Esta es la primera historia. La segunda historia son los patrones de comportamiento, el contenido que consume una persona, porque una de las métricas más importantes que las redes sociales intentan construir sobre ti es cómo interactúas con los anuncios. No importa cuán precisos y “asombrosos” sean los algoritmos, no importa cuán maravillosas funcionen las inteligencias artificiales y todo lo demás, la verdadera prioridad de una red social es siempre ganar dinero. Por lo tanto, si viene el condicional "Coca-Cola" y dice: "Quiero que todos los habitantes de Bielorrusia vean mi publicación", la verán, independientemente de lo que piensen los algoritmos sobre esta persona, cómo apuntar a ella allí. Probablemente haya recibido anuncios, además de tonterías súper dirigidas y sin ningún tipo de relación. Porque se pagó mucho dinero por estas tonterías sin relación.
Pero una de las métricas principales es comprender con qué contenido interactúa mejor, es decir, cómo reacciona ante él para mostrarle una historia publicitaria similar. Y, en consecuencia, esta es una métrica de cómo interactúa con la publicidad: quién la prohíbe, quién no, cómo hace clic una persona, si lee solo los titulares o se sumerge completamente en el material; y luego, en base a eso, continuar manteniéndote en esta, como ahora se llama, "burbuja de filtro", para que continúes interactuando con este contenido.
Si de repente te interesa, intenta durante mucho tiempo, durante una semana, tal vez un mes, simplemente prohibir todos los anuncios de las redes sociales seguidos: se te muestra algún tipo de anuncio y lo cierras. Si analizas esto y lo pones en un gráfico, habrá una historia interesante: si prohíbes los anuncios durante una semana, la próxima semana te los mostrará en una versión mejorada y generalmente de diferentes categorías; es decir, condicionalmente, amas a los perros y se te muestran anuncios con perros: prohibiste a todos los perros y luego comenzarán a mostrarte todo tipo de tonterías versátiles de diferentes opciones para tratar de comprender lo que necesitas.
Y luego, al final, te escupirán, te marcarán como una persona que no interactúa con la publicidad, te pondrán una cruz condicional y en ese momento empezarán a mostrarte anuncios de marcas exclusivamente ricas. Es decir, en este momento verás anuncios sólo de Coca-Cola, Kit-Kita, Unilever y todas las personas que están ganando mucho dinero, porque necesitas conseguir visitas. Dentro de un mes, realice un experimento: prohíba todos los anuncios durante una o dos semanas, luego verá todo seguido y prohíbalo; al final, resulta que solo verá anuncios (y dicen las agencias de publicidad). Solo clientes que pagan por las vistas, porque es imposible entender cómo interactúas con este anuncio.
La pornografía es vista con mayor frecuencia por aquellos que tienden a profundizar en el contenido.
En consecuencia, aquí hay una historia sobre todo tipo de seguimiento de comportamiento. Tengo un ejemplo muy interesante: los visitantes de un sitio web gubernamental. Lo curioso es que cuanto más profundamente ven las personas, más personas prefieren ver pornografía a las relaciones tradicionales. “Perdón” por hablar de este tema todo el tiempo, pero en realidad tengo una muy buena relación con Pornhub, y estos siempre son estudios muy interesantes, porque este es un tema que es una especie de tabú, pero dice mucho sobre una persona. Y los siguientes puntos sobre el retorno del tráfico que siguen desde aquí... ¡También nos acordaremos de Pornhub!
¿Qué se consideran datos personales y se puede desbloquear un iPhone con un modelo de rostro 3D?
Mi favorito es la elusión de la ley sobre datos personales. Si lees la documentación técnica del mismo Facebook que proporcionó algunos documentos internos (por ejemplo, al tribunal), no encontrarás ninguna mención ni del reconocimiento facial ni del análisis de voz. Habrá un lenguaje muy complejo que ningún abogado calificado encontrará dentro de la legislación. Trabajamos de manera muy similar en Rusia; ahora les mostraré algo así.
que ves aquí? Cualquier persona normal diría esa cara. Esta es Sasha Grey, por cierto. Y legalmente, esta es una matriz de unos puntos tridimensionales, de los cuales hay 300 mil piezas. Para bien o para mal, esto no se considera dato personal por ley. En general, el RKN ruso no considera una foto como datos personales; la considera datos personales si hay algo más cerca (por ejemplo, un nombre completo o un número de teléfono), y esta foto en sí no es nada en absoluto. Tan pronto como se introdujo la ley sobre biometría y los datos biométricos se equipararon con datos personales (de manera muy grosera), todos inmediatamente comenzaron a decir: ¡estos no son datos biométricos, es una serie de puntos! Especialmente si se toma una transformada de Fourier directa o inversa a partir de esta serie de puntos, parece que no se puede desanonimizar a una persona a partir de esta transformación, pero sí se puede identificarla. En teoría puramente, esto no viola la ley.
También hice otro estudio: este es un algoritmo que construye una reconstrucción tridimensional de una cara a partir de fuentes abiertas: tomamos una cuenta en Instagram y luego podemos imprimir la cara en una impresora 3D. A quien por cierto le interese, tengo un enlace de dominio público; si de repente alguien quiere desbloquear el "iPhone" de alguien ... Es una broma: el "iPhone" no se puede desbloquear, la calidad allí se reduce.
El perfil privado es una ventaja para la seguridad.
Esto es lo primero, y lo segundo... Ya he mencionado que la información se obtiene principalmente del entorno del usuario. Hice este dibujo en 17: el usuario promedio de las redes sociales rusas está adentro, tiene un promedio de 200 a 300 amigos, sus amigos de amigos y sus amigos de amigos de amigos.
Gracias a las redes sociales por introducir algoritmos inteligentes de alimentación electrónica, años integrales, aparentemente para aumentar la probabilidad de que encuentre contenido interesante. Este es el número de personas que pueden ver en cualquier momento el contenido que usted produce, incluso si su cuenta está limitada sólo por los niveles superiores de privacidad (sólo para amigos de amigos, etc.). Aquí están los amigos de amigos:
Si alguien piensa que cuando elige ver "amigos de amigos" en "Mis publicaciones" en VK, entonces tres apretones de manos equivalen a unas 800 mil personas, lo que en principio no es tan pequeño, pero depende de su contenido. Tal vez estés haciendo algunas transmisiones indecentes y todos estos amigos de amigos puedan interactuar con este contenido. Uno de ellos puede volver a publicar algo en algún lugar, todas las personas tienen un feed similar, que de hecho es más probable que se cancele, porque esto no es algo muy personal. Por tanto, en cualquier momento, el contenido puede llegar a alguna parte.
VK ese año también lanzó perfiles súper cerrados, pero hasta ahora los ha utilizado un número muy pequeño de personas (¡no diré cuál, pero sí una pequeña!). Quizás algún día la gente piense en esto; realmente lo espero sinceramente. Toda investigación tiene como objetivo constante hacer que la gente comprenda la magnitud de los problemas. Porque hasta que alguien en particular no sea tocado por cosas terribles, nunca pensará en ello. Adelante.
Las agencias gubernamentales no saben qué son los datos personales y no tienen prisa por definirlos.
Cualquier especialista en el campo de la ley de datos personales siempre dice lo siguiente: nunca es necesario combinar varias fuentes de datos, porque aquí tiene correos electrónicos (estos son solo datos personales con algún tipo de identificadores anonimizados), aquí - nombre completo. Si esto se combina todo, parece que se convertirán en datos personales. En general, sería correcto tocar este tema primero, pero creo que usted ya está inmerso en él y tal vez sepa cómo funciona la ley.
De hecho, nadie sabe qué son los datos personales. ¡Concepto importante! Cuando llego a las agencias gubernamentales, digo: "Una botella de coñac a quien dice qué son los datos personales". Y nadie puede decirlo. ¿Por qué? No porque sean estúpidos, sino porque nadie quiere asumir la responsabilidad de sí mismo. Porque si Roskomnadzor dice que se trata de datos personales, mañana alguien hará algo y tendrá la culpa; y son autoridades ejecutivas y generalmente no deberían ser responsables de nada.
