Isikuandmete kaitse päev, Minsk, 2019. Korraldaja: inimõiguste organisatsioon Human Constanta.
Juhtiv (edaspidi - B): – Artur Khachuyan tegeleb… Kas meie konverentsi kontekstis võib öelda “tumeda poole pealt”?
Artur Khachuyan (edaspidi - AH): Ettevõtte poole pealt jah.
Sisse: "Ta kogub teie andmeid, müüb need ettevõtetele.
OH: - Mitte päris…
Sisse: "Ja ta ütleb teile täpselt, kuidas ettevõtted saavad teie andmeid kasutada, mis juhtub andmetega, kui need võrku jõuavad. Tõenäoliselt ta ei ütle sulle, mida sellega teha. Mõtleme edasi...
OH: - Ma ütlen sulle, ma ütlen sulle. Tegelikult ma pikalt ei räägi, aga eelmisel üritusel tutvustati mulle inimest, kellele Facebook blokeeris isegi koera konto.
Tere kõigile! Minu nimi on Arthur. Ma tõesti töötlen ja kogun andmeid. Loomulikult ei müü ma avalikult kellelegi isikuandmeid. Nali naljaks. Minu tegevusalaks on teadmiste ammutamine andmetest, mis on avatud allikates. Kui miski ei ole juriidiliselt isikuandmed, kuid sellest saab ammutada teadmisi ja muuta need sama oluliseks, nagu oleks need andmed saadud isikuandmetest. Ma ei ütle midagi väga kohutavat. Siin aga Venemaa, aga Valgevene kohta on mul ka arvud.
Mis on tegelik mastaap?
Just üleeile viibisin Moskvas ühes juhtivas valitsevas parteis (ma ei ütle, millises) ja arutasime mõne projekti elluviimist. Ja see tähendab, et selle partei IT-direktor tõuseb püsti ja ütleb: "Sa ütlesid, numbrid ja nii edasi, teate, FSB 2. direktoraat koostas mulle siin kirja, mis ütleb, et sotsiaalvõrgustikus on 24 miljonit venelast. võrgud. Ja sa ütled – millegagi 120. Tegelikult on meil rohkem kui kolmkümmend [miljonit] inimest, kes Internetti ei kasuta. Ma ütlen jah? OKEI".
Inimesed ei saa tegelikult mõõtkavast aru. Need ei ole ilmtingimata riigiasutused, kes ilmselt päris täpselt interneti toimimisest aru ei saa, vaid tegelikult näiteks minu ema. Ta hakkab alles nüüd aru saama, et talle antakse Perekrestokis kaart põhjusega, mitte haletsusväärsete allahindluste pärast, mida see Perekrestok pakub, vaid sellepärast, et hiljem kasutatakse tema andmeid OFD-s, ostudes, ennustavates mudelites jne. .
Üldiselt on elanikke nii palju ja nii paljude kohta on teavet avatud allikatest. Kellegi kohta on teada ainult perekonnanimi, kellestki on teada kõik, kuni pornoni, mis talle meeldib (teen selle üle alati nalja, aga see on tõsi); ja igasugust teavet: kui sageli inimesed reisivad, kellega kohtuvad, milliseid oste teevad, kellega koos elavad, kuidas nad ringi liiguvad – palju igasugust teavet, mida halvad, mitte nii halvad ja head poisid kasutada saavad (Ma isegi ei tea praegu, mis skaalaga välja mõelda, aga sellegipoolest).
On olemas sotsiaalsed võrgustikud, mis on loomulikult hiiglaslik avaandmete kogum, mis mängib privaatsuse pärast karjuvate inimeste nõrkustele. Kuid tegelikkuses, kui kujutada ette graafikut viimase 5 aasta kohta, siis isikuandmete hüsteeria tase kasvab, kuid samal ajal väheneb suletud sotsiaalmeedia kontode arv aasta-aastalt. Sellest järeldusi teha ei pruugi päris õige olla, aga: esimene asi, mis iga andmeid koguva ettevõtte peatab, on rumalalt suletud konto sotsiaalvõrgustikes, sest tema suletud konto sees oleva inimese arvamus, kui tal pole 100. tuhat tellijat, pole see mingi analüüsi jaoks eriti huvitav; aga on ka selliseid juhtumeid.
Kust nad meie kohta infot saavad?
Kas teile on kunagi koputatud vanad koolikaaslased, kellega te pole pikka aega suhelnud, ja siis see konto kadus? Telefone koguvate pahade seas on selline asi: nad analüüsivad sõpru (ja sõprade nimekiri on peaaegu alati avatud, isegi kui inimene sulgeb oma profiili või saab sõprade nimekirja taastada "vastupidises suunas". kogudes kõiki teisi kasutajaid), võtavad nad mõne teie sõbra passiivse, teevad tema lehelt koopia, koputavad teie sõbrale, lisate ta ja kahe sekundi pärast konto kustutatakse; aga samas jäi sinu lehe koopia alles. Nii et tegelikult tegid poisid hiljuti, kui 68 miljonit Facebooki profiili lendas kuhugi minema - nad lisasid kõigile sõpradena umbes sama palju, kopeerisid seda teavet, kirjutasid isegi kellelegi isiklikes sõnumites, tegid midagi ...
Sotsiaalsed võrgustikud on tohutu teabeallikas, peaaegu 80% juhtudest võetakse teavet konkreetse inimese kohta mitte otse, vaid vahetust keskkonnast - see on kõikvõimalikud kaudsed teadmised, märgid (me nimetame seda "Evil ex" algoritmiks ), sest üks mu sõber tõukas mind selle täiesti geniaalse idee juurde. Ta ei järginud kunagi oma poiss-sõpra – ta järgis alati tema viit sõpra ja teadis alati, kus ta on. See on tegelikult põhjus terve teadusliku artikli kirjutamiseks.
Seal on tohutult palju roboteid, mis teevad ka igasuguseid häid ja halbu asju. On kahjutuid, kes tellivad teid rumalalt, et teile hiljem kosmeetikat reklaamida; kuid on tõsiseid võrke, mis üritavad oma arvamust peale suruda, eriti enne valimisi. Ma ei tea, kuidas Valgevenes on, aga Moskvas oli mul enne kohalike omavalitsuste valimisi millegipärast tohutul hulgal arusaamatuid sõpru ja igaüks teeb kampaaniat erineva kandidaadi poolt, see tähendab, et nad seda absoluutselt ei tee. analüüsida sisu, mida ma tarbin - nad lihtsalt üritavad mingit arusaamatut reformi peale suruda, võttes arvesse asjaolu, et ma pole üldse Moskvas sisse kirjutatud ega lähe valima.
Prügi – ohtliku teabe allikas
Lisaks on veel Thor, mis pole just alahinnatud – kõik arvavad, et sinna tuleb minna ainult narkootikume ostma või relvi valmistama. Kuid tegelikult on seal palju andmeallikaid. Peaaegu kõik need on illegaalsed (sellised, peaaegu legaalsed), sest keegi võib mõnel häkkerite saidil lennufirmade andmebaasi sisse häkkida ja sinna visata. Juriidiliselt te neid andmeid kasutada ei saa, aga kui saate sealt mingisuguse teadmise (nagu Ameerika kohtus), näiteks ilma loata tehtud helivestluse salvestise, siis te ei saa seda kasutada, küll aga teadmist, mille saite seda helisalvestist te ei unusta, ja siin on see umbes sama.
See on tegelikult väga ohtlik asi, nii et ma teen alati nalja, kuid see on tõsi. Tellin toidu alati alati kõrvalmajja, sest Delivery Club läheb väga tihti katki ja tal on tõesti sellised probleemid. Ja hiljuti olin väga üllatunud: tellisin toidukaubad ja kastile, mille viisin prügikasti, kleebiti kleebis, millele on kirjutatud “Artur Khachuyan”, telefoninumber, korteri aadress, sisetelefoni kood ja e-post. Tegelikult proovisime isegi Moskva vallaga läbirääkimisi pidada prügimäele juurdepääsu võimaldamiseks: üldiselt tulla prügimäele ja proovida puhtalt huvi pärast leida isikuandmete mainimist - teha midagi mini-uuringu sarnast. Kuid meile keelduti, kui nad said teada, et tahame tulla Roskomnadzori töötajatega.
Kuid see on tegelikult nii. Kas olete näinud ägedat filmi "Häkkerid"? Nad tuhnisid prügi sees, et leida osa viirusest. See on ka populaarne asi – kui inimesed viskasid midagi avatud lähtekoodidesse, unustasid nad selle. See võib olla mõni koolikoht, kus nad kirjutasid oma lõputöö valgete ülemvõimu teemal ja läksid siis riigiduumasse ja unustasid selle ära. Selliseid juhtumeid tegelikult juhtus.
Mis meeldib Ühtse Venemaa inimestele?
Kui lähete Lifenewsi veebisaidi “topchik” juurde ... Õpilased tegid minu jaoks kaks aastat tagasi uuringu: nad võtsid kõik Ühtse Venemaa eelvalimistel osalejad (kõik nad esitasid oma sotsiaalmeedia kontod ametlikult Ülevenemaalisele Keskkeskusele Täitevkomitee), vaatas, mis neile üldiselt meeldib – lapsik porno, rämps, kummaliste täiskasvanud naiste ebaselged reklaamid... Üldiselt unustasid inimesed selle ära.
Seejärel kirjutasid nad kirja, et kahekümne inimese kontod varastati. Kuid nende kontod varastati kaks nädalat tagasi, nad esitasid need valimiskomisjonile 8 kuud tagasi ja meeldimised olid kaks aastat tagasi ... Üldiselt saate aru, eks? Seal on tõesti tohutult palju teavet, mida saab alati kasutada isegi uurimiseesmärkidel.
Minioftopchik: eile nägin uudist, et Roskomnadzor blokeeris kaks aastat tagasi "torni" õpilaste õpingud. Äkki keegi nägi seda uudist, eks? Uurimistöö tegid minu õpilased: nad olid pärit Torist, Hydra veebisaidilt, kus narkootikume müüakse (vabandust, Rampast), nad kogusid teavet selle kohta, kui palju, mida, millises Venemaa piirkonnas see maksab, ja tegid uurimine. Seda kutsuti "Pidulise tarbija korv". See on muidugi naljakas asi, aga andmeanalüüsi seisukohalt on andmekogum tegelikult huvitav - siis käisin veel kaks aastat kõikvõimalikel "hackathonidel". See on päris asi – seal on palju huvitavat.
Kuidas Get Contact uudishimulike kasutajate hinge "ostis" ja miks on vaja kasutajalepingut lugeda
Tavaliselt, kui küsida inimeselt, millist andmeleket te kardate (eriti kui inimesel on veebikaamera teibitud), paneb ta prioriteedistruktuuri alati nii: häkkerid, riik, korporatsioonid.
See on muidugi nali. Aga tegelikult on aktiivsed andmeanalüütikud, igasugused andmeteadlased palju rohkem varastanud kui, mulle tundub, kohutavad venelased, ameeriklased või mingid teised häkkerid (olenevalt teie poliitilistest tõekspidamistest asendage mis tahes). Üldiselt kardavad seda kõik – kas teil kõigil on veebikaamera teibitud? Sa ei saa isegi käsi tõsta.
Aga kui häkkerid teevad midagi ebaseaduslikku ja riik vajab andmete saamiseks kohtumäärust, siis pole viimastel meestel [korporatsioonidel] üldse midagi vaja, sest neil on selline asi nagu kasutajaleping, et keegi pole kunagi loeb. Ja ma väga loodan, et sellised üritused sunnivad inimesi ikkagi lepinguid lugema. Ma ei tea, kuidas Valgevenes oli, aga Moskvas oli selle aasta keskel GetContact rakenduse laine (ilmselt olite teadlik), kui kuskilt ilmus rakendus, mis ütleb: anna rakendusele juurdepääs kõik oma kontaktid ja me näitame teile, kui naljakas teid salvestati.
