« Quelles entreprises ont exploité votre vie privée », Artur Khachuyan (Tazeros Global)

Journée de la protection des données personnelles, Minsk, 2019. Organisateur : organisation de défense des droits de l'homme Human Constanta.

En tête (ci-après - B) : – Artur Khachuyan est engagé dans… Peut-on dire « du côté obscur » dans le cadre de notre conférence ?

Artur Khachuyan (ci-après - AH) : Du côté des entreprises, oui.

В: « Il collecte vos données et les vend aux entreprises.

OH: - Pas vraiment…

В: « Et il vous dira exactement comment les entreprises peuvent utiliser vos données, ce qu’il advient des données lorsqu’elles sont mises en ligne. Il ne vous dira probablement pas quoi en faire. Nous réfléchirons plus loin...

OH: - Je vais te le dire, je te le dirai. En fait, je ne vous le dirai pas avant longtemps, mais lors de l’événement précédent, j’ai été présenté à une personne à qui Facebook avait même bloqué le compte du chien.
Salut tout le monde! Je m'appelle Arthur. Je traite et collecte vraiment des données. Bien entendu, je ne vends aucune donnée personnelle à quiconque appartenant au domaine public. Blague. Mon domaine d'activité est l'extraction de connaissances à partir de données qui se trouvent en sources ouvertes. Lorsque quelque chose ne constitue pas légalement une donnée personnelle, mais que des connaissances peuvent en être extraites et lui donner la même importance que si ces données étaient obtenues à partir de données personnelles. Je ne dirai rien de vraiment terrible. Mais ici, concernant la Russie, mais aussi la Biélorussie, j'ai aussi des chiffres.

Quelle est la véritable échelle ?

Avant-hier encore, j'étais à Moscou dans l'un des principaux partis au pouvoir (je ne dirai pas lequel) et nous avons discuté de la mise en œuvre d'un projet. Et cela veut dire que le directeur informatique de ce parti se lève et dit : « Vous avez dit, chiffres et ainsi de suite, vous savez, la 2e direction du FSB m'a préparé ici une note, qui dit qu'il y a 24 millions de Russes dans les réseaux sociaux. réseaux. Et vous dites - 120 avec quelque chose. En fait, nous avons plus de trente [millions] de personnes qui n’utilisent pas Internet. » Je dis oui? D'ACCORD".

Les gens ne comprennent pas vraiment l'échelle. Ce ne sont pas nécessairement des agences gouvernementales, qui ne comprennent probablement pas bien comment fonctionne Internet, mais en fait ma mère, par exemple. Elle commence seulement maintenant à comprendre qu'elle reçoit une carte à Perekrestok pour une raison, non pas pour les misérables réductions qu'offre ce Perekrestok, mais pour le fait que plus tard ses données sont utilisées dans l'OFD, les achats, les modèles prédictifs, etc. .

En général, il y a tellement de résidents et il existe des informations sur un grand nombre dans des sources ouvertes. On ne connaît que le nom de famille de quelqu'un, on sait tout de quelqu'un, jusqu'au porno qu'il aime (je plaisante toujours à ce sujet, mais c'est vrai) ; et toutes sortes d'informations : à quelle fréquence les gens voyagent, qui ils rencontrent, quels achats ils font, avec qui ils vivent, comment ils se déplacent - beaucoup d'informations de toutes sortes que les méchants, les moins méchants et les gentils peuvent utiliser (Je ne sais même pas quelle échelle trouver pour le moment, mais néanmoins).

Il existe des réseaux sociaux qui, bien sûr, constituent un ensemble géant de données ouvertes, jouant sur les faiblesses des gens qui crient au respect de la vie privée. Mais en réalité, si vous imaginez un graphique des 5 dernières années, le niveau d’hystérie autour des données personnelles augmente, mais en même temps, le nombre de comptes de réseaux sociaux fermés diminue d’année en année. Il n'est peut-être pas tout à fait correct d'en tirer des conclusions, mais