La conclusión es que la ley establece claramente que los datos personales son aquellos mediante los cuales se puede identificar a una persona. Y allí se da un ejemplo: nombre completo, domicilio, número de teléfono. Pero usted y yo sabemos que se puede identificar a una persona tanto por cómo presiona los botones como por cómo interactúa con la interfaz y por otros parámetros indirectos. Si alguien se lo pregunta, hay una gran cantidad de lagunas jurídicas en casi todos los ámbitos.
Identificadores que nos revelan
Por ejemplo, todo el mundo empezó a poner puntos para capturar direcciones de amapola (¿se ha encontrado con seguridad?): los fabricantes inteligentes (o no sé, codiciosos) de equipos móviles, como Apple y Google, introdujeron rápidamente algoritmos que emiten un dirección de amapola aleatoria para que no puedas identificarla cuando caminas por la ciudad y enviar a todos tu dirección de amapola. Pero los inteligentes pensaron aún más en la siguiente historia.
Por ejemplo, puede obtener una licencia de operador de telefonía móvil; después de recibir una licencia de un operador de telefonía móvil, tendrá acceso a tal cosa: se llama el protocolo SS7, según el cual verá una determinada transmisión de los operadores de telefonía móvil; Hay un montón de todo tipo de identificadores que no son datos personales. Antes de eso, era IMEI, y ahora, literalmente, alguien se lo quitó de la lengua y decidió mantener en Rusia (tal iniciativa) una base de datos única de estos "IMEI". En cierto modo lo es, pero aún así.
Hay, por ejemplo, un montón de identificadores, por ejemplo, IMCI (Identificador de equipo móvil), que no son datos personales ni están vinculados a otras cosas y, en consecuencia, se pueden guardar sin ningún proceso legal y luego con quién se intercambian. estos identificadores para poder comunicarse con la persona más tarde.
La cultura de trabajar con datos personales está en un nivel bajo.
En general, la conclusión es que ahora todo el mundo está muy preocupado por fusionar datos de uno con otro, y la mayoría de las empresas que realizan esta fusión a veces ni siquiera piensan en ello. Por ejemplo, vino un banco, celebró un acuerdo de confidencialidad con una empresa que hace scoring, abandonó a 100 mil de sus clientes ...
Y no siempre este banco en el contrato tiene una cláusula sobre cesión de datos a terceros. Estos clientes aceleraron algo, y no está claro adónde fue esta base de datos más tarde, no fue; en la mayoría de las empresas en Rusia no existe una cultura de eliminar datos ... - este "Excel" seguramente estará colgado en algún lugar de la computadora de la secretaria más tarde.
Nuestros datos se pueden vender con cada compra en la tienda.
Hay muchos esquemas que parecen ser casi legales (es decir, legales). Por ejemplo, la historia es la siguiente: de los 15 bancos rusos más grandes, solo dos son puertas de enlace de SMS reales: Tinkoff y Alfa, es decir, ellos mismos envían sus propios SMS. Otros bancos utilizan pasarelas de SMS para enviar SMS a los clientes finales. Estas pasarelas de SMS casi siempre tienen derecho a analizar el contenido (por ejemplo, por motivos de seguridad y algunas de sus conclusiones) para luego vender estadísticas agregadas. Estas pasarelas de SMS son "amigables" con los operadores de datos fiscales que operan controles.
Y resulta lo siguiente: llegaste al cajero, al operador de datos fiscales (te dieron, no te dieron tu número de teléfono, de alguna manera está vinculado allí) ... recibes un SMS a tu número de teléfono, la puerta de enlace de Estos SMS ven los últimos 4 dígitos de la tarjeta y el número de teléfono. Sabemos en qué momento realizó una transacción del operador de datos fiscales, y en SMS sabemos (ya ahora) a qué número se recibió información sobre el débito de tal o cual suma de dinero con tales o cuales últimos cuatro dígitos de la tarjeta. Los últimos cuatro dígitos de la tarjeta no son sus identificadores, no violan la ley, porque no se le puede desanonimizar al usarlos, el monto de la transacción tampoco lo es.
Pero si has acordado con el operador de datos fiscales, sabes en qué ventana de tiempo (más o menos 5 minutos) debería llegarte este SMS. Por lo tanto, rápidamente lo vincularon a su número de teléfono en la OFD, y su número de teléfono está vinculado a identificadores publicitarios, en general, a todo-todo-todo. Por lo tanto, entonces te pueden pillar: vinieron a la tienda y luego te envían más tonterías sin permiso. Creo que casi nadie en esta sala ha presentado alguna vez una solicitud ante el FAS por spam. Casi no hay... Excepto yo, supongo.
Los periódicos son una forma arcaica pero eficaz de luchar por tus derechos
Funciona muy bien. Es cierto que habrá que esperar un año y medio, pero el FAS realizará una auditoría: quién, cómo, a quién transfirió los datos, por qué, dónde, etc.
Pregunta de los presentes (en adelante Z): - En Bielorrusia no existe el FAS. Este es un país diferente.
OH: - Si entiendo. Seguro que hay algo parecido...
Las objeciones vienen del público
OH: - Vale, mal ejemplo, lo siento. No importa. Entre mis amigos, no conozco a nadie que, en principio, sepa de la existencia de una historia así: que puedes ir a escribir y luego trabajarán un año más.
La segunda historia, que también se está desarrollando mucho en Rusia, pero creo que encontrarás un análogo en tu país. Me gusta mucho hacer esto, cuando una agencia gubernamental, algún banco u otra cosa no se comunica bien contigo, dices: "Dame un papel". Y escribe en una hoja de papel: "De acuerdo con el párrafo 14 de la 152ª Ley Federal, le pido que procese datos personales en formato papel". No sé exactamente cómo se hace esto en Bielorrusia, pero ciertamente se está haciendo. Según las leyes rusas, no tienen derecho a negarle un servicio basándose en esto.
Incluso conozco a muchas personas que enviaron mensajes similares a Mail.ru y pidieron mantener un registro de sus datos personales en papel. Mail.ru se defendió de esto durante mucho tiempo. Incluso conozco a un desarrollador de Yandex que entendió una broma: eliminaron su cuenta de VK y le enviaron un montón de capturas de pantalla impresas y le dijeron que le enviarían capturas de pantalla cada vez que quisiera actualizar su página.
Es curioso, pero aún así es una alternativa real si a alguien realmente le importan los datos, por un lado ... Y por otro lado, el mismo RKN me dijo que este acuerdo sobre el procesamiento de datos personales es formal, y la ley prevé varias opciones más para dar este consentimiento. Y que, por ejemplo, me invitaron aquí a un evento, y si, por ejemplo, Human Constanta no puede celebrar conmigo un acuerdo sobre el procesamiento de datos personales dentro del marco de las leyes rusas (porque el hecho mismo de que llegué y acordó hablar es consentimiento para el procesamiento de datos personales), todavía aceptan estos permisos en papel. Pero el RKN me dijo algo similar: no es un hecho en absoluto que lo más probable es que algún día desaparezcan.
Espero que en Rusia nunca creen un único operador, Dios me perdone, de datos personales, porque peor que poner todos los datos personales en una sola canasta, solo se pueden poner en la canasta estatal. Porque quién sabe qué pasará con todo esto.
Las empresas comparten datos personales y las leyes no los regulan bien
La mayoría de empresas intercambian algún tipo de datos, identificadores entre ellas. Puede ser una tienda con un banco, y luego un banco con una red social, una red social con otra cosa... Y al final, estas personas tienen una cierta masa crítica de conocimientos que pueden utilizar de alguna manera, y todo este conocimiento es cierto y ahora están tratando de mantenerlo de su lado. Sin embargo, todavía llega a algún tipo de tráfico publicitario o a algún otro lugar.