Meediasse see ei jõudnud, kuid paljud kõrged töötajad kurtsid mulle, et kõik hakkasid neile kogu aeg helistama. Ilmselt otsustasid administraatorid leida sellest andmebaasist Šoigu telefoni, keegi teine ... Volochkova ... Kahjutu asi. Aga need, kes loevad GetContacti litsentsilepingut - seal on kirjas: rämpspost piiramatus koguses piiramatu aja jooksul, teie andmete kontrollimatu müük kolmandatele isikutele, ilma õiguste piiramiseta, aegumistähtaeg ja üldiselt kõik, mis võimalik. Ja see pole tegelikult nii üliharuldane lugu. Siin on minu jaoks Facebook, kui ma seal olin, näitas 15 korda päevas märguandeid: "Ja sünkroonige oma kontaktid ja ma leian teile kõik teie sõbrad, kes teil on!".
Korporatsioonid ei hooli. Föderaalseadus 152 ja GDPR
Kuid tegelikult on prioriteedid vastupidises suunas, sest ettevõtted on eraõigusega kaitstud ja seetõttu on peaaegu kõigil juhtudel võimatu tõestada, et nad eksivad. Ja arvestades asjaolu, et see on suur, hirmutav ja väga kallis, on see peaaegu võimatu. Ja kui sa oled ka Venemaal, aegunud seadusandlusega, siis on kõik kuidagi täiesti kurb.
Kas teate, mille poolest erineb Venemaa seadus (ja see on praktiliselt Valgevene) näiteks GDPR-ist? Venemaa 152. föderaalseadus kaitseb andmeid (see on jäänuk nõukogude minevikust) – dokument, mis kaitseb andmete kuhugi lekkimise eest. Ja GDPR kaitseb kasutajate õigusi - õigust, et nad kaotavad mõned vabadused, privileegid või midagi muud, kuna nende andmed lekivad kuskile (nad viisid sellise kontseptsiooni otse "data-li"). Ja meil on kõik, mida nad saavad teilt nõuda - trahv sertifitseeritud "avamise" puudumise eest - "Excel" isikuandmete töötlemise eest. Loodan, et see kunagi muutub, aga ma ei usu, et see niipea muutub.
Millised on tegelikud sihtimisvõimalused täna?
Esimene, ilmselt hirmutav lugu, millele kõik pidevalt mõtlesid, oli privaatsõnumite lugemine. Kindlasti on teie seas mõni inimene, kes on kunagi midagi kõva häälega öelnud ja seejärel sihitud reklaami saanud. Jah, kas seal oli? Tõstke käed üles.
Ma tõesti ei usu seda juttu, et tingimuslik Yandexi navigaator tuvastab kõigi kasutajate jaoks voos otseheli, sest need, kes on hääletuvastusega veidi kokku puutunud, saavad aru, et: esiteks peaks Yandexi andmekeskus » viis korda rohkem olema ; aga mis kõige tähtsam, kuluks sellise inimese meelitamiseks palju raha (et voos heli ära tunda ja aru saada, millest inimene räägib). Aga! Tegelikkuses on olemas algoritmid, mis märgistavad teid teatud märksõnade jaoks, et seejärel mingit reklaamisuhtlust teha.
Selliseid uuringuid oli palju ja ma tegin 100 korda kontosid puhtaks, kirjutasin kellelegi midagi sõnumitesse ja siis tuli järsku kuulutus, millel justkui poleks sellega midagi pistmist. Siin on tegelikult kaks järeldust. Sellise jutu vastu – arvatakse, et inimene satub lihtsalt mingisse statistilist valimit; oletame, et sa oled 25-aastane mees, kes just sel hetkel oleks pidanud inglise keele kursustega kokku puutuma just sel hetkel, kui sa kellelegi kirjutasid. Vähemalt Facebook ütleb kohtus alati seda: et on teatud käitumismudel, mida me teile ei näita, mis on üles ehitatud andmetele, mida me teile ei näita, meil on siseuuringud, mida me teile kindlasti ei näita ( sest kõik on ärisaladus); üldiselt sattusite teatud statistilisse valimisse, nii et me näitasime seda teile.
Kuidas Facebook vihastas kasutajate privaatsust
Kahjuks on seda üldiselt võimatu tõestada, kui sul pole ettevõtte sees inimest, kes neid tegusid kuidagi kinnitaks. Kuid Ameerika seadustes on antud juhul selle töötaja mitteavaldamise kokkulepe kõrgem kui tema soov teid aidata, nii et keegi ei tee seda. See on ka huvitav – see oli umbes aasta või poolteist aastat tagasi – Ameerikas hakkas arenema trend, kus inimesed paigaldasid Facebooki sõnumite krüptimiseks brauseri laienduse: sa kirjutad inimesele midagi, ta krüpteerib selle võtmega. seadet ja saadab selle avatud juurdepääsuga prügikasti.
Näiteks Facebook on selle ettevõttega kohtusse kaevanud poolteist aastat ja pole selge, mis põhjusel (kuna ma pole Ameerika seadustega hästi kursis) sundis neid selle rakenduse eemaldama ja seejärel kasutajalepingusse muutma : kui vaadata, siis seal on selline klausel, et krüpteeritud kujul sõnumeid edastada ei saa - see on seal kuidagi nii kavalalt kirjeldatud, et krüptoalgoritme ei saa sõnumite muutmiseks kasutada - no selline asi on olemas. See tähendab, et nad ütlesid: kas kasutate meie platvormi, kirjutate avalikult või ei kirjuta. Ja see tõstatab küsimuse: milleks neil privaatsõnumeid üldse vaja on?
Privaatsõnumid on XNUMX% usaldusväärse teabe allikas
Siin on väga lihtne asi. Kõik, kes analüüsivad digitaalset jalajälge, inimtegevust, püüavad neid andmeid kuidagi turunduseks või millekski muuks kasutada – neil on selline mõõdik nagu usaldusväärsus. See tähendab, et teatud kuvand inimesest - saate suurepäraselt aru, see pole inimene ise - see pilt on alati natuke edukam, natuke parem. Privaatsõnumid on tõelised teadmised, mida inimese kohta saab, need on peaaegu alati 100% usaldusväärsed. Noh, sest harva kirjutab keegi kellelegi midagi privaatsõnumitesse, petab ja seda kõike on väga lihtne kontrollida - vastavalt muude sõnumite järgi (saate aru, millest ma räägin). Põhimõte on see, et sel viisil ammutatud teadmised on peaaegu 100% usaldusväärsed, nii et kõik püüavad alati oma käed külge panna.
Kuid sellegipoolest on seda kõike jällegi väga raske tõestada. Ja need, kes usuvad, et tingimuslikul "Vkontakte'il" on õiguskaitseasutustelt selline juurdepääs isiklikele sõnumitele - see pole täiesti tõsi. Kui vaadata lihtsalt teabe avaldamise kohtutaotluste ajalugu, siis kuidas Vkontakte (antud juhul Mail.ru) nende taotlustega väga nutikalt tõrjub.
Neil on alati põhiargument: seaduse järgi peavad õiguskaitseorganid vaidlema, miks on vaja ligipääsu isiklikele sõnumitele. Reeglina, kui tegemist on mõrvaga, ütleb uurija alati, et tõenäoliselt ütles inimene, kuhu ta relva peitis (erasõnumites). Kuid teie ja mina mõistame, et mitte ükski terve mõistusega kurjategija ei kirjuta kunagi Vkontakte'is oma kaasosalistele, kuhu ta tulirelvi peitis. Kuid see on üks levinumaid võimalusi, mida ametnikud teatavad.
Ja siin on veel üks selline kohutav näide (mul paluti täna kohutavaid näiteid tuua) - Venemaa kohta (loodan, et Valgevenes seda ei juhtu): seaduse järgi peab uurijal olema piisavalt mõjuvaid põhjusi, et operaator saaks selle teabe avalikustada. . Loomulikult pole neid usaldusväärseid parameetreid kuskil kirjeldatud (millised, millisel kujul need peaksid olema), kuid Venemaal on nüüd üha rohkem pretsedente, kui kohtule ilmneb selline alus, kui on olemas teatud mudel, mis ennustas teatud, hea või halb käitumine.
See tähendab, et meie riigis ei saa kedagi vangi panna (ja see on hea) selle eest, et ta on sattunud mingisse tõupuhaste mõrvarite statistilisse valimisse – ja see on hea, sest see rikub süütuse presumptsiooni; kuid on pretsedente, kus selliste prognooside tulemusi on kasutatud andmete kohtuliku loa saamiseks. Muide, mitte ainult Venemaal. Ameerikas on ka selline asi. Seal on ka Palantir juba ammu kõiki peksnud, selliseid asju kasutatakse. Õudne lugu.
See on minu uurimistöö. Tegime seda: jalutasime Peterburis ringi, roheliste täppide kohta kirjutasime sõpradele "puhastelt" kontodelt mõned võtmepunktid - näiteks "tahan kohvi juua", "kust saab pesupulbrit osta?" ja nii edasi. Ja siis said nad vastavalt geograafiliselt viidatud reklaami. Mingil maagilisel moel... Või nagu nad ütlesid: “Juhus? Ära mõtle!" Need on isiklikud sõnumid Vkontakte'is. Andke andeks, Mail.ru, aga see on tõsi. Igaüks võib seda katset korrata.
Muide, kui nad toetusavaldust kirjutasid, ütles Mail, et seal on wi-fi-punkte, mis püüdsid teie mooni aadressi kinni. On ka selline asi.
Isikuandmete saamise meetodid ja levinumad võimalused "tühjendamiseks".
Järgmine lugu on lisateadmiste ammutamine, millest tükki ma ka tegelikult puudutasin. Tegelikult kannab täidetud inimese profiil sotsiaalvõrgustikes tõesti 15–20% tegelikest teadmistest, mida andmeoperaator tema kohta talletab. Ülejäänud jutt tuleb väga huvitavatest asjadest. Miks arvate, miks Google arendab nii palju arvutinägemise teeke? Eelkõige olid nad esimeste seas, kes arendasid välja raamatukogud objektide tegelikuks analüüsimiseks ja kategoriseerimiseks – taustal, esiplaanil, ükskõik kus. Sest see on tohutu lisateabe allikas selle kohta, milline korter inimesel on, auto, kus ta elab, luksuskaubad ...
Koolitatud Google'i närvivõrgud (ma ei tea, kes need olid, aga sellegipoolest) tekkis hunnik häkkerite täidisega. Rindkere suuruse, vööümbermõõdu kohta oli palju huvitavat - et ainult inimesed ei püüdnud fotode analüüsi põhjal teiste inimeste kohta teada saada. Sest kui inimene pildistab, ei mõtle ta alati sellele, kui palju huvitavat on sul sellest õppida? Ja kui palju passe vastsündinutele Venemaal välja pannakse? .. Või: "Hurraa, mu laps sai viisa"! See on üldiselt tänapäeva ühiskonna valu.
Selline offtopic (täna jagan teiega fakte): Moskvas on kõige sagedasem isikuandmete lekkimine eluaseme- ja kommunaalteenused, kui uksele riputatakse võlgnike nimekiri ja need võlglased kaebavad siis kohtusse, kuna nende isikuandmed sai avatud juurdepääsu ilma nende lubadeta. Mis siis, kui see teiega juhtub... Põhimõte on see, et kui inimene midagi teeb, siis ta ei tea, mis sellel fotol oli, mis mitte. Praegu on palju autode numbreid.
Kunagi viisime läbi uuringu - püüdsime aru saada, kui palju on lahtiste autopiltidega inimesi (neil on vastavalt rikkumisi ja nii edasi) - seda sai kahjuks teha ainult liikluspolitsei liidetud andmebaaside abil, kus on ainult number (mitte väga usaldusväärne info), aga huvitav oli ka.