La transferencia de datos a terceros es lo más divertido que puede ser, porque las leyes no describen qué tipo de terceros son, a quiénes deben considerarse “terceros” en absoluto. Por cierto, esta es una frase muy común entre los abogados estadounidenses: allí tienen Terceros, ¿a quiénes considera terceros: abuela, bisabuela? ... Incluso hubo un precedente de este tipo en Estados Unidos cuando se divulgaron los datos de alguien. , una persona presentó una demanda y demostraron que esta persona, a través de varios amigos, conoce al propietario de los datos (un cierto número de apretones de manos, realizó algunos estudios sociológicos extraños), demostrando así que estas personas no pueden considerarse terceros entre sí. Divertido. Pero el hecho de la transmisión de dichos datos es muy común.
Incluso si visita un sitio donde hay un contador de identificación, este contador tiene derecho a transferir los datos de este tráfico a algún lugar (“Clickstream”, propietarios de plataformas publicitarias de cualquier cosa, “Pornohub”, por ejemplo). Pornhub, si uno de ustedes es desarrollador web, puede ir y ver cuántos píxeles de seguimiento hay en el sitio web de Pornhub. Simplemente ingresa: hay una gran cantidad de script Java cargado, como para mejorar el sitio. De hecho, allí también se instalan cookies entre dominios, lo cual no es así, porque esta información siempre es muy valorada en el mercado del flujo de clics.
"Facebook" se mueve y no se va a quitar la máscara
Naturalmente, ninguno de los principales actores le dice a nadie a quién y cómo vende datos. Por esta razón, por ejemplo, Europa está intentando demandar a Facebook. Justo después de la introducción del RGPD, la Unión Europea está intentando sacudir a Facebook de su propia divulgación de algoritmos para la reventa de datos a terceros.
Facebook no hace esto y dice públicamente que no lo hace porque son una "corporación del mundo" (cito esto de un correo electrónico que me enviaron), sino que están "en contra del mal uso de la tecnología" (especialmente si estás vendiendo reconocimiento facial al Kremlin). En general, la conclusión es que Facebook no está haciendo esto con toda honestidad: su principal objetivo y lo principal que sucederá tan pronto como se revele dicho mecanismo es que será posible calcular de manera realista el margen de publicidad, será posible comprender el coste real de los anuncios.
Convencionalmente, si Facebook le dice ahora que el costo de una exhibición publicitaria es de 5 rublos y se lo vendemos por 3 (y, como, nos quedan dos rublos), y ellos, condicionalmente, reciben el 5% de las ganancias de estas impresiones publicitarias. De hecho, esto no es el 5%, sino el 505, porque si aparece este algoritmo (a quién y cómo envió Facebook "clickstream", datos de visitas, datos de píxeles a todo tipo de redes publicitarias), resulta que ganan dinero. mucho más de lo que dicen al respecto. Y el punto aquí no es el dinero en sí, sino el hecho de que el costo de un clic es un rublo, pero de hecho, centésimas de centavo.
En general, la conclusión es que todo el mundo está tratando de ocultar dicha transferencia, no importa: tráfico publicitario o no publicitario, pero está ahí. Desafortunadamente, no hay forma de saberlo legalmente, porque las empresas son privadas, y todo lo que tienen dentro es su derecho privado y su secreto comercial. Pero historias como esta surgen todo el tiempo.
Los narcotraficantes son predecibles y "disparan" contra "Avito"
La última imagen de esta presentación. Es curioso, y la esencia es que hay ciertas categorías de personas que están muy preocupadas por sus datos personales. ¡Y es bueno, de hecho! Este ejemplo trata sobre una categoría de personas como los traficantes de drogas. Parecería que personas que deberían estar muy preocupadas por sus datos personales…
Se trata de un estudio que se realizó a principios de ese año bajo la supervisión de las autoridades competentes. Sí, este es un script al que se le dio dinero para comprar drogas en Telegram, en Tor, pero solo de aquellas personas que pudieron ser identificadas.
De hecho, casi todos los traficantes de drogas en Moscú están ardiendo en el hecho de que su número de teléfono no está en ninguna fuente abierta, pero tarde o temprano venderán algo en Avito, mediante el cual será posible entender la ubicación aproximada de estas personas. La conclusión es que los puntos rojos son donde vive la gente, y los puntos verdes son donde van a dejar, ¿sabes qué? Era una de las partes del algoritmo que predecía el despliegue de los servicios de patrulla, pero estos chicos de Moscú siempre intentan de alguna manera alejarse en diagonal.
Creen que si viven desde arriba a la izquierda, entonces deberían ir desde arriba a la derecha y definitivamente nunca los encontrarán allí. Lo que te digo es que si estás tratando de esconderte de los omnipresentes algoritmos, la mejor opción es cambiar el modelo de comportamiento: instalar algún tipo de "Invitado" para aleatorizar visitas, posesiones, etc. Sí, Señor, incluso existen algoritmos, complementos que cambian el tamaño del navegador en un par de píxeles para que sea imposible calcular la firma, la “huella digital” del navegador y de alguna manera identificarte.
Eso es todo lo que quería decir. Si tienes preguntas, vámonos. Aquí os dejo el enlace a la presentación.
Pregunta de la audiencia (B): – Díganme, por favor, en términos de uso de Tor, en términos de seguimiento del tráfico… ¿Lo recomiendan?
Es difícil de ocultar, pero es posible.
OH: - ¿"Thor"? "Thor" no es, en general, de ninguna forma. Es cierto, no sé cómo en Bielorrusia; en Rusia, en ningún caso deberías ir allí, porque casi la mayoría de los "nodos de gracia" verificados de repente agregan algunos paquetes a tu tráfico. No sé cuáles, pero si te fijas: hay “nodos” que marcan el tráfico, no está claro quién lo hace, con qué fines, pero alguien lo marca en el encabezado para que luego lo entiendas. En Rusia, ahora todo el tráfico se almacena, incluso si se almacena en forma cifrada, y todos trollean en el Paquete Yarovaya sobre el hecho de que el tráfico cifrado se almacena, pero permanece marcado, es decir, no se puede usar, no se puede descifrar. ...
З: - En Europa lleva mucho tiempo almacenado, probablemente diez años.
OH: - Si entiendo. Todo el mundo se ríe de esto: almacena https que no se pueden leer. El contenido no se puede leer, pero es posible comprender de dónde provienen los paquetes mediante ciertos algoritmos: por el peso de los paquetes, por su longitud, etc. Y cuando tienes todos los proveedores bajo el capó, en consecuencia, están todos los equipos troncales y todos los pasaportes ... En general, ¿entiendes de lo que estoy hablando?
З: ¿Qué navegador recomiendas usar?
OH: ¿Para Thor?
З: - De nada.
OH: - Bueno no lo sé. De hecho, uso Chrome, pero solo porque el panel de desarrollador es el más conveniente allí. Si de repente necesito ir a algún lugar, iré a algún café. Es cierto que allí no deberías iniciar sesión con una tarjeta SIM real.
З: Estabas hablando de algunos estudiantes. ¿Enseñas o impartes algún curso?
OH: – Sí, tenemos maestría en periodismo de datos. Capacitamos a periodistas para que recopilen datos y los analicen; periódicamente realizan estos estudios.
No hay aplicaciones seguras
З: - No es seguro comunicarse con amigos en Facebook, Vkontakte, para no recibir publicidad contextual más adelante. ¿Cómo mejorar la seguridad?
OH: – La pregunta es cuál considera usted un nivel de seguridad aceptable. En principio, la palabra "seguro" no existe. La pregunta es qué crees que es aceptable. Algunos consideran aceptable compartir fotos íntimas a través de Facebook, y algunos agentes de inteligencia creen que todo lo que se dice por la boca, incluso a la persona más cercana, en realidad no es seguro. Si no desea que la red social descubra algo al respecto, entonces sí, es mejor no escribir sobre ello. No sé sobre aplicaciones seguras. Me temo que no es así. Y esto es normal en el sentido de que cualquier propietario de cualquier aplicación necesita monetizarla de alguna manera, incluso si esta aplicación es gratuita o es algún tipo de medio. Es algo gratis, pero aún necesita vivir de algo. Por tanto, nada es seguro. Sólo debes decidir por ti mismo, por así decirlo, lo que más te convenga.
З: - ¿Que usas?
OH: - ¿Redes sociales?
З: - De mensajeros.
OH: - De los mensajeros, utilizo el principal mensajero estatal de la Federación de Rusia: Telegram.
З: - Vibrador. ¿Está a salvo?
OH: - Escucha, no soy muy bueno con la mensajería instantánea. Para ser honesto, no estoy en seguridad, no creo en nada, porque probablemente eso sería muy extraño. Aunque Telegram es algo así como de código abierto y sus algoritmos de cifrado han sido revelados. Pero esto también es muy complicado, porque el cliente de “código abierto” está ahí y nadie ha visto los servidores. Creo que no: Viber tiene mucho spam, bots, etc. Fig lo sabe. No creo que esto funcione muy bien.
¿Quién es más peligroso: las corporaciones o el Estado?
Anfitrión (B): - Y tengo una pregunta para usted. Mire, usted mencionó esto un par de veces de pasada: que el Estado... Demasiados datos no es muy bueno... Una corporación tiene demasiados datos. Bueno, así es la vida, ¿verdad? Entonces, ¿quién tiene más miedo: las corporaciones o el Estado? ¿Dónde están los peligros?
OH: - Ésa es una pregunta muy difícil. Él limita. Difícil barrera ética. Una persona, si no tiene nada que temer, si no ha infringido la ley, en principio, ¿por qué necesita privacidad? Aunque yo no lo creo, este Estado así lo cree. Quizás haya algo de verdad en esto. Escuche, lo que más temo son los piratas informáticos: algún tipo de gesto así. De hecho, el gesto más grande que he visto en mi vida (de todo este tema): hace aproximadamente un año y medio o dos años, un pedófilo fue capturado en la región de Moscú y durante las investigaciones se encontraron varios tutoriales sobre Python. en su computadora, scripts API VK. Recopiló las cuentas de las chicas, analizó cuál de ellas estaba cerca, recopiló el contenido que ellas... En fin, ya entiendes. Aquí está la lata más grande que he visto en mi vida. Y tengo mucho miedo de que en un buen momento alguien haga algo así.
Otro pequeño “fuera de tema”: la Organización Europea para la Seguridad del Estado hizo un informe ese año de que el número de robos de cuentas bancarias aumentó alrededor de un 20 por ciento, un 25 o algo así, cuando la pregunta secreta fue pirateada. Piense en su pregunta secreta en el banco ahora mismo y vea si puedo encontrar la respuesta en fuentes abiertas. Si tiene el apellido de soltera de su madre o su plato favorito allí ... En general, las personas analizaron las cuentas y, en base a esto, entendieron el apodo de su amada mascota, algo como esto ...
З: - ¿Dijiste que las empresas y corporaciones recopilan la información necesaria mediante algoritmos? ¿Estás seguro de que sabes cómo?
OH: - Hubo un movimiento de personas que en un momento pasaban fotografías a través de un filtro especial para que este filtro violara el análisis de las imágenes, de modo que luego fuera imposible identificar de alguna manera a estas personas. Aquí les di un ejemplo de que Facebook estaba luchando con la criptografía de mensajes. Y si esto aparece y se generaliza, seguro que las redes sociales lo combatirán. Además, el reconocimiento de imágenes ahora funciona muy bien y roza el nivel suficiente para "romper" esta foto (para "romper" el algoritmo que reconoce estas imágenes); lo más probable es que no haya nada claro al respecto. No ser.
Todo tipo de filtros de falla funcionan bien si se trata de un fuerte desplazamiento directo en la mitad de la foto. Tu cuenta adquirirá entonces todos los colores del LSD. En teoría, no creo que dé mucho miedo si Facebook, por ejemplo, descubre qué tipo de coche tengo, probablemente si no me conecto a través de Facebook.
La ley del olvido funciona, pero no en Internet
З: - ¿Te has encontrado con un usuario que te obligaría a respetarlo, eliminarlo o obtener acceso? Opera con grandes cantidades de datos, probablemente lo notifique. La gente puede contactarte. ¿Cuánto porcentaje?
OH: - Te lo diré ahora. Ahora aquí es donde se pone realmente interesante. Ahora contaré cuántas personas vendrán, porque después del evento, siempre vienen entre el 15 y el 20%, completan un formulario para eliminar datos; existe tal cosa. En realidad, esto representa alrededor del 7-8% de las cuentas cerradas que no analizamos, y alrededor de 5 de cada mil personas que solicitan eliminar sus datos. Esto es muy poco, incluso en mi humilde opinión.
El problema aquí es este: existe algo llamado la ley del olvido. Pero la ley del olvido, al menos en Rusia, legalmente sólo se aplica a los motores de búsqueda. Ahí mismo dice: motores de búsqueda. Y esa es la eliminación únicamente de enlaces a materiales, y no de los materiales en sí. En realidad, para eliminar algo de Internet, tendrás que pasar por alto todas estas fuentes, por lo que, en principio, no creo en esto. Intentamos advertir a los usuarios que deben pensar primero antes de publicar.
Si bien este porcentaje es muy pequeño: 5-7 personas entre miles. Por cierto, sobre la ley del olvido: todo el mundo conoce un caso tan interesante como “Sechin vs. RBC”. La Ley del Olvido funcionó, el artículo fue eliminado, pero está en todas partes. Entiendes que si algo alguna vez apareció en Internet, nunca desaparecerá de allí.
Los usuarios son eliminados, pero se identifican por su comportamiento típico.
З: - ¿No cree que las personas que eliminen sus cuentas e intenten convertirse en un "agujero negro" estarán en mayor desventaja con respecto a otros agentes económicos?
OH: - Lo más probable es que sí, este puesto no les resultará rentable. Hay un montón de descuentos y ofertas que dependen de ellos. Pero, en teoría, si una persona elimina una cuenta ahora ... Es popular entre todos los extremistas cuando eliminan una cuenta y la hacen falsa, pero continúan interactuando con el mismo contenido: esta persona, nuevamente, puede ser identificada (especialmente si es dentro de la misma red social, desde una computadora, esto generalmente es una pregunta); Elementalmente, según el modelo de consumo de contenido, será posible encontrar a esta persona, si existe tal tarea.
Espero que en los próximos 5 años haya algún tipo de tecnología para monetizar estos datos, cuando realmente sea posible pagarle dinero a una persona: usted mismo pagará y no usaremos mis datos. Y creo que si en algún Instagram se introduce una suscripción de pago nadie la usará, por lo que la alternativa es pagar a los usuarios por sus datos. Pero no es muy pronto, porque el lobby de los temibles tipos corporativos no permitirá que se apruebe una ley así, aunque sería genial. Pero aquí la cuestión es que es imposible estimar el valor real de los datos de una persona en un momento determinado.
Facebook es un grupo de chicos.
З: - Buenas tardes. Más recientemente, hubo noticias de que Facebook tiene la intención de integrar todos sus proyectos, incluidos Instagram y Facebook, WhatsApp, etc. ¿Cómo, en su opinión, desde el punto de vista de los datos personales, cuando ahora estos programas se cuelgan por separado en mi teléfono inteligente, pero aún pertenecen a Facebook?... ¿Qué pasará después?
OH: - Entiendo. Legalmente ya pertenecen a Facebook, y éste puede unirlos sin control dentro de sí mismo, así que creo que nada cambiará. Lo único es que ahora basta con hackear una aplicación para tener todo a la vez. Y Facebook... espero que estén mirando. Terriblemente llenos de agujeros chicos en general en todos los lugares.