Sinu järgmine reklaam oleneb sellest, kuidas sa eelmise “tarbisid”.
See on esimene lugu. Teine lugu on käitumismustrid ehk sisu, mida inimene tarbib, sest üks olulisemaid mõõdikuid, mida sotsiaalvõrgustikud sinu kohta üles ehitada üritavad, on see, kuidas sa reklaamidega suhtled. Ükskõik kui täpsed, “vinged” algoritmid ka poleks, kui imelised tehisintellektid ja kõik muu ka ei töötaks, on sotsiaalvõrgustiku tegelik prioriteet alati raha teenimine. Seega, kui tingimuslik "Coca-Cola" tuleb ja ütleb - "Ma tahan, et kõik Valgevene elanikud näeksid minu postitust", näevad nad seda, olenemata sellest, mida algoritmid selle inimese kohta arvavad, kuidas teda sinna sihtida. Tõenäoliselt saite reklaame, lisaks ülisupersihitud ja täiesti mitteseotud jama. Sest selle seosetu jama eest maksti palju raha.
Kuid üks peamisi mõõdikuid on mõista, millise sisuga te kõige paremini suhtlete, nimelt kuidas te sellele reageerite, et teile sarnast reklaamilugu näidata. Ja vastavalt sellele on see mõõdik selle kohta, kuidas te reklaamiga suhtlete: kes seda keelab, kes mitte, kuidas inimene klõpsab, kas ta loeb ainult pealkirju või satub täielikult materjali sisse; ja seejärel jätkake teid selles, nagu seda praegu nimetatakse "filtrimullis", hoidmist, et saaksite selle sisuga edasi suhelda.
Kui olete äkki kunagi huvitatud, proovite pikka aega, nädala, võib-olla kuu aja jooksul, lihtsalt keelata kõik reklaamid sotsiaalvõrgustikest järjest: teile näidatakse mingit reklaami - sulgete selle. Kui seda analüüsida ja graafikule panna, on huvitav lugu: kui keelate reklaamid nädalaks, siis järgmisel nädalal näitab see teile täiustatud versiooni ja üldiselt erinevatest kategooriatest; ehk siis tinglikult sa armastad koeri ja sulle näidatakse koertega reklaame - sa keelasid kõik koerad ära ja siis hakatakse sulle igasugu mitmekülgset lollust näitama erinevatest variantidest, et püüda aru saada mida sul vaja on.
Ja siis lõpuks sülitavad, märgivad sind inimeseks, kes reklaamiga ei suhtle, panevad sulle tingimusliku risti ja hakkavad sulle sel hetkel näitama eranditult rikaste kaubamärkide reklaame. See tähendab, et praegu näete ainult Coca-Cola, Kit-Kita, Unileveri ja kõigi tohutult raha teenivate inimeste reklaame, sest teil on vaja vaatamisi saada. Kuu aja jooksul viige läbi eksperiment: keelake kõik reklaamid üheks või kaheks nädalaks, siis näete kõike järjest ja keelake see - lõpuks näete ainult reklaame, nagu selgub (ja reklaamiagentuurid ütlevad), ainult kliendid, kes maksavad vaatamiste eest , sest on võimatu aru saada, kuidas te selle reklaamiga suhtlete.
Pornot vaatavad sagedamini need, kes kipuvad sisusse sügavale sukelduma
Vastavalt sellele on siin lugu igasugusest käitumise jälgimisest. Mul on selline huvitav näide – valitsuse veebisaidi külastajad. Naljakas on see, et mida sügavam on inimeste vaatamine, seda rohkem eelistab neist inimestest porno vaatamist traditsioonilistele suhetele. Vabandust, et ma sellel teemal kogu aeg räägin, aga tegelikult on mul Pornhubiga väga head suhted ja need on alati väga huvitavad uurimused, sest see teema on omamoodi tabu, kuid räägib palju inimene . Ja siit järgnevad järgmised punktid liikluse tagasituleku kohta ... Jääme ka Pornhubi kohta meelde!
Mida loetakse isikuandmeteks ja kas iPhone'i saab 3D-näomudeliga avada?
Minu lemmik on isikuandmete seadusest möödahiilimine. Kui lugeda sama Facebooki tehnilist dokumentatsiooni, mis andis mõned sisedokumendid (näiteks kohtule), siis ei leia seal ühtegi mainimist ei näotuvastusest ega hääleanalüüsist. Tekib väga keeruline keel, mida ükski kvalifitseeritud jurist ei leia õigusaktidest. Me töötame Venemaal umbes samamoodi – ma näitan teile nüüd sellist asja.
Mida sa siin näed? Iga normaalne inimene ütleks seda nägu. See on muide Sasha Grey. Ja juriidiliselt on see maatriks mõnest kolmemõõtmelisest punktist, mida on 300 tuhat tükki. Nii heas kui halvas ei loeta seda seaduse järgi isikuandmeteks. Üldiselt ei pea Venemaa RKN ühte fotot isikuandmeteks - ta loeb seda isikuandmeteks, kui läheduses on veel midagi (näiteks täisnimi või telefoninumber) ja see foto ise pole üldse midagi. Niipea, kui biomeetriaseadus kehtestati ja biomeetrilised andmed isikuandmetega võrdsustati (nii, väga ebaviisakalt), hakkasid kõik kohe ütlema: see pole biomeetriline teave, see on punktide rida! Eriti kui võtta sellest punktide massiivist otsene või pöörd Fourier' teisendus, tundub, et te ei saa inimest sellest teisendusest tagasi deanonüümseks muuta, kuid saate teda tuvastada. Puhtteoreetiliselt see asi seadust ei riku.
Tegin ka teise uuringu: see on algoritm, mis ehitab avatud allikatest üles näo kolmemõõtmelise rekonstruktsiooni – võtame Instagramis konto ja siis saame näo 3D-printerile printida. Kes muide on huvitatud, mul on link avalikus omandis; kui äkki keegi tahab kellegi "iPhone'i" lahti lukustada ... Nali naljaks - "iPhone" ei saa lahti lukustada, seal langeb kvaliteet.
Privaatprofiil on turvalisuse pluss
See on esimene asi ja teine ... Olen juba puudutanud seda, et info saadakse peamiselt kasutaja keskkonnast. Selle pildi joonistasin aastal 17: keskmine vene suhtlusvõrgustike kasutaja on sees, tal on keskmiselt 200-300 sõpra, tema sõprade sõpru ja tema sõprade sõpru.
Tänu sotsiaalsetele võrgustikele nutikate e-voo algoritmide tutvustamise eest, integreeritud aastaarvud, mis näiliselt suurendavad tõenäosust, et kohtute mõne huvitava sisuga. See on inimeste arv, kes näevad teie toodetud sisu suvalisel hetkel, isegi kui teie kontot piirab ainult privaatsuse kõrgem tase (ainult sõprade sõprade ja nii edasi). Siin on sõprade sõbrad:
Kui keegi arvab, et kui ta valib VK-s "Minu postitustes" "sõprade sõbrad", siis kolm käepigistust on umbes 800 tuhat inimest, mis põhimõtteliselt polegi nii väike, kuid sõltub teie sisust. Võib-olla teete ebasündsaid vooge ja kõik need sõprade sõbrad saavad selle sisuga suhelda. Üks neist võib midagi kuhugi uuesti postitada, kõigil inimestel on like feed, mis tegelikult suure tõenäosusega tühistatakse, sest see pole väga isiklik asi. Seetõttu võib sisu igal ajal kuhugi jõuda.
VK tõi sel aastal turule ka ülisuletud profiilid, kuid siiani on neid kasutanud väga väike hulk inimesi (ma ei ütle, milline, aga väike!). Võib-olla mõtlevad inimesed kunagi sellele – ma tõesti loodan seda. Kõik uuringud on pidevalt suunatud sellele, et inimesed mõistaksid probleemide ulatust. Sest seni, kuni kedagi konkreetset ei puuduta mingid kohutavad asjad, ei mõtle ta sellele kunagi. Lase käia.
Riigiasutused ei tea, mis on isikuandmed, ega kiirusta neid määratlema
Iga isikuandmete õiguse spetsialist ütleb alati järgmist: te ei pea kunagi kombineerima erinevaid andmeallikaid, sest siin on teil e-kirjad (see on lihtsalt isikuandmed, millel on mingisugused anonüümsed identifikaatorid), siin - täisnimi .. Kui see kõik kokku liita, siis tundub, et neist saavad isikuandmed. Üldiselt oleks õige enne seda teemat puudutada, aga ma arvan, et olete sellesse juba süvenenud ja ehk olete kursis, kuidas seadus töötab.
Tegelikult ei tea keegi, mis on isikuandmed. Oluline kontseptsioon! Riigiasutustesse tulles ütlen: "Pudel konjakit inimesele, kes ütleb, mis on isikuandmed." Ja keegi ei oska öelda. Miks? Mitte sellepärast, et nad on rumalad, vaid sellepärast, et keegi ei taha enda eest vastutust võtta. Sest kui Roskomnadzor ütleb, et need on isikuandmed, siis homme teeb keegi midagi ja nemad on süüdi; ja nad on täidesaatvad asutused ega peaks üldiselt millegi eest vastutama.
Põhimõte on see, et seadus ütleb selgelt, et isikuandmed on andmed, mille järgi saab isikut tuvastada. Ja seal on toodud näide: täisnimi, kodune aadress, telefoninumber. Kuid sina ja mina teame, et inimest saab tuvastada nii selle järgi, kuidas ta nuppe vajutab, selle järgi, kuidas ta liidesega suhtleb, kui ka muude kaudsete parameetrite järgi. Kui kedagi huvitab, siis peaaegu igas valdkonnas on tohutult palju lünki.
Identifikaatorid, mis meid paljastavad
Näiteks hakkasid kõik punkte panema mooniaadresside püüdmiseks (olete kindlasti kohanud?) - nutikad (või ma ei tea, ahned) mobiiliseadmete tootjad, nagu Apple ja Google, võtsid kiiresti kasutusele algoritmid, mis annavad välja juhuslik mooni aadress, et sa ei saaks, oli linnas ringi jalutades tuvastada ja saada kõigile oma mooni aadress. Aga targad tüübid mõtlesid järgmisele loole veelgi kaugemale.
Näiteks saate hankida mobiilioperaatori litsentsi; olles saanud mobiilioperaatorilt litsentsi, saate sellisele asjale juurdepääsu - kutsutakse SS7 protokoll, mille järgi näete teatud mobiilioperaatorite saadet; seal on hunnik igasuguseid identifikaatoreid, mis ei ole isikuandmed. Enne seda oli see IMEI ja nüüd - sõna otseses mõttes võttis keegi selle keele maha ja otsustas säilitada Venemaal (selline algatus) nende "IMEI-de" ühtset andmebaasi. Omamoodi on, aga siiski.
Seal on näiteks hunnik identifikaatoreid - näiteks IMCI (Mobile Equipment Identifier), mis ei ole isikuandmed ega seotud mõne muu asjaga ja vastavalt sellele saab seda salvestada ilma igasuguse õigusliku süüdistuseta ja kellega siis vahetada need identifikaatorid, et hiljem inimesega suhelda.
Isikuandmetega töötamise kultuur on madalal tasemel
Üldiselt võib öelda, et kõik on nüüd väga mures andmete üksteisega ühendamise pärast ja enamik ettevõtteid, kes seda ühendavad, mõnikord isegi ei mõtle sellele. Näiteks tuli pank, sõlmis mitteavaldamise lepingu ettevõttega, kes tegeleb punktiarvestusega, viskas 100 tuhat oma klienti ...
Ja mitte alati ei ole sellel pangal lepingus punkt andmete edastamise kohta kolmandatele isikutele. Need kliendid kiirendasid midagi ja pole selge, kuhu see andmebaas hiljem läks, ei läinud - enamikus Venemaa ettevõtetes puudub andmete kustutamise kultuur ... - see “excel” ripub kindlasti kuskil sekretäri arvutis hiljem.
Meie andmeid saab müüa iga poes sooritatud ostuga
On palju skeeme, mis näivad olevat peaaegu legaalsed (st seaduslikud). Näiteks on lugu järgmine: 15 suurimast Venemaa pangast on SMS-i tegelikuks lüüsiks vaid kaks - Tinkoff ja Alfa ehk nad saadavad ise oma SMS-i. Teised pangad kasutavad lõppklientidele SMS-ide saatmiseks SMS-lüüsi. Nendel SMS-lüüsidel on peaaegu alati õigus analüüsida sisu (näiteks turvalisuse huvides ja mõningaid järeldusi), et seejärel koondstatistikat müüa. Need SMS-lüüsid on "sõbrad" maksuandmete operaatoritega, kes kontrollivad.
Ja selgub järgmine: tulite kassasse, fiskaalandmete operaatori juurde (nad andsid, ei andnud teie telefoninumbrit - kuidagi on see sinna seotud) ... saate SMS-i oma telefoninumbrile, mis on lüüsi see SMS näeb kaardi 4 viimast numbrit ja telefoninumbrit. Teame, mis hetkel Te fiskaalandmete operaatorilt tehingu tegite ja SMS-is teame (praegu juba), millisele numbrile laekus info sellise ja sellise rahasumma debiteerimisest sellise ja sellise kaardi viimase nelja numbriga. Kaardi neli viimast numbrit ei ole sinu tunnused, need ei riku seadust, sest neid kasutades ei saa sind deanonüümseks muuta, tehingusumma samuti mitte.
Aga kui olete fiskaalandmete operaatoriga kokku leppinud, siis teate, mis ajaaknas (pluss-miinus 5 minutit) see SMS teieni peaks tulema. Seega seoti teid OFD-s kiiresti oma telefoninumbriga ja teie telefoninumber on seotud reklaamiidentifikaatoritega, üldiselt kõik-kõik-kõik. Seetõttu võite siis vahele jääda: nad tulid poodi ja siis saadavad teile loata muid jama. Ma arvan, et siin ruumis pole peaaegu kedagi, kes oleks kunagi FAS-ile rämpsposti kohta avalduse esitanud. Vaevalt on... peale minu, ma arvan.
Paberid on arhailine, kuid tõhus viis oma õiguste eest võitlemiseks
See töötab väga lahedalt. Tõsi, peate ootama poolteist aastat, kuid FAS viib tegelikult läbi auditi: kes, kuidas, kellele andmed edastas, miks kuhu jne.
Küsimus publikult (edaspidi - Z): - Valgevenes ei ole FAS-i. See on hoopis teine riik.
OH: - Jah ma saan aru. Kindlasti on midagi sarnast...
Vastulaused tulevad põrandalt
OH: - Olgu, halb näide, vabandust. Vahet pole. Oma sõprade seas ei tea ma kedagi, kes üldiselt teaks sellise loo olemasolust - et võite minna kirjutama ja siis nad töötavad veel aasta.
Teine lugu, mis ka Venemaal väga areneb, aga ma arvan, et oma riigist leiate analoogi. Mulle väga meeldib seda teha, kui riigiasutus ei suhtle hästi sinu, mõne panga või millegi muuga – ütled: "Anna paber." Ja kirjutate paberile: "Vastavalt 14. föderaalseaduse punktile 152 palun teil töödelda isikuandmeid paberkandjal." Ma ei tea täpselt, kuidas seda Valgevenes tehakse, aga kindlasti tehakse. Venemaa seaduste kohaselt ei ole neil õigust selle alusel teile teenusest keelduda.
Tean isegi paljusid inimesi, kes saatsid Mail.ru-le sarnaseid sõnumeid ja palusid oma isikuandmete üle paberkandjal arvestust pidada. Mail.ru võitles selle vastu väga pikka aega. Ma tean isegi üht Yandexi arendajat, kes sai nalja: nad kustutasid tema VK konto ja saatsid talle hunniku prinditud ekraanipilte ja ütlesid, et saadavad talle ekraanipilte iga kord, kui ta soovib oma lehte värskendada.
Naljakas, aga sellegipoolest on see reaalne alternatiiv, kui keegi tõesti hoolib andmetest, ühelt poolt... Ja teisest küljest ütles mulle seesama RKN, et see leping isikuandmete töötlemise kohta on formaalne ja seadus näeb selle nõusoleku andmiseks ette veel mitu võimalust. Ja et näiteks mind kutsuti siia üritusele ja kui näiteks Human Constanta ei pruugi minuga sõlmida lepingut isikuandmete töötlemiseks Venemaa seaduste raames (sest juba see, et kohale jõudsin ja nõus rääkima on nõusolek isikuandmete töötlemiseks), võtavad nad ikkagi need paberload. Kuid RKN ütles mulle sarnast asja, et see pole üldse fakt, et suure tõenäosusega nad kunagi kaovad.
Ma loodan, et Venemaal ei teki kunagi ühtset isikuandmete operaatorit, jumal andke andeks, sest hullem kui kõik isikuandmed ühte korvi panna, saab need panna ainult riigikorvi. Sest kes teab, mis sellest kõigest saab.
Ettevõtted jagavad isikuandmeid ja seadused ei reguleeri seda hästi
Enamik ettevõtteid vahetavad omavahel mingeid andmeid, identifikaatoreid. See võib olla pood pangaga ja siis pank sotsiaalvõrgustikuga, sotsiaalvõrgustik millegi muuga... Ja lõpuks on neil inimestel teatud kriitiline mass teadmisi, mida saab kuidagi kasutada ja kõik see teadmine on tõsi, üritavad nüüd oma poolel hoida. Aga sellegipoolest satub see ikkagi mingisse reklaamiliiklusse või kuhugi mujale.
Andmete edastamine kolmandatele isikutele on kõige lõbusam, mis üldse olla saab, sest seadused ei kirjelda, milliste kolmandate isikutega on tegu, kellele neid üldse “kolmandateks osapoolteks” pidada. Muide, see on Ameerika advokaatide väga levinud lause - neil on seal Kolmandad osapooled - keda, keda te kolmandaks peate: vanaema, vanavanaema? .. Ameerikas oli isegi selline pretsedent, kui kellegi andmed avalikustati , kaebas inimene kohtusse ja nad tõestasid, et see isik mitme sõbra kaudu teab andmete omanikku – teatud arv käepigistust, juhtis mingeid kummalisi sotsioloogilisi uuringuid – seega tõestati, et neid inimesi ei saa pidada üksteise kolmandateks isikuteks. Naljakas. Kuid selliste andmete edastamise fakt on väga levinud.
Isegi kui lähete saidile, kus on tuvastamiseks loendur, on sellel loenduril õigus selle liikluse andmed kuhugi edastada ("Clickstream", mis tahes reklaamiplatvormide omanikud, näiteks "Pornohub"). Pornhub, kui keegi teist on veebiarendaja, võite minna ja vaadata, kui palju jälgimispiksleid on Pornhubi veebisaidil. Lihtsalt sisenege – sinna on laaditud tohutul hulgal Java-skripte, näiteks saidi täiustamiseks. Tegelikult seatakse sinna ka domeenidevahelised küpsised, mida seal lihtsalt pole, sest see info on klikivoo turul alati kõrgelt hinnatud.
"Facebook" lippab ega kavatse maski maha rebida
Loomulikult ei ütle ükski suurematest mängijatest kunagi kellelegi, kellele ja kuidas nad andmeid müüvad. Selle tõttu üritab Euroopa näiteks nüüd Facebooki kohtusse kaevata. Vahetult pärast GDPR-i kehtestamist üritab Euroopa Liit raputada Facebooki endalt lahti andmete kolmandatele osapooltele edasimüügi algoritmide avalikustamisest.
Facebook seda ei tee ja ütleb avalikult, et ei tee, sest nad on "maailma korporatsioon" (tsiteerin seda meilist, mille nad mulle saatsid), nad on "tehnoloogia väärkasutuse vastu" (eriti kui müüte Kremlile näotuvastust). Üldiselt võib öelda, et Facebook ei tee seda päris ausalt: selle peamine eesmärk ja peamine asi, mis juhtub niipea, kui selline mehhanism ilmneb, on see, et reklaamimarginaali oleks võimalik realistlikult arvutada, oleks võimalik mõista reklaamide tegelikku maksumust.
Tavaliselt, kui Facebook ütleb teile nüüd, et reklaamikuva maksumus on 5 rubla, ja me müüme selle teile 3 eest (ja meile jääb nagu kaks rubla), saavad nad tingimuslikult 5% kasumist. need reklaamimuljed. Tegelikult pole see 5%, vaid 505, sest kui see algoritm ilmub (kellele ja kuidas Facebook saatis "clickstreami", külastusandmeid, piksliandmeid kõikvõimalikele reklaamivõrkudele), selgub, et nad teenivad raha palju rohkem, kui nad selle kohta ütlevad. Ja siin pole mõtet rahas endas, vaid selles, et kliki hind on rubla, aga tegelikult - sendi sajandikud.
Üldiselt on lõppkokkuvõttes see, et kõik üritavad sellist ülekannet varjata, see pole oluline - reklaam, mittereklaamiliiklus, kuid see on olemas. Kahjuks pole seda juriidiliselt võimalik teada saada, sest ettevõtted on eraõiguslikud ja kõik, mis neil sees on, on nende eraõigus ja ärisaladus. Aga selliseid lugusid tuleb kogu aeg ette.
Narkodiilerid on etteaimatavad ja "tulistavad" "Avitos"
Viimane pilt sellest esitlusest. See on naljakas ja selle olemus seisneb selles, et on teatud kategooriaid inimesi, kes on oma isikuandmete pärast väga mures. Ja see on hea, tegelikult! See näide puudutab sellist inimeste kategooriat nagu narkodiilerid. Näib, et inimesed, kes peaksid oma isikuandmete pärast väga mures olema ...
Tegemist on uuringuga, mis viidi läbi selle aasta alguses pädevate asutuste järelevalve all. Jah, see on stsenaarium, millele anti raha Telegramis Toris narkootikumide ostmiseks, kuid ainult nendelt inimestelt, keda suudeti tuvastada.
Tegelikult põlevad peaaegu kõik Moskva narkodiilerid selle üle, et nende telefoninumbrit pole üldse avatud allikates, kuid varem või hiljem müüvad nad Avitos midagi, mille järgi on võimalik aru saada umbkaudsest asukohast. need inimesed. Lõpptulemus on see, et punased täpid on koht, kus inimesed elavad, ja rohelised täpid on need, kuhu nad lähevad, et sa tead, mida. See oli üks algoritmi osadest, mis ennustas patrulliteenistuste kasutuselevõttu, aga need Moskva tüübid üritavad alati kuidagi diagonaalselt, eemale minna.
Nad usuvad, et kui nad elavad ülalt vasakult, siis peaksid nad minema ülevalt paremalt ja neid ei leita sealt kindlasti kunagi. Ma ütlen teile, et kui proovite end varjata üldlevinud algoritmide eest, on kõige lahedam võimalus muuta käitumismudelit: installida mingi "Külaline", et külastusi, valdusi jne randomiseerida. Jah, issand, on isegi algoritme, pistikprogramme, mis muudavad brauseri suurust paari piksli võrra nii, et allkirja, brauseri “sõrmejälge” pole võimalik arvutada ja teid kuidagi tuvastada.
See on kõik, mida ma öelda tahtsin. Kui teil on küsimusi - lähme. Siin on link esitlusele.