Últimamente ha aparecido mucha información al respecto: sobre filtraciones de datos de Facebook. Esto no se debe a que Facebook de repente haya empezado a perder estos datos, sino a que el RGPD ahora obliga a la empresa a avisar con antelación. Y la mayor penalización es si hubo una filtración y la compañía guardó silencio al respecto y, por lo tanto, Facebook ahora está hablando de ello. Esto no quiere decir que estas filtraciones de datos no existieran antes.
З: - Hola. Tengo una pregunta sobre el almacenamiento de datos. Ahora cada estado ha introducido una ley sobre el hecho de que los datos de los ciudadanos se almacenan en el territorio de este estado. ¿Qué condición es suficiente cumplir para cumplir con esta ley, para alguna aplicación internacional?.. Por ejemplo, Facebook: sólo hay una base de datos...
¿Cómo cumplir con estas condiciones?
OH: – Escucha, legalmente sólo necesitas alquilar un servidor en este país y ponerle algo. El problema es que no existe un organismo regulador competente. Los datos de Facebook no se encuentran en Rusia. Roskomnadzor está luchando contra ellos, luchando, luchando, luchando... Facebook tiene una parte de los servidores donde se encuentra la interfaz de este mismo Facebook, y es imposible comprobar dónde están realmente los datos, cómo se sincronizan.
З: – ¿Comprobar el tráfico?
OH: – ¿Comprobar el tráfico? Sí. Pero el tráfico puede entonces dirigirse a algún punto central. Además, entre los servidores puede haber algo así como una VPN o algo más. En teoría, es imposible controlar de ninguna manera que, digamos, un administrador del sistema en un momento dado no vaya a este servidor y no tome algo de allí. Es decir, esta ley no se hizo por el bien de la protección de datos, sino para que las empresas abran oficinas de representación, paguen impuestos y almacenen hierro en el país. Pero en mi opinión, para ser honesto, se trata de una iniciativa muy extraña.
З: - Es decir, ¿basta con comprobar la interfaz?
OH: Alguien puede acercarse a usted y comprobar que tiene datos allí. Pero puedes mostrar algo de "Excel" y nadie puede comprobarlo, casi nadie lo comprobará. Ahora simplemente miran las direcciones IP: que la dirección IP asociada con el dominio esté ubicada en el territorio del país, no verifican más. Ahora probablemente vendrán a verme para comprobarlo.
No existen servicios en los que puedas confiar al 100%, pero la gente decente no tiene nada que temer.
З: - Esa noticia, reimpresa en muchos lugares: un tipo la publicó desde Microsoft, creó un servicio para verificar su ...
OH: - Algo como: ¿se han filtrado tus contraseñas? De hecho, después de las mismas filtraciones en Facebook, el mismo Facebook siempre lanza algún tipo de sitio de respaldo donde se puede comprobar que no está incluido en esta base de datos; nuevamente, esto lo exige el RGPD. Es decir, si no haces tal cosa, no serás muy bueno. Por eso, ahora todo el mundo presenta estos proyectos como “esta es nuestra iniciativa”; de hecho la ley lo exige. En realidad, esto es algo genial, pero realmente no confiaría en dichos servicios de verificación si necesita enviar allí algo más complicado que su contraseña, porque muchas personas tienen las mismas contraseñas.
З: – Simplemente ingresas tu correo electrónico allí, y ya dicen cuántas veces fue comprometido…
OH: – Realmente no me fío de esas cosas, porque luego es muy fácil vincularte a este navegador, a una cuenta real. Especialmente si utiliza los servicios de las mismas personas que lanzaron este sitio. Es como si fuera el año en que Facebook lo envió: si tus fotos íntimas se filtran a Facebook, nos las envías y comprobaremos dónde se mencionaron.
No sé qué tipo de pesadilla de relaciones públicas es esta y a quién en Facebook se le ocurrió, pero realmente sucedió. Querían comparar si nadie enviaba en mensajes privados tu desnudez. En principio, esto persigue buenos objetivos, pero es lo más extraño posible. No confiaría en ello.
З: - Y una pregunta más. Para el usuario medio, ¿qué tan elevados son los riesgos de sufrir una fuga? Riesgo de daños por fugas.
OH: - Te entendí. Observando qué tipo de datos almacenar. Creo que no muy alto. Lo peor es que si los correos electrónicos y las contraseñas se filtran por algún lado y tienes esta contraseña en todas partes, entonces sí. En general, creo que los usuarios tienen poco que temer. Pero a menos que, por supuesto, almacenen algún tipo de desmembramiento en el correo de Google. Hubo muchos ejemplos.
La historia más famosa está en Google, cuando una niña fue secuestrada en Utah, no pudieron encontrarla y en un buen momento los secuestradores le enviaron fotografías en un archivo adjunto. Y Google, al escanear este archivo adjunto, encontró signos de pornografía infantil. Todos fueron encontrados. Y aun así lograron demandar a Google por violar el secreto de la correspondencia. Este juicio ya lleva bastante tiempo. Sin embargo, creo que un usuario común y corriente no tiene nada que temer si no publica, digamos, su pasaporte en el dominio público. Esta es una doble historia: dependiendo de qué tipo de datos y qué tipo de usuario. Quizás ahora esté bien, pero dentro de 15 años, cuando se convierta en una especie de funcionario, algunos de sus materiales saldrán a la luz.
¿Cómo está trabajando con el estado?
З: - Gracias. Usted habló un poco sobre el hecho de que está investigando para el Estado, los organismos y servicios estatales y trabajando con ellos. Quizás puedas contarnos un poco más sobre algunos proyectos actuales. Aún más, si se puede, sobre ... Dos preguntas: la primera son los proyectos actuales y la segunda es si hubo propuestas de este tipo por parte de los servicios públicos ...
OH: - ¡Indecente!
З: - Sí. Cuando pensabas que tal vez no deberías hacer esto.
OH: - Te diré. Les digo a todos esto. Este hombre y yo tuvimos una larga pelea en Twitter. Del equipo de Milonov en Twitter, de alguna manera recibí una pregunta sobre cómo encontrar profesores que vean porno gay. Inmediatamente dijimos que no. Pero hay algunos, a menudo llegan cartas y muy a menudo esto está relacionado con algún tipo de oposición, mítines. No nos ocupamos de esas tonterías, por lo que todo el mundo nos echa mierda encima. No me da verguenza.
Tenemos la siguiente política con respecto a los “estados”: desarrollamos software, software para reconstrucción tridimensional, reconocimiento facial, análisis de datos. Es muy difícil decir qué hacen exactamente, pero según los modelos se trata de predecir el crimen, qué está relacionado con la seguridad del Estado dentro de la ciudad, el movimiento de personas, el geomarketing, etc. Desde la colocación de objetos en el entorno del centro de la ciudad hasta la identificación de pedófilos, violadores, maníacos y todo tipo de malos.
Honestamente, no tratamos con ningún opositor. Quizás no nos lo digan en la cara. De hecho, este es un problema muy grande: la cooperación con los "estados", porque no siempre explican cuál es la tarea. Te dicen: crea un software para identificar a las amas de casa, pero en realidad van a hacer otra cosa con él: ahí todo se estropea.
Además, el estado es un cliente muy interesante y extraño que constantemente intenta invertir unos tres centavos en su investigación y, a menudo, sus enfoques y su comprensión del aprendizaje automático son muy superficiales. Por ejemplo, tengo una conferencia aparte sobre errores de aprendizaje automático. Siempre lo pongo como ejemplo, cuando estábamos creando un sistema de pronóstico de delitos en la región de Moscú, el cliente dijo: donde venden sandías, por favor aumenten el coeficiente cuatro veces. Y luego resultó que los lugares donde se venden sandías no son criminales. Estos son simplemente errores del hecho de que una persona aporta sus pensamientos.
En resumen, el Estado es un buen cliente, hay muchas tareas interesantes allí. La mayoría se reduce a modelos similares de predicción de algo. La mayoría de las veces se trata de algún tipo de infraestructura urbana.
З: – ¿Existen fuentes donde pueda seguir su investigación? Mucha información. Según tengo entendido, todavía queda mucho por la borda. Tus páginas, algo más...