Küsimus publikult (B): – Öelge, palun, Tori kasutamise, liikluse jälgimise osas… Kas te soovitate seda?
Seda on raske varjata, kuid see on võimalik
OH: - "Thor"? "Thor" ei ole üldiselt mingil kujul. Tõsi, ma ei tea, kuidas Valgevenes - Venemaal ei tohiks te mingil juhul sinna minna, sest peaaegu enamik kontrollitud "gracenode" lisab teie liiklusesse ootamatult mõned paketid. Ma ei tea, millised, aga kui vaadata: seal on liiklust tähistavad “sõlmed”, siis pole selge, kes seda teeb, mis eesmärgil, aga keegi märgib selle päisesse, et hiljem aru saaks. Venemaal salvestatakse nüüd kogu liiklus, isegi kui see on salvestatud krüptitud kujul, ja kõik trollivad Yarovaya paketti selle üle, et krüptitud liiklust salvestatakse, kuid see jääb märgituks, see tähendab, et seda ei saa kasutada, seda ei saa dekrüpteerida. ...
Z: – Euroopas on seda hoitud kaua, vist kümme aastat.
OH: - Jah ma saan aru. Kõik naeravad selle peale – näiteks salvestate https, mida ei saa lugeda. Sisu ei ole võimalik lugeda, kuid on võimalik aru saada, kust paketid tulid teatud algoritmidega - pakettide kaalu, pikkuse jne järgi. Ja kui teil on kõik pakkujad kapoti all, on vastavalt ka kõik selgroogseadmed ja kõik passid ... Üldiselt, kas saate aru, millest ma räägin?
Z: Millist brauserit soovitate kasutada?
OH: Thori jaoks?
Z: - Üldse mitte.
OH: - No ma ei tea. Ma kasutan tegelikult Chrome'i, kuid ainult seetõttu, et arendajapaneel on seal kõige mugavam. Kui äkki on vaja kuhugi minna, siis lähen mõnda kohvikusse. Tõsi, seal ei tohiks päris SIM-kaardile sisse logida.
Z: Sa rääkisid mõnest õpilasest. Kas te õpetate või korraldate kursusi?
OH: – Jah, meil on andmeajakirjanduse meistrid. Koolitame ajakirjanikke andmeid koguma, analüüsima – nad teevad selliseid uuringuid perioodiliselt.
Turvalisi rakendusi pole
Z: - Facebookis, Vkontakte'is sõpradega suhelda pole turvaline, et mitte hiljem kontekstuaalset reklaami saada. Kuidas turvalisust parandada?
OH: – Küsimus on selles, mida te peate vastuvõetavaks turvatasemeks. Põhimõtteliselt sõna "turvaline" ei eksisteeri. Küsimus on selles, mis on teie arvates vastuvõetav. Mõned peavad intiimsete fotode jagamist Facebooki kaudu vastuvõetavaks ja mõned luureametnikud usuvad, et kõik, mis öeldi suu kaudu, isegi kõige lähedasemale inimesele, on tegelikult ebaturvaline. Kui sa ei taha, et sotsiaalvõrgustik sellest midagi teaks, siis jah – parem sellest mitte kirjutada. Ma ei tea turvaliste rakenduste kohta. Ma kardan, et nad seda ei tee. Ja see on normaalne, kuna iga rakenduse omanik peab selle kuidagi raha teenima, isegi kui see rakendus on tasuta või see on mingi meedia. See on kuidagi tasuta, aga millegi pealt peab ikka elama. Seetõttu pole miski ohutu. Sa peaksid nii-öelda ainult ise otsustama, mis sulle sobib.
Z: – Mida sa kasutad?
OH: - Sotsiaalsed võrgustikud?
Z: - Sõnumitoojatelt.
OH: - Sõnumitoojatest kasutan Vene Föderatsiooni peamist riiklikku sõnumitoojat - Telegrami.
Z: - Viber. Kas ta on ohutu?
OH: - Kuule, ma ei ole kiirsuhtlejates eriti hea. Kui aus olla, siis ma ei ole turvalisuses, ma ei usu millessegi, sest see oleks ilmselt väga imelik. Kuigi Telegram on omamoodi avatud lähtekoodiga ja selle krüpteerimisalgoritmid on avalikustatud. Kuid see on ka nii keeruline asi, sest "avatud lähtekoodiga" klient on olemas ja keegi pole servereid näinud. Ma arvan, et mitte: Viberis on palju rämpsposti, roboteid ja nii edasi. Fig teab. Ma arvan, et see ei tööta eriti hästi.
Kes on ohtlikum – ettevõtted või riik?
Saatejuht (B): - Ja mul on teile küsimus. Vaata, sa mainisid seda paar korda möödaminnes – et riik... Liiga palju andmeid pole just hea... Ettevõttel on liiga palju andmeid. Noh, see on lihtsalt elu, eks? Kes siis rohkem kardab – ettevõtted või riik? Kus on lõksud?
OH: - See on väga raske küsimus. Ta piirneb. Raske eetiline barjäär. Inimene, kui tal pole midagi karta, kui ta ei rikkunud seadust, siis milleks ta põhimõtteliselt privaatsust vajab? Kuigi ma nii ei arva – see riik arvab nii. Võib-olla on selles terake tõtt. Kuulge, ma kardan kõige rohkem häkkereid – mingisugune selline žest. Tegelikult suurim žest, mida ma oma elus näinud olen (kogu sellest teemast): kuskil poolteist-kaks aastat tagasi tabati Moskva oblastis pedofiil ja uurimistoimingute käigus leiti mitu Pythoni õpetust. tema arvutis, skriptid API VK. Ta kogus tüdrukute kontosid, analüüsis, milline neist on läheduses, kogus sisu, mida nad ... Ühesõnaga, saate aru. Siin on suurim plekk, mida ma kunagi näinud olen. Ja ma tõesti kardan seda, et ühel ilusal hetkel keegi midagi sellist teeb.
Veel üks väike “offtopic”: Euroopa Riikliku Julgeoleku Organisatsioon tegi tol aastal teate, et salaküsimuse häkkimisel kasvas pangakontodelt varguste arv umbes 20 protsenti, 25 või nii. Mõelge kohe oma salaküsimusele pangas ja vaadake, kas ma saan sellele avatud allikatest vastuse teada. Kui teil on seal oma ema neiupõlvenimi või lemmikroog ... Üldiselt analüüsisid inimesed kontosid, selle põhjal said nad aru oma armastatud lemmiklooma hüüdnimest - midagi sellist ...
Z: - Ütlesite, et ettevõtted, ettevõtted koguvad vajalikku teavet algoritmide abil? Oled sa kindel, et tead, kuidas?
OH: - Tekkis inimeste liikumine, kes omal ajal ajasid fotod läbi spetsiaalse filtri, et see filter piltide analüüsi katki tõmbaks, nii et hiljem poleks võimalik neid inimesi kuidagi tuvastada. Siin tõin teile näite, et Facebook oli hädas sõnumite krüptograafiaga. Ja kui see asi ilmub ja laialt levib, võitlevad sotsiaalsed võrgustikud selle vastu kindlasti. Lisaks töötab pildituvastus nüüd väga hästi ja piirneb tõsiasjaga, et selle foto "murmiseks" (et neid pilte tuvastava algoritmi "murdmiseks") on piisav tase - tõenäoliselt pole sellel midagi selget. mitte olla.
Igasugused tõrkefiltrid töötavad hästi, kui tegemist on tugeva otsese nihkega poolel fotol. Seejärel omandab teie konto kõik LSD värvid. Puhtteoreetiliselt pole minu meelest väga hirmutav, kui näiteks Facebook saab teada, mis auto mul on – ilmselt siis, kui ma Facebooki kaudu autosse sisse ei logi.
Unustuse seadus töötab, kuid mitte Internetis
Z: - Kas olete kokku puutunud kasutajaga, kes sunniks teid teda austama, kustutama, juurdepääsu saama. Töötate suurte andmemassiividega, tõenäoliselt teavitate sellest. Inimesed saavad teiega ühendust võtta. Mitu protsenti?
OH: - Ma ütlen sulle kohe. Nüüd läheb see tõesti huvitavaks. Nüüd loen, kui palju inimesi tuleb, sest pärast sündmust tuleb alati 15-20% sisse, täidab andmete kustutamise vormi - selline asi on olemas. Tegelikkuses on see kuskil 7-8% suletud kontodest, mida me ei analüüsi, ja umbes 5 inimest tuhandest, kes paluvad oma andmed kustutada. See on väga väike, isegi minu tagasihoidlikul arvamusel.
Siin on probleem järgmine: on olemas selline asi nagu unustuse seadus. Kuid unustuse seadus, vähemalt Venemaal, kehtib juriidiliselt ainult otsingumootoritele. Seal on kirjas: otsingumootorid. Ja see on ainult materjalide linkide, mitte materjalide enda eemaldamine. Tegelikult peate Internetist millegi eemaldamiseks kõigist neist allikatest mööda minema, nii et ma ei usu sellesse põhimõtteliselt. Püüame kasutajaid hoiatada, et nad peavad enne avaldamist mõtlema.
Kuigi see protsent on väga väike - 5-7 inimest tuhandest. Muide, unustuse seadusest: kõik teavad sellist lahedat juhtumit “Sechin vs. RBC”. Unustuse seadus töötas, artikkel eemaldati, kuid see on kõikjal. Saate aru, et kui miski kunagi internetti sattus, siis see ei kao sealt kunagi.
Kasutajad kustutatakse, kuid nad tuvastatakse tüüpilise käitumise järgi
Z: - Kas te ei arva, et inimesed, kes kustutavad oma kontod ja püüavad saada "mustaks auguks", on teiste majandusagentidega võrreldes ebasoodsamas olukorras?
OH: - Tõenäoliselt jah - see positsioon on nende jaoks kahjumlik. Seal on hunnik allahindlusi ja pakkumisi, mis neist sõltuvad. Aga puhtteoreetiliselt, kui inimene kustutab konto praegu ... See on populaarne kõigi äärmuslaste seas, kui nad kustutavad konto ja teevad võltsi, kuid jätkavad suhtlemist sama sisuga - see inimene on jällegi tuvastatav (eriti kui see on samas suhtlusvõrgustikus , ühest arvutist - see on üldiselt küsimus); elementaarne sisutarbimise mudeli järgi on see inimene võimalik leida, kui selline ülesanne on olemas.
Loodan, et järgmise 5 aasta jooksul on olemas mingi tehnoloogia nende andmete monetiseerimiseks, kui on tõesti võimalik inimesele raha maksta - maksate ise ja me ei kasuta minu andmeid. Ja ma arvan, et kui mõnes Instagramis võetakse kasutusele tasuline tellimus, siis keegi seda ei kasuta, seega alternatiiviks on kasutajatele nende andmete eest maksta. Kuid see pole veel niipea, sest hirmutavate korporatiivmeeste lobi ei luba sellist seadust vastu võtta, kuigi see oleks lahe. Kuid siin on mõte selles, et ühe inimese andmete tegelikku väärtust mingil konkreetsel ajahetkel on võimatu hinnata.
Facebook on hunnik mehi
Z: - Tere päevast. Hiljuti oli uudis, et Facebook kavatseb integreerida kõik oma projektid, sealhulgas Instagram ja Facebook, WhatsApp jne. Kuidas on teie hinnangul isikuandmete seisukohalt, kui nüüd need programmid ripuvad minu nutitelefonis eraldi, kuid kuuluvad endiselt Facebookile? .. Mis saab edasi?
OH: - Ma saan aru. Juriidiliselt kuuluvad nad juba Facebookile ja see võib neid ohjeldamatult enda sees ühendada, nii et arvan, et midagi ei muutu. Ainuke asi on see, et nüüd piisab ühe rakenduse häkkimisest, et kõik korraga kätte saada. Ja Facebook... Loodan, et nad vaatavad. Jube auke täis tüübid üldiselt kõikides kohtades.