OH: No tengo páginas personales.
З: - ¿Probablemente Facebook ya ha sido cerrado?
OH: - Hace unos cuatro meses hubo una historia: nos enviaron a todos cartas tan grandes que “sois unos monstruos, vendéis todo al Kremlin, violais todas las reglas de Facebook. Incluso le enviaron una carta a mi perro: “¡Hola, Mars Blue Corgi, estás recopilando datos!” etcétera. Mira, estamos cambiando de marca ahora. En dos o tres semanas tenemos web y todo estará actualizado. Puedes ver esto. Pero somos muy vagos precisamente en este sentido.
¿Cómo se puede determinar la confiabilidad de una VPN?
З: - ¿Cuándo dijiste que irías a un café sin identificarte allí con tu número de teléfono? ¿Y bajo qué?
OH: - No se puede decir - bajo un extraño, porque esto es un llamado a violar las normas de identificación. No no no. Estoy bromeando. Ahora casi todos los cafés identifican todo en una fila: no solo hay un número de teléfono, hay un montón de píxeles, hay una identificación del dispositivo, una dirección de amapola y todo eso para usarlo más tarde, desde fines publicitarios hasta operativos. actividades de búsqueda. Entonces hay que tener mucho cuidado con cosas como esta. No sólo puedes escribir algo, sino que ellos también pueden escribir desde tu dispositivo, y entonces sucederá algo.
Tal vez hayas visto la historia de que ahora están investigando cómo (por cierto, también en Bielorrusia) alquilan cuentas de Facebook, por ejemplo, para anuncios de casinos. Pero, de hecho, no se sabe para qué, también dan acceso a una computadora. Estas son las cosas con las que debes tener más cuidado. Si decides escribir algo de forma anónima desde algún lugar... iría a un café y activaría alguna VPN genial. Pero, de hecho (nuevamente, no estoy señalando a nadie), cuando tienes una cuenta en una VPN, verificas quién es el propietario de esta VPN, qué empresa, quién es el propietario de esta empresa, etc. Porque la mayoría de los jugadores en el mercado de VPN no son exactamente buenos.
Bueno, en Bielorrusia no importa. En Rusia, una buena VPN se comprueba si azino777 está bloqueado allí o no. Porque si no, es muy probable que este servicio VPN se cierre dentro de una semana. Básicamente, revisa todo.
Acerca de la eliminación automática de mensajes
З: - Hablaste tanto de mensajes privados que se leen sus redes sociales ... Pero, por ejemplo, Facebook tiene mensajes privados secretos que se pueden poner (además de que también están cifrados) para su destrucción. ¿Cómo puedes comentar sobre esto?
OH: - De ninguna manera. En primer lugar, no soy un gran profesional en criptografía y, en segundo lugar, el problema aquí es que nadie ha visto el servidor de Facebook, nadie sabe cómo funciona todo allí. Convencionalmente, en alguna especificación está escrito que se trata de cifrado de extremo a extremo, pero puede que no sea así, o sea de extremo a extremo, pero con algún tipo de error o algo más. Tiene sentido utilizar algo así si tiene miedo de que la persona a quien se lo envió en algún momento intente hacer algo.
Telegram tiene una función útil para enviar fotos íntimas que se autoborran: cuando intentas tomar una captura de pantalla, se elimina automáticamente. En el iPhone, sin embargo, apareció la función de grabar video desde la pantalla, y puedes grabar video desde la pantalla, etc. Simplemente me envían materiales con esta función muy a menudo (eliminación automática); nunca lo entiendo. por qué. ¡Puedo descargarlo ahora mismo! Todo depende de usted.
Calificación social en China: mitos, realidad, perspectivas
A: - De hecho, abuso un poco, aunque no necesito una VPN (por cierto, tenemos una VPN verificada). Una pregunta sobre ética. Tenemos un amigo maravilloso de Kazajstán, también lo trajimos para dar una conferencia. De alguna manera se sentaron con él en una conferencia donde hablaron sobre diferentes cosas, y él dice (y se dedica a la ciberseguridad, es decir, en su forma más pura, ingeniería de seguridad, una persona que está interesada en soluciones técnicas): "Aquí, Regresó de China. Allí hacen algo genial: la calificación social. Por cierto, ¿has investigado algo sobre este tema? ¿Cómo les funciona?
OH: – Vendemos puntuación en Rusia, sé mucho sobre esto.
A: - Entonces tengo una pregunta: ¿qué más dirías sobre esto? Sobre lo que, tal vez, todos estamos esperando en el futuro. Pero otra pregunta sobre la ética. Dijo muy feliz: "¡Una solución de ingeniería interesante!" ¿Tiene su propio código de ética?
OH: - Sí, por cierto, lo hay. Hace dos años lo presentamos; justo después de la historia con Milonov, decidimos clasificar de alguna manera estos proyectos. Volviendo a la calificación: esta es una de las preguntas más populares, porque los medios de comunicación demonizan fuertemente toda esta historia: que a la gente no se le permite ir al extranjero, los mata un láser de la luna. Les traigo, nuevamente, piezas de ingeniería...
Si comienzas a profundizar en esta historia, miras qué parámetros se incluyen en esta calificación social, lo entenderás: incluye pensión alimenticia cerrada, antecedentes penales, historial crediticio, es decir, desde el punto de vista de la ingeniería, algo realmente asombroso. Vives sin infringir la ley, vives bien: te dan una tasa de interés baja por el préstamo. Tienes una obra social importante (por ejemplo, un profesor): te proporcionan una vivienda adecuada. Al principio, esto confundió a todos, porque al principio se filtró la historia de que si escribes mal sobre el presidente, tu calificación bajará. Aunque no hubo pruebas. En defensa de la calificación, diré, en contra de la calificación, diré que nadie ha visto el algoritmo, qué parámetros se utilizan realmente allí.
Entonces apareció la historia de que a más de un millón de personas no se les permitía ir al extranjero, se les prohibía salir. De hecho, esta no es la redacción exacta. Cuando recibe una visa (por ejemplo, para Europa), se le otorga una visa a razón de “70 euros por día” (algo así); Si no proporciona prueba de ingresos, no obtendrá una visa. En China, el Ministerio de Asuntos Exteriores local decidió ir un poco más allá: simplemente advirtió inmediatamente a las personas que no tenían suficiente dinero que si querían ir al extranjero, no tendrían suficiente dinero. En consecuencia, todo esto se remitió a la idea de que a los pobres no se les permite viajar al extranjero. Se trata de una cuestión ética compleja, roza una cierta presunción de culpabilidad o inocencia, pero en realidad no puedo dar una valoración.
La gente mata, no las armas.
Lo principal que hay que entender es que todos estos algoritmos que la sociedad condena no son un problema con los algoritmos. Los algoritmos simplemente permitieron analizar muy rápidamente un gran “volumen” de personas, y este problema social se llevó a la cima. Es decir, el bot de Microsoft que aprendió de los tweets y se volvió racista no es culpa del bot, sino de los tweets que leyó. O una empresa que decide construir un modelo de empleado ideal analizando los actuales, y resulta que se trata de un hombre blanco, de género masculino y con estudios superiores.
Éste no es un modelo: racista, sexista o cualquier otra cosa; estas son las personas que contrataron a estas personas (tenían razón, estaban equivocadas, no importa). Todo roza el hecho de que la inteligencia artificial es malvada, mala y destruirá el mundo, pero de hecho ... Si ahora, condicionalmente, por ejemplo, el gobierno ruso aprueba una ley que establece que los opositores no reciben educación gratuita, y allí escriben software que los identifica y los priva de esta educación gratuita; no es culpa del algoritmo. Aunque nadie apoya este concepto mío, porque - cuando digo que no son las armas las que matan a la gente, sino la gente - "eres un fascista", etc.