Viimasel ajal on selle kohta ilmunud palju infot – Facebooki andmelekete kohta. Seda mitte sellepärast, et Facebook hakkas neid andmeid ootamatult kaotama, vaid seetõttu, et GDPR sunnib ettevõtet nüüd ette hoiatama. Ja kõige suurem karistus on see, kui toimus leke ja firma vaikis sellest ja seetõttu Facebook nüüd sellest räägib. See ei tähenda, et neid andmelekkeid varem poleks olnud.
Z: - Tere. Mul on küsimus andmete salvestamise kohta. Nüüd kehtestab iga osariik seadust selle kohta, et kodanike andmeid säilitatakse selle riigi territooriumil. Millise tingimuse täitmisest piisab selle seaduse täitmiseks, mõne rahvusvahelise taotluse puhul?.. Näiteks Facebook: on ainult üks andmebaas...
Kuidas neid tingimusi täita?
OH: – Kuulge, juriidiliselt peate siin riigis lihtsalt serveri rentima ja sinna midagi panema. Probleem on selles, et puudub pädev reguleeriv asutus. Facebooki andmed ei asu Venemaal. Roskomnadzor võitleb nendega, võitleb, võitleb, võitleb... Facebookis on osa serveritest, kus asub just selle Facebooki liides ja pole võimalik kontrollida, kus andmed tegelikult asuvad, kuidas neid sünkroniseeritakse.
Z: – Kontrollige liiklust?
OH: – Kontrollige liiklust? Jah. Aga liiklus võib siis minna mingisse selgroogu. Lisaks võib serverite vahel olla midagi VPN-i või midagi muud. Puhtteoreetiliselt on võimatu kuidagi kontrollida, et ütleme, et süsteemiadministraator ühel heal hetkel ei läheks sellesse serverisse ega võtaks sealt midagi. Ehk siis see seadus tehti mitte andmekaitse pärast, vaid selleks, et ettevõtted avaksid esindused, maksaksid makse ja laostaks riigis rauda. Aga minu meelest on see ausalt öeldes mingi väga kummaline algatus.
Z: - See tähendab, kas piisab liidese tegelikust kontrollimisest?
OH: Keegi võib teie juurde tulla ja kontrollida, kas teil on seal andmeid. Aga mingit "exceli" saab näidata ja seda ei saa keegi kontrollida, vaevalt keegi kontrollib. Nüüd vaatavad nad lihtsalt IP-aadresse: et domeeniga seotud IP-aadress asub riigi territooriumil – edasi nad ei kontrolli. Nüüd ilmselt tulevad nad minu juurde kontrollima.
Pole ühtegi teenust, mida saaks 100% usaldada, kuid korralikel inimestel pole midagi karta
Z: - Selliseid uudiseid on paljudes kohtades uuesti trükitud: üks kutt postitas selle Microsoftilt, tegi teenuse oma kontrollimiseks ...
OH: - Midagi sellist: kas teie paroolid on lekkinud? Tegelikult käivitab seesama Facebook pärast samu lekkeid Facebookis alati mingisuguseid tagavarasaite, kus saab kontrollida, et see ei sisaldu selles andmebaasis – seda nõuab jällegi GDPR. See tähendab, et kui te sellist asja ei tee, siis pole teil väga hea olla. Seetõttu esitlevad kõik nüüd neid projekte kui "see on meie algatus"; tegelikult nõuab seadus seda. See on tegelikult väga lahe asi, aga ma väga ei usaldaks selliseid kinnitusteenuseid, kui on vaja sinna saata midagi keerulisemat kui oma parool, sest paljudel on samad paroolid.
Z: - Sisestate lihtsalt oma e-posti sinna ja nad juba ütlevad, mitu korda see ohustati ...
OH: – Ma tõesti ei usalda selliseid asju, sest hiljem on teid väga lihtne selle brauseriga, päris kontoga siduda. Eriti kui kasutate samade inimeste teenuseid, kes selle saidi käivitasid. See on nagu see aasta, mil Facebook selle sisse saatis: kui teie intiimfotod lekivad Facebooki, saadate need meile ja me kontrollime, kus neid mainiti.
Ma ei tea, milline PR-õudusunenägu see on ja kes Facebookis selle välja mõtles, aga see juhtus tõesti. Nad tahtsid võrrelda, kas keegi ei saatnud teie alastust privaatsõnumites. Põhimõtteliselt taotleb see häid eesmärke, kuid see on võimalikult kummaline. Ma ei usaldaks seda.
Z: - Ja veel üks küsimus. Kui suured on lekkeohud tavakasutaja jaoks? Kahjustuste oht lekete tõttu.
OH: - Ma sain sinust aru. Jälgige, milliseid andmeid salvestada. Ma arvan, et mitte väga kõrge. Kõige hullem on see, et kui kuskilt lekivad e-kirjad ja paroolid ning sul on see parool igal pool, siis jah. Üldiselt arvan, et kasutajatel on vähe põhjust karta. Aga kui nad loomulikult ei salvesta Google'i postis mingit tükeldamist. Näiteid oli palju.
Kõige kuulsam lugu on Google’is, kui Utahis rööviti tüdruk, ei leitud teda ning ühel heal hetkel saatsid röövijad talle pildid arhiveeritud manusena. Ja Google, skaneerides seda manust, leidis märke lapspornost. Kõik leiti üles. Ja ikkagi õnnestus neil Google'i kirjasaladuse rikkumise eest kohtusse kaevata. See kohtuprotsess on kestnud juba mõnda aega. Kuid sellegipoolest usun, et tavakasutajal pole midagi karta, kui ta näiteks oma passi avalikku omandisse ei postita. See on kahekordne lugu – olenevalt sellest, missugused andmed ja milline kasutaja. Võib-olla on nüüd okei, aga 15 aasta pärast, kui temast saab mingi ametnik, siis mingid tema materjalid tulevad pinnale.
Kuidas riigiga koostöö käib?
Z: - Aitäh. Rääkisite veidi sellest, et teete riigi, riigiorganite, teenistuste jaoks teadustööd ja teete nendega koostööd. Võib-olla räägite meile mõne praeguse projekti kohta veidi lähemalt. Veelgi enam, kui saate, umbes ... Kaks küsimust: esimene on käimasolevad projektid ja teine on see, kas avalike teenistuste poolt oli selliseid ettepanekuid ...
OH: - Sündsusetu!
Z: - Jah. Kui sa mõtlesid, et äkki sa ei peaks seda tegema.
OH: - Ma ütlen sulle. Ma räägin seda kõigile. Selle mehega tülitsesime Twitteris pikalt. Milonovi meeskonnalt Twitteris sain kuidagi küsimuse, kuidas leida õpetajaid, kes vaatavad geipornot. Ütlesime kohe ei. Aga neid on, sageli tuleb kirju ja väga sageli on see seotud mingite opositsionääridega, miitingutega. Me ei tegele selliste jamadega ja nii kallavad kõik meie peale paska. Ma ei häbene seda.
Meil on “olekute” suhtes järgmine poliitika: arendame tarkvara, tarkvara kolmemõõtmeliseks rekonstrueerimiseks, näotuvastuseks, andmeanalüüsiks. Mida nad täpselt teevad, on väga raske öelda, aga mudelitest on see kuritegevuse ennustamine, linnasisese riigi julgeolekuga seonduv, inimeste liikumine, geoturundus jne. Alates esemete paigutamisest kesklinna keskkonda kuni pedofiilide, vägistajate, maniakkide ja kõikvõimalike pahade tuvastamiseni.
Ausalt öeldes ei olnud meil tegemist ühegi opositsionääriga. Võib-olla nad ei räägi sellest meile näkku. Tegelikult on see väga suur probleem – koostöö “riikidega”, sest nad ei selgita alati, mis ülesanne on. Nad ütlevad teile: tehke koduperenaiste tuvastamiseks tarkvara, aga tegelikult kavatsevad nad sellega midagi muud teha – seal läheb kõik katki.
Lisaks on riik väga huvitav ja kummaline klient, kes üritab pidevalt teie uurimistöösse panna mingi kolm senti ning sageli on nende lähenemised ja arusaam masinõppest väga pealiskaudsed. Näiteks masinõppe vigadest on mul eraldi loeng. Toon seal alati näiteks, kui tegime Moskva oblastis kuritegevuse prognoosimissüsteemi, ütles klient: kus nad müüvad arbuuse, suurendage koefitsienti neli korda. Ja siis tegelikult selgus, et kohad, kus arbuuse müüakse, ei ole kriminaalsed. Need on lihtsalt vead selles, et inimene panustab oma mõtetega.
Ühesõnaga, riik on lahe klient, seal on palju huvitavaid ülesandeid. Enamik taandub sarnastele millegi ennustamise mudelitele. Enamasti on see mingi linnainfrastruktuur.
Z: – Kas on allikaid, kust saate oma uurimistööd jälgida? Palju infot. Nagu ma aru saan, jääb palju sellest ikka üle parda. Sinu lehed, midagi muud...
OH: Mul ei ole isiklikke lehti.
Z: - Ilmselt on Facebook juba suletud?
OH: - Umbes neli kuud tagasi oli lugu: nad saatsid meile kõigile nii suuri kirju, et "te olete friigid, müüte kõik Kremlile, rikute kõiki Facebooki reegleid. Nad saatsid isegi mu koerale kirja: "Tere, Mars Blue Corgi, kogute andmeid!" ja nii edasi. Vaata, me muudame nüüd kaubamärki. Kahe-kolme nädala pärast on meil veebileht olemas ja kõike uuendatakse. Saate seda vaadata. Aga me oleme väga laisad just selles osas.
Kuidas saate kindlaks teha VPN-i töökindluse?
Z: - Millal sa ütlesid, et lähed kohvikusse, tuvastamata end seal oma telefoninumbri järgi? Ja mille all?
OH: - Ei saa öelda - võõra all, sest see on üleskutse rikkuda identifitseerimisreegleid. Ei ei ei. Ma tegin nalja. Nüüd tuvastavad peaaegu kõik kohvikud kõik järjest - pole ainult telefoninumbrit, on hunnik piksleid, on seadme identifitseerimine, mooni aadress ja mis mitte, et seda hiljem kasutada - alates reklaamist ja lõpetades tööga. otsingutegevused. Nii et selliste asjadega peate olema väga ettevaatlik. Sina mitte ainult ei saa midagi kirjutada, vaid ka nemad saavad sinu seadmest kirjutada ja siis juhtub midagi.
Võib-olla olete näinud lugu, et nad nüüd uurivad, kuidas nad (muide, ka Valgevenes) Facebooki kontosid rentivad, näiteks kasiinoreklaamide jaoks. Aga tegelikult pole teada milleks, need annavad ligipääsu ka arvutile. Need on asjad, millega peaksite olema kõige ettevaatlikum. Kui sa otsustad kuskilt anonüümselt midagi kirjutada ... ma tuleksin kohvikusse ja paneks mingi laheda VPN sisse. Aga tegelikult (jällegi, ma ei näita kellegi peale näpuga), siis kui sul on VPN-is konto, siis vaatad, kellele see VPN kuulub, mis firmale, kellele see firma jne. Sest enamik VPN-turu mängijaid pole just head poisid.
No Valgevenes pole vahet. Venemaal kontrollitakse head VPN-i selle järgi, kas azino777 on seal blokeeritud või mitte. Sest kui mitte, siis on suur tõenäosus, et see VPN-teenus suletakse nädala jooksul. Põhimõtteliselt kontrollige kõike.
Teave sõnumite automaatse kustutamise kohta
Z: - Rääkisite privaatsõnumitest nii palju, et nende suhtlusvõrgustikke loetakse... Aga näiteks Facebookis on salajased privaatsõnumid, mida saab panna (peale selle ka krüpteeritud) hävitamiseks. Kuidas saate seda kommenteerida?
OH: - Pole võimalik. Esiteks ei ole ma krüptograafia superproff ja teiseks on siin probleem selles, et keegi pole Facebooki serverit näinud, keegi ei tea, kuidas see kõik seal töötab. Tavapäraselt on mõnes spetsifikatsioonis kirjas, et tegemist on ots-otsa krüpteerimisega, aga see ei pruugi nii olla või on see ots-ots-otsaga, aga mingite vigade või millegi muuga. Sellist asja on mõttekas kasutada siis, kui kardad, et inimene, kellele sa selle saatsid, proovib ühel hetkel midagi ette võtta.
Telegramil on mugav funktsioon isekustuvate intiimsete fotode saatmiseks: kui proovite teha ekraanipilti, kustutatakse see automaatselt. IPhone'is aga ilmus ekraanilt video salvestamise funktsioon ja saate ekraanilt videot salvestada ja nii edasi ... Nad lihtsalt saadavad mulle selle funktsiooniga materjale väga sageli (automaatne kustutamine) - ma ei saa kunagi aru miks. Saan kohe alla laadida! See on sinu otsustada.
Sotsiaalne reiting Hiinas: müüdid, tegelikkus, väljavaated
Sisse: - Kuritarvitan tegelikult natuke, kuigi ma ei vaja VPN-i (muide, meil on kinnitatud VPN). Küsimus eetika kohta. Meil on suurepärane sõber Kasahstanist, tõime ta ka loenguga. Kuidagi istusid nad temaga koos mingil konverentsil, kus räägiti erinevatest asjadest ja ta ütleb (ja ta tegeleb küberturvalisusega ehk puhtal kujul insener-turvalisusega, inimene, kes on huvitatud tehnilistest lahendustest): „Siin, ta naasis Hiinast. Nad teevad seal nii lahedat asja – sotsiaalne reiting. Muide, kas olete selle teema kohta midagi uurinud, kuidas see nende puhul toimib?
OH: – Müüme Venemaal skoori, tean sellest palju.
Sisse: - Nii et mul on küsimus, mida te selle kohta rohkem ütleksite - selle kohta, mida me kõik ehk tulevikus ootame. Aga teine küsimus eetika kohta. Ta ütles nii rõõmsalt: "Huvitav insenerlahendus!" Kas teil on oma eetikakoodeks?
OH: - Jah, muide, on olemas. Kaks aastat tagasi tutvustasime seda – vahetult pärast lugu Milonoviga otsustasime need projektid kuidagi järjestada. Reitingu juurde tagasi tulles: see on üks ülipopulaarseid küsimusi, sest meedia demoniseerib väga tugevalt kogu seda lugu – et inimesi ei lasta välismaale, neid tapab kuult laser. Toon teile taas inseneritööd ...
Kui hakkate sellesse loosse süvenema, vaadake, milliseid parameetreid see sotsiaalne reiting sisaldab, siis saate aru: see sisaldab kinniseid alimente, karistusregistrit, krediidiajalugu, ehk siis inseneri seisukohalt on tõesti vinge asi. Elad seadust rikkumata, elad hästi – nad annavad sulle laenult madala intressi. Sul on oluline sotsiaaltöö (näiteks õpetaja) – nemad annavad sulle sobiva eluaseme. Algul ajas see kõik segadusse, sest algul lekkis see jutt, et kui sa presidendist halvasti kirjutad, siis sinu reiting langeb. Kuigi tõendeid polnud. Reitingu kaitseks ütlen, reitingu vastu, et keegi pole algoritmi näinud, milliseid parameetreid seal tegelikult kasutatakse.
Siis ilmus lugu, et üle miljoni inimese ei lubatud välismaale, neil keelati lahkumine. Tegelikult pole see päris täpne sõnastus. Kui saate viisa (näiteks Euroopasse), antakse teile viisa hinnaga "70 eurot päevas" (midagi sellist); Kui sa sissetulekut tõendavat dokumenti ei esita, siis viisat ei saa. Hiinas otsustas kohalik välisministeerium minna veidi kaugemale: lihtsalt hoiatas kohe inimesi, kellel pole piisavalt raha, et kui tahad välismaale minna, siis raha ei jätku. Sellest lähtuvalt saadeti kõik see kontseptsioonile, et vaesed ei tohi välismaale minna. See on keeruline eetiline asi, piirneb teatud süü või süütuse presumptsiooniga, aga tegelikult ei oska ma hinnangut anda.
Inimesed tapavad, mitte relvad
Peamine asi, mida mõista, on see, et kõik need algoritmid, mida ühiskond hukka mõistab, pole algoritmide probleem. Algoritmid võimaldasid lihtsalt väga kiiresti analüüsida suurt “mahtu” inimesi ja see sotsiaalne probleem tõsteti tippu. See tähendab, et säutsudest õppinud ja rassistiks saanud Microsofti robot pole mitte roboti süü, vaid säutsudes, mida ta luges. Või ettevõte, kes otsustab praeguseid analüüsides ehitada ideaalse töötaja mudeli ja selgub, et tegu on valgenahalise, kõrgharidusega soo-mehega.
See ei ole modell – rassistlik, seksistlik või midagi muud; need on inimesed, kes need inimesed palkasid (neil oli õigus, nad eksisid - see pole oluline). Kõik piirneb lihtsalt sellega, et tehisintellekt on kuri, halb ja see hävitab maailma, aga tegelikult ... Kui tinglikult nüüd näiteks Venemaa valitsus võtab vastu seaduse, mis ütleb, et opositsionääridele ei anta tasuta haridust ja nad kirjutavad sinna tarkvara, mis tuvastab ja jätab nad sellest tasuta haridusest ilma - see pole algoritmi süü. Kuigi keegi ei toeta seda minu kontseptsiooni, sest - kui ma ütlen, et mitte relvad ei tapa inimesi, vaid inimesed - "sa oled fašist" jne.
Üldiselt on see tõesti väga lahe insenertehniline lahendus. Peate mõistma, miks see näiteks Venemaal ei juhtu. Teil [Valgevenes] seda ei ole, kuna olete Euroopa riik, teiega on kõik korras. Venemaal seda ei juhtu mitmel põhjusel: esiteks ei ole meil õiguskaitsesüsteemi suhtes sama palju usaldust kui Kitas; Meil ei ole sellisel tasemel digitaliseerimist. Miks see Hiinas õnnestus? Sest valitsus: neil on digitaalmeditsiin, digitaalne kindlustus, digitaalne politsei. Ja keegi tark mõtles: paneme kõik kokku ja teeme ära – tegelikult on see lojaalsusprogramm. Maiuspalasid on rohkem kui "mittehead".
Seega jah – ma arvan, et Venemaal seda ei juurutata. Kõigepealt peame digitaliseerima kogu tervishoiuministeeriumi (ja see on 50 aasta ülesanne) – keegi peab selleks oma elu andma, aga keegi seda loomulikult ei tee. Teisest küljest on Venemaa pangad inimeste punktiarvestuses maailma parimad, nad ei tee midagi: “Jah, mees? Kas sulle meeldivad noored tüdrukud? Siin on teie armukese krediitkaart. See on seal väga arenenud. Näiteks Ameerikas on selline skoorimine peaaegu kõikjal keelatud, sest seal on seadused, mille järgi pank on kohustatud sulle selgitama, miks: “Ahaa! Sest Social Data Hubi ettevõte hoiab ajalugu 10 aastat ja nüüd - see ja see andis teie kohta välja! Ja kaebame nii ühe kui teise kohtusse! Meil pole selliseid lugusid.
Miks statistikat maha surutakse?
Põhimõtteliselt pooldan punktiarvestust, kui see pole mingi "totalitaarne" jutt. Aga kogu asi on selles, et seda on võimatu ennustada, hinnata. See on suurandmete eetika kõige raskem lugu, et ennustada sotsiaalset mõju, mis seal 15 aasta pärast on. Näiteks anun ma väga kaua prokuratuuri, et ta avaks kuritegevuse kohta teavet. Kuritegevuse statistika on iga statistika üks alustalasid; kõik tõesti tahavad seda. Aga näiteks Venemaal ei avata kriminaalstatistikat väga lihtsal põhjusel: linnade sees kardetakse demograafiat segi ajada. Nad usuvad, et inimesed lõpetavad mõnes linnas elamise, isegi linna sees jagatakse kõik kuidagi ümber. Samal põhjusel ei avalikustata USE statistikat - saate ise aru, et osadesse koolidesse lähevad inimesed, mõnesse mitte.
Võib-olla on see õige, võib-olla mitte, kuid projekte oli palju ... Näiteks otsustas Yandex korraga (jällegi "kollaste" kuulujuttude järgi ma seda ei näinud, ma ei tea) lisada taksojuhtide vastu suunatud rünnakute arv kinnisvara prognoosimise mudelile , ehk mingi lähenemine kuritegevuse tasemele, lugedes kokku taksojuhtide kaebused, et keegi neid ahistas, ähvardas jne. Nad pöördusid kiiresti ettevõtte sees tagasi, et mitte selliseid asju teha.
Z: – Sa suhtled õpilastega, suhtled publikuga oma riigis, meie riigis. Publiku küsimuste arvust märkasite, et oleme alles selles arengujärgus, kui arvame, et vajame konfidentsiaalsust, et saame kellegi eest peitu pugeda, kaitsta oma andmeid ilma neid esitamata, varjamata, krüpteerimata. Kui Euroopa Liit on juba liikunud järgmisse etappi, privaatsuse staadiumisse, mis eeldab kontrolli andmete üle – sundida kõiki, kes teie andmeid koguvad, andma teile nende üle tõhus kontroll... Valimite järgi piirkondade, sotsiaalsete kihtide kaupa – mis kategooriatest kodanikud, inimesed, rohkem Kas see on juba teise astmesse kolinud või kes veel istub põhiliselt esimesel?
Kes on isikuandmete turvalisuse pärast kõige rohkem mures?
OH: - Üldine enamus ... ma ütleksin: kõik ei hooli! See erutab nüüd tippjuhte. Venemaa linnad on Moskva ja Peterburi. Aktiivne keskus on IT-spetsialistid, disainerid, loomingulised elukutsed, kõik, kes oskavad sisu filtreerida, omandada uusi teadmisi, kellel on suur huvi rahvusvaheliste probleemide vastu. Põhimõtteliselt on need tippjuhid; jah, IT-inimesed (arvestamata turvaspetsialiste); pankurid – ehk siis kõik inimesed, keda andmelekke kuidagi mõjutada võib.
Kui varastatakse näiteks mõne majaperemehe andmed mõnest Kalugast: on ebatõenäoline, et tema elus midagi tõsiselt muutub, kui keegi varastab temalt näiteks juurdepääsu gmailile, kus ta hoiab ligipääsu seriaalidele . Küsimus on selles, et seadus kaitseb kõiki võrdselt ja õigustatult, sest ... seaduse seisukohalt on kõik võrdsed - ha ha ... aga kõige tähtsam on see, et pole võimalik aru saada, kelle andmetest kui palju maksab kuni need andmed kaotsi lähevad – kahjuks on seda väga raske ennustada. Kuid enamasti see kodanike kategooria.
Telefon - fooliumis!
Ainus kord oma elus nägin kahes ettevõttes kõike ja kõike täielikku ladustamist. Üks on suurim infoturbe integraator: kõik, kuni USB-ni, on liimiga kontoris sees liimitud; ja inimesed käivad seal samamoodi - kohtasin seal meest, kellel on telefon fooliumkotis. Sain teada, et on firmasid, kes müüvad selliseid spetsiaalseid kotte. Ja teist korda nägin sarnast lugu Bloombergis töötajate seas: seisime suitsuruumis ja keegi tegi kuskil pilte ja üks neist - "Nii, et meid seal taustal näha ei olnud!" Ma olen nagu "Oh vau!"