En general, esta es realmente una solución de ingeniería genial. Es necesario comprender por qué esto, por ejemplo, no sucederá en Rusia. Usted [en Bielorrusia] no tendrá esto, porque es un estado europeo, todo está bien para usted. Esto no sucederá en Rusia por muchas razones: en primer lugar, no tenemos el mismo nivel de confianza en el sistema de aplicación de la ley que en Kita; No tenemos ese nivel de digitalización. ¿Por qué funcionó en China? Porque el gobierno: tiene medicina digital, seguros digitales, policía digital. Y alguien inteligente pensó: juntemos todo y hagámoslo; de hecho, este es un programa de fidelización. Hay más cosas buenas que "no buenas".
Por lo tanto, sí, creo que esto no se introducirá en Rusia. Primero debemos digitalizar todo el Ministerio de Salud (y esta es una tarea para 50 años); alguien tiene que dar su vida para hacer esto, pero nadie, por supuesto, lo hará. Por otro lado, los bancos rusos son los mejores del mundo en cuanto a puntuación de personas, no hacen nada: “¿Sí, hombre? ¿Te gustan las chicas jóvenes? Aquí tienes una tarjeta de crédito para tu amante. Está muy avanzado allí. Por ejemplo, en Estados Unidos, este tipo de puntuación está prohibida en casi todas partes, porque existen leyes según las cuales el banco está obligado a explicarle por qué: “¡Ajá! Porque la empresa Social Data Hub mantiene la historia durante 10 años, y ahora, ¡esto y aquello se revela sobre usted! ¡Y demandemos tanto a uno como a otro! No tenemos historias como esa.
¿Por qué se suprimen las estadísticas?
En principio, apoyo la puntuación, si no se trata de una especie de historia "totalitaria". Pero la cuestión es que es imposible predecir, evaluar. Esta es la historia más difícil en la ética del big data para predecir el impacto social que habrá dentro de 15 años. Por ejemplo, le ruego a la fiscalía desde hace mucho tiempo que abra información sobre delitos. Las estadísticas sobre delincuencia son una de las piedras angulares de cualquier estadística; todo el mundo realmente quiere esto. Pero, por ejemplo, en Rusia las estadísticas criminales no se abren por una razón muy sencilla: temen alterar la demografía dentro de las ciudades. Creen que la gente dejará de vivir en algunas ciudades, incluso dentro de la ciudad todo se redistribuirá de alguna manera. Por la misma razón, las estadísticas USE no se divulgan: usted mismo comprende que la gente irá a algunas escuelas y a otras no.
Quizás esto sea correcto, quizás no, pero hubo muchos proyectos ... Por ejemplo, Yandex en un momento (nuevamente, según los rumores "amarillos", no lo vi, no lo sé) decidió agregar el número de ataques a taxistas al modelo de previsión inmobiliaria , es decir, algún tipo de aproximación al nivel de criminalidad, contando el número de quejas de taxistas de que alguien los acosó, amenazó, etc. Rápidamente regresaron al interior de la empresa para no hacer tales cosas.
З: – Te comunicas con los estudiantes, te comunicas con la audiencia en tu país, en nuestro país. Por la cantidad de preguntas de la audiencia se dio cuenta de que todavía estamos en esa etapa de desarrollo en la que pensamos que necesitamos confidencialidad, que podemos escondernos de alguien, proteger nuestros datos sin proporcionarlos, ocultarlos, cifrarlos. Si la Unión Europea ya ha pasado a la siguiente etapa, la etapa de la privacidad, que implica control sobre los datos -obligar a todos los que recopilan tus datos a darte un control efectivo sobre ellos... Por muestras por región, por estratos sociales-, que de las categorías de ciudadanos, personas, más ¿Ya pasó a la segunda etapa, o quién más está sentado en la primera en la principal?
¿Quién está más preocupado por la seguridad de los datos personales?
OH: - La mayoría total... Yo diría: ¡a todos les da igual! Esto entusiasma ahora a los altos directivos. Las ciudades de Rusia son Moscú y San Petersburgo. El centro activo son especialistas en TI, diseñadores, profesiones creativas, todos los que saben filtrar contenidos, adquirir nuevos conocimientos y con un alto nivel de interés en los problemas internacionales. Básicamente, se trata de altos directivos; sí, personal de TI (sin contar los especialistas en seguridad); banqueros, es decir, todas las personas que de alguna manera pueden verse afectadas por una filtración de datos.
Si, por ejemplo, le roban los datos de algún jefe de familia de algún Kaluga: es poco probable que algo cambie seriamente en su vida si alguien le roba, por ejemplo, el acceso a Gmail, donde guarda el acceso a los seriales. La cuestión es que la ley protege a todos por igual, y con razón, porque ... desde el punto de vista de la ley, todos son iguales - ja, ja ... pero lo más importante es que es imposible entender los datos de quién cuánto costará hasta que se pierdan estos datos; desafortunadamente, es muy difícil de predecir. Pero sobre todo esta categoría de ciudadanos.
Teléfono: ¡en papel de aluminio!
Por única vez en mi vida vi almacenamiento total de todo y de todos en dos empresas. Uno es el mayor integrador de seguridad de la información: todo, hasta el USB, está pegado dentro de la oficina con pegamento; Y la gente va allí de la misma manera: allí conocí a un hombre que tiene un teléfono en una bolsa de aluminio. Descubrí que hay empresas que venden bolsas especiales como esta. Y la segunda vez vi una historia similar en Bloomberg entre los empleados: estábamos parados en una sala de fumadores y alguien estaba tomando fotografías en algún lugar, y uno de ellos: "¡Para que no seamos visibles allí en el fondo!" Yo digo: "¡Oh, guau!"
"Somos mejores que el FSB"
No me gustaría decir que esto es menos del uno por ciento de la población, pero, lamentablemente, en la masa general a casi todo el mundo no le importa. Pero, por otro lado, tengo un escandaloso servicio de seguimiento de las acciones de menores (lo lanzamos hace mucho tiempo bajo el lema "Somos mejores que el FSB") para advertir a los padres que un menor está haciendo basura, antes de que nuestro propio algoritmo, instalado donde - algo allí, alguien se lo enviará.
Al verificar a un niño, es necesario enviar un pasaporte escaneado (esto es básicamente una práctica normal), pero escribimos que se puede cortar el número de pasaporte porque no nos interesa; Sólo nos interesa su foto, holograma y nombre. Y casi el 100% de las personas (bueno, alrededor de 95 de cada 100 pasaportes) recortan cuidadosamente estos números en Photoshop y envían solo la parte correcta. Es decir, entendieron: sí, si no lo necesitan, entonces no es necesario que lo envíen. En mi opinión, se trata de una especie de progreso real, al que los impulsó la desconfianza hacia nosotros.
З: - La elección es muy definitiva. Hay gente que se postula, ya están avanzados.
La gente no quiere que la sigan, pero no lee los acuerdos.
OH: - Sí. Y lo segundo es lo mismo: lanzamos una aplicación de citas a finales de ese año (la reiniciaremos pronto). Había un grupo de control de 100 personas. Y allí, de acuerdo con los enfoques del GDPR, había 15 casillas de verificación en mi cuenta: doy permiso para analizar la interacción con la interfaz, acceder a mis datos demográficos, acceder a la reconstrucción facial 98D, acceder a mis mensajes personales, etc. Hemos pintado al máximo todo tipo de accesos. Incluso en algún lugar hay estadísticas sobre quién marcó qué. El 2% dejó todas las casillas marcadas por defecto (a pesar de que fueron a esta página y lo vieron todo, pero les importó un carajo), pero a este XNUMX% les resultó interesante analizar qué era una prioridad para las personas.
Todos eliminaron el permiso para acceder a mensajes privados y casi todos eliminaron el permiso para acceder a los datos de las pruebas de sexo (lo que les gusta allí, lo que completaron allí, sus perversiones, es broma). Pero la gente fue empujada a este, empujada: la interfaz les dice: lean esto con atención, les permite desplazarse por este acuerdo hasta el final. Pero se hizo únicamente porque era un proyecto de investigación y todos estaban advertidos. Ninguna empresa, incluyéndonos a nosotros, cuando haga pública esta aplicación, obligará a una persona a leer este mensaje hasta el final, porque... bueno, lo siento, así es como funciona.