"Oleme paremad kui FSB"
Ma ei tahaks öelda, et see on alla ühe protsendi elanikkonnast, kuid kahjuks ei huvita üldiselt peaaegu kõiki. Kuid teisest küljest on mul skandaalne alaealiste tegude jälgimise teenus (käivitasime selle juba ammu loosungi all “Oleme paremad kui FSB”), et hoiatada lapsevanemat, et alaealine ajab prügikasti, enne kui meie oma algoritm, installitud kuhu - midagi seal, keegi saadab talle.
Lapse kontrollimisel tuleb saata passi skaneering (see on põhimõtteliselt tavaline praktika), aga kirjutasime, et võid passi numbri ära lõigata, sest meid see ei huvita; meid huvitab ainult teie foto, hologramm ja eesnimi. Ja peaaegu 100% inimestest – noh, umbes 95 passist 100st – lõikasid Photoshopis need numbrid hoolikalt välja ja saatsid ainult õige osa. See tähendab, et nad said aru - jah, kui neil pole seda vaja, siis pole neil vaja seda saata. Minu arvates on see mingi reaalne edasiminek, milleni neid ajendas umbusk meie vastu.
Z: - Valik on nii kindel. On inimesi, kes kandideerivad, nad on juba edasijõudnud.
Inimesed ei taha, et neid järgitaks, aga nad ei loe lepinguid.
OH: - Jah. Ja teine on sama: käivitasime selle aasta lõpus tutvumisrakenduse (taaskäivitame selle varsti). Seal oli 100 15 inimesest koosnev kontrollrühm. Ja seal oli GDPR-i lähenemisviiside kohaselt minu kontol 98 märkeruutu – annan loa analüüsida interaktsiooni liidesega, pääseda juurde oma demograafilistele andmetele, pääseda juurde 2D-näo rekonstrueerimisele, pääseda juurde oma isiklikele sõnumitele jne. Oleme maksimaalselt värvinud igasugused ligipääsud. Isegi kuskil on statistika, kes mille linnukese ära tegi. XNUMX% jätsid kõik märkeruudud vaikimisi märgituks (vaatamata sellele, et nad läksid sellele lehele ja nägid seda kõike, kuid nad ei pannud pahaks), kuid need XNUMX% olid huvitav analüüsida, mis on inimeste jaoks prioriteet.
Kõik eemaldasid privaatsõnumitele juurdepääsu loa ja peaaegu kõik eemaldasid sootesti andmetele juurdepääsu loa (mis neile seal meeldib, mida nad seal täitsid, nende perverssused - nalja teeb). Kuid inimesed löödi sellesse sisse, torgati: liides ütleb neile – lugege see hoolikalt läbi, see võimaldab selle lepingu lõpuni kerida. Kuid seda tehti ainuüksi sellepärast, et tegemist oli uurimisprojektiga ja kõiki hoiatati. Ükski ettevõte, kaasa arvatud meie, ei sunni selle rakenduse avalikkusele avaldamisel inimest seda sõnumit lõpuni lugema, sest ... no vabandust, nii see käib.
Eeldusel, et nad tulid meie juurde teades, mida ettevõte teeb, teades, et nad läksid teenusesse, mis soovitab teile kandidaate selle põhjal, milline porno teile meeldib - isegi selle põhjal loeb neid linnukesi ainult 2% ja üldiselt midagi teinud. Ja siis ei eemaldanud peaaegu ükski neist märkeruudust "Juurdepääs liiklusele ja andmetele teiste veebilehtede külastamise kohta". Põhimõtteliselt olid kõik mures privaatsõnumite pärast.
Alastiolek ja meeldimiste maandumine – huvitavad vennasvabariikide seadused
Z: – Mul on andmekaitseküsimus. Sa võid telefoni fooliumis kanda, teeselda, et neid polekski... Siis tuleb välja, et nagu salvestad, salvestad, aga siis pead oma andmed riigile andma, sest see nõuab sinult ja sina lihtsalt ei saa... Ja siis selgub, et riigitöövõtjad on kõik auke täis. Ja Valgevenes kehtib endiselt selline reegel: kui ma kontrollin oma isikuandmete turvalisust (parandan midagi ja saan sellele juurdepääsu), siis saan kohe kurjategijaks. Sama artiklit kasutati ka "BelTa juhtumi" ajakirjanike süüdistamiseks andmetele volitamata juurdepääsu hankimises (saate seda ise lugeda). Siit oma ja küsimus: kas sellised piirangud on tõhus meede privaatsusele, üldiselt eraandmete turvalisusele?
OH: - Ma saan aru. Valgevenes on palju väga huvitavaid seadusi. Sain just hiljuti teada... Ma teen nalja alastuse ülekandmise üle, aga selgub, et sina oled keelatud.
Z: - Meeleavaldus keelatud!
OH: - See on kuidagi imelik.
Z: - Saate vaadata, te ei saa edastada, teile ei saa meeldida. Te ei saa koos vaadata!
OH: - Ma vastan teie küsimusele. Tulen tagasi teema juurde, mis puudutab "meeldimiste eest istumist" Moskvas. Venemaal on see teema number üks. Ma ei tea, kuidas Valgevenes on, aga ausalt öeldes riik... Kui analüüsida statistikat, siis Moskvas on 95 meeldimise maandumist 100-st see, kui inimesed kaebasid inimeste peale, keegi kirjutab prokuratuurile teise asja kohta. isik. Riik algatab selliseid juhtumeid väga harva. Mulle tundub, et see seadus on täiesti absurdne. Ma ei tea ühtegi tõelist kurjategijat, kes selle eest vangi oleks sattunud. Kuid seda mõõdet kasutatakse inimesele vähemalt millegi omistamiseks. Mulle tundub, et see on kõige kummalisem. Ma arvan, et millalgi see tühistatakse.
Z: - Seda nimetatakse kapoti all hoidmiseks.
OH: - Noh, okei... ma ei oska öelda. Ma ei ole just riigi pooldaja, aga minu arusaama muudavad veidi inimesed, kes tulevad meie juurde ja ütlevad: "Mu laps on kadunud, aidake see leida." Ma ütlen: "Ma ei saa midagi teha ilma kohtu loata." Vaatad neid vanemaid, kes annaksid oma elus kõik, nad annaksid igasuguse juurdepääsu mis tahes andmetele – lihtsalt selleks, et oma probleemi lahendada. Seetõttu on mul väga raske sellist diskussiooni läbi viia: ühest küljest usun, et riik teeb õigesti, kui ta mõne päris inimese tabab, ja teisest küljest on kontrollimatu ligipääsu andmine üldiselt kohutav lugu.
Ma pöördun tagasi teie asja juurde, "vabandan", et häirisin. Ma ei usu fooliumkottidesse üldse. Mobiiltelefoni omamine ja selle kilesse mähkimine on kuidagi rumal. Miks seda teha? Selle nimel, et telefon ei ühendaks Wi-Fi-ga? Lihtsam on see välja lülitada. Et mobiilioperaator teid ei tuvastaks? Nii et nad saavad signaali ikkagi kolmepoolseks muuta, selle kuidagi arvutada. Minu jaoks on ainsad tõhusad turvameetmed ladustamine, kaitstud, nagu kohtvõrk - võib-olla korteris, kus saate midagi hoida.
Z: - See on seaduse küsimus. Kas seadusandlus on karistav isiku suhtes, kes soovib oma andmeid kontrollida?
OH: - Ma saan aru, jah. Ma isegi ei teadnud sellest asjast, nii et ma ei saa teile täpselt öelda. Venemaal sellist asja pole, kuigi seal on kõik väga raske. Tõenäoliselt saate konsulteerida kvalifitseeritud juristidega ja võib-olla on mingi lünk - äkki esitage see mõnele Euroopa Kohtule ... Ei? Ma ei saa sulle sellest rääkida. Minu teadmised õigusest on pealiskaudsed, ettevõtte juhi tasemel. Ma tean, mida mitte teha, kui keegi sulle midagi ei ütle. See on muidugi väga kurb.
Z: - Ma pean silmas seda, et teistes riikides (näiteks osariikides) on tavaline praktika, et saate mingit haavatavust testida ja seejärel deklareerida, kuid mitte avaldada.
OH: Jah, bug bounty. Ma saan aru, et on olemas.
Z: "Ja ettevõtetel pole mehhanismi, mis teid välja viiks, sest see on odavam.
OH: “See asi piirneb ka seaduse tasandil. See sõltub sellest, kuidas te selle haavatavuse leiate. Mulle tundub, et suur osa Ameerikas selle haavatavuse eest makstud rahast maksti mitteavaldamise lepingu alusel ja ähvarduste alusel selle inimese kohtusse kaevata. See on nagu küünalt käes hoidmine. Me riskime alati sellise asjaga. Minu töötajad on paar korda leidnud sarnaseid nõrku kohti kõikvõimalikes valitsuse rakendustes – ma ütlen alati: "Parem on saata anonüümkiri, kui öelda, et auk on seal." Ja siis tuleb mingi uurimisinstituut, kes selle teenuse osutas... Üldiselt ma edasi ei jätka.
Ettevõtte aususe kontrollimine ei toimi: kui see teile ei meeldi, ärge seda kasutage
Z: - Küsimus. Ütlesite, et tegite katse - 15 märkeruutu tuli märkida ... Oletame, et kasutaja tühistab kõik märkeruudud. Kes ja kuidas seda kontrollima hakkab? Kuidas seda üldse kontrollida?
OH: - Ausalt, ma ütlen teile: mitte keegi ja mitte midagi. Tõsiselt. See, et te märkisite Google'is kasti "Reklaami jälgimise keeld" ja eemaldasite linnukese, ei tähenda veel midagi. Kahjuks isegi siis, kui keelate Vkontakte'is otsingumootorite indekseerimise, indekseerivad otsingumootorid selle ikkagi ja siis lihtsalt ei anna neid tulemusi teatud inimestele. See kõik puudutab pädevate asutuste puudumist, kes ei suuda seda kontrollida. Lisaks on seda tegevad ettevõtted eraettevõtted. Facebookil on õige või vale seisukoht, neil on ainult üks: kui ei meeldi, ära kasuta.
Reguleerimisest
Z: Mul on ainult üks lihtne küsimus. Ja kuidas suhtute andmetöötluse regulatsiooni, eneseregulatsiooni teemasse?
OH: - Mina kui ettevõtte esindaja leian, et turg, ettevõtlus vajab iseregulatsiooni. Usun, et suurandmete ühendus suudab kõike ise reguleerida, ilma riigita. Ma tõesti ei usalda valitsuse regulatsiooni ja tõesti ei usalda kõiki lugusid, kui riik tahab midagi alles jätta, sest iga juhtum näitas, et see on väga halb. Kindlasti kleebib keegi sisselogimise ja parooli monitori kollasele kleebisele jne.
Üldiselt usun ma iseregulatsiooni. Lisaks usun, et järgmise 5 aasta jooksul jõuame teatud avatuseni. Ka praegu on seda juba uudislugudes näha, et riigil on väga raske kasutajatele valetada, kasutajatel on väga raske süsteemile valetada. Ja see on põhimõtteliselt ilmselt hea. Kuna meie luureohvitserid on arvutatud avalike fotode järgi
Kõik see toob kaasa kuritegevuse taseme languse. No puhtalt matemaatiliselt. Kui kellelgi on huvi kuritegevuse taseme vähendamisest rääkida, siis sealt võib teha palju igasuguseid järeldusi. Üldiselt pooldan ma turu iseregulatsiooni. Aitäh!
Mõned reklaamid 🙂
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, , algtaseme serverite ainulaadne analoog, mille me teie jaoks leiutasime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2x odavam Amsterdami Equinixi Tier IV andmekeskuses? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com