Siempre que hayan acudido a nosotros sabiendo lo que hace la empresa, sabiendo que acudieron a un servicio que le sugerirá candidatos en función del tipo de porno que le guste; incluso en base a esto, solo el 2% lee estas casillas de verificación y, en general, haber hecho algo. Y luego casi ninguno desmarcó la casilla "Acceso al tráfico y datos sobre visitas a otras páginas web". Básicamente, todo el mundo estaba preocupado por los mensajes privados.
Desnudos y aterrizajes para me gusta: leyes interesantes de las repúblicas hermanas
З: – Tengo una pregunta sobre protección de datos. Puedes usar un teléfono envuelto en papel de aluminio, fingir que no existen ... Luego resulta que guardas, guardas, pero luego tienes que darle tus datos al estado, porque te lo exige, y tú simplemente no puedo... Y luego resulta que los contratistas del gobierno están llenos de agujeros. Y en Bielorrusia todavía existe esa regla: si compruebo la seguridad de mis datos personales (corrijo algo y tengo acceso a ellos), inmediatamente me convierto en un delincuente. El mismo artículo se utilizó para acusar a los periodistas del “caso BelTa” de haber obtenido acceso no autorizado a datos (puede leerlo usted mismo). He aquí nuestra propia pregunta: ¿son tales restricciones una medida eficaz para la privacidad y, en general, para la seguridad de los datos privados?
OH: - Entiendo. En Bielorrusia hay muchas leyes muy interesantes. Me enteré recientemente ... Estoy bromeando sobre la transferencia de desnudez, pero resulta que está prohibido.
З: - ¡Prohibida la manifestación!
OH: - Es un poco raro.
З: - Puedes mirar, no puedes transmitir, no te puede gustar. ¡No pueden mirar juntos!
OH: - Responderé a tu pregunta. Volveré al tema de "sentar los me gusta" en Moscú. En Rusia, este es el tema número uno. No sé cómo es en Bielorrusia, pero, para ser honesto, el estado... Si analizas las estadísticas, en Moscú 95 aterrizajes de "me gusta" de 100 es cuando la gente se queja de la gente, alguien escribe a la fiscalía sobre otro. persona. El Estado rara vez inicia tales casos. Me parece que esta ley es absolutamente absurda. No conozco a ningún criminal real que haya sido encarcelado por esto. Pero esta medida se utiliza para imputar al menos algo a una persona. Me parece que esto es lo más extraño. Creo que algún día será cancelado.
З: - A esto se le llama mantenerse bajo el capó.
OH: - Bueno, eh, está bien... no puedo decirlo. No soy exactamente un monstruo pro-Estado, pero mi percepción cambia ligeramente, ya sabes, cuando la gente viene a nosotros y nos dice: "Mi hijo ha desaparecido, ayúdenme a encontrarlo". Yo digo: "No puedo hacer nada sin el permiso del tribunal". Miras a estos padres que darían todo en sus vidas, darían acceso a cualquier dato, solo para resolver su problema. Por lo tanto, me resulta muy difícil llevar a cabo una discusión de este tipo: por un lado, creo que el Estado hace lo correcto cuando captura a personas reales y, por otro lado, dar acceso incontrolado es generalmente una historia terrible.
Vuelvo a lo tuyo, "perdón" por distraerme. No creo en absoluto en las bolsas de aluminio. Tener un teléfono móvil y envolverlo en papel de aluminio es algo estúpido. ¿Por que hacerlo? ¿Por no conectar el teléfono a Wi-Fi? Es más fácil apagarlo. ¿Para que el operador de telefonía móvil no te identifique? Entonces todavía pueden trilaterar la señal, calcularla de alguna manera. Para mí, las únicas medidas de seguridad eficaces son el almacenamiento, protegido, como en una red local, tal vez en un apartamento donde puedas guardar algo.
З: - Es una cuestión de derecho. ¿La legislación es punitiva para una persona que quiere verificar sus datos?
OH: - Lo entiendo, sí. Ni siquiera sabía nada de esto, así que no puedo decírtelo con seguridad. En Rusia no existe tal cosa, aunque allí todo es muy difícil. Probablemente, pueda consultar con abogados calificados y, tal vez, haya algún tipo de laguna jurídica, tal vez presentarlo ante algún tribunal europeo ... ¿No? No puedo contarte sobre eso. Mis conocimientos de derecho son superficiales, al nivel del responsable de la empresa. Sé qué no hacer sin que nadie te diga nada. Esto, por supuesto, es muy triste.
З: - Quiero decir, en otros países (por ejemplo, en Estados Unidos) es una práctica normal que se pueda probar algún tipo de vulnerabilidad y luego declararla, pero no revelarla.
OH: Sí, recompensa por errores. Entiendo que lo hay.
З: “Y las empresas no tienen un mecanismo para contratarte porque es más barato.
OH: “Esto también roza el nivel de la ley. Depende de cómo encuentres esta vulnerabilidad. Me parece que una gran cantidad del dinero pagado por esta vulnerabilidad en Estados Unidos se pagó en virtud de un acuerdo de confidencialidad y bajo amenazas de demandar a esta persona. También es como sostener una vela. Siempre estamos arriesgando este tipo de cosas. Mis empleados han encontrado vulnerabilidades similares un par de veces en todo tipo de aplicaciones gubernamentales. Siempre digo: "Es mejor enviar una carta anónima que decirles que el agujero está ahí". Y luego vendrá algún instituto de investigación que brinde este servicio ... En general, no continuaré más.
Comprobar la honestidad de una empresa no funcionará: si no te gusta, no la uses
З: - Una pregunta. Dijiste que realizaste un experimento: debías marcar 15 casillas de verificación ... Digamos que el usuario cancela todas las casillas de verificación. ¿Quién lo controlará y cómo? ¿Cómo comprobarlo?
OH: - Te lo digo sinceramente: nada ni nadie. En serio. El hecho de que haya marcado y desmarcado la casilla "Prohibición de seguimiento de publicidad" en Google no significa nada en absoluto. Desafortunadamente, incluso cuando se prohíbe la indexación de motores de búsqueda en Vkontakte, los motores de búsqueda aún lo indexan y luego simplemente no brindan estos resultados a ciertas personas. Todo esto se debe a la falta de autoridades competentes que no puedan verificarlo. Además, las empresas que lo hacen son privadas. Facebook tiene una posición correcta o incorrecta, solo tienen una: si no te gusta, no lo uses.
Acerca de la regulacion
З: Sólo tengo una pregunta sencilla. ¿Y qué opina del tema de la regulación en el procesamiento de datos, la autorregulación?
OH: - Yo, como representante de la empresa, creo que el mercado, las empresas necesitan autorregulación. Creo que la asociación big data puede regularlo todo por sí misma, sin el Estado. Realmente desconfío de la regulación gubernamental y realmente desconfío de todas las historias en las que el Estado quiere quedarse con algo, porque cada caso demostró que esto es muy malo. Seguramente alguien pegará el nombre de usuario y la contraseña en la pegatina amarilla del monitor, etc.
En general creo en la autorregulación. Además, creo que en los próximos cinco años llegaremos a cierta apertura. Incluso ahora, ya se puede ver en las noticias, que es muy difícil para el Estado mentir a los usuarios, es muy difícil para los usuarios mentirle al sistema. Y esto, en principio, probablemente sea bueno. Dado que nuestros oficiales de inteligencia se calculan a partir de fotografías públicas.
Todo esto conduce a una disminución del nivel de criminalidad. Bueno, puramente matemáticamente. Si alguien está interesado en hablar de reducir el nivel de criminalidad, se pueden sacar muchas conclusiones de todo tipo. En general, estoy a favor de la autorregulación del mercado. ¡Gracias!
Algunos anuncios 🙂
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, , un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato en el centro de datos Equinix Tier IV en Amsterdam? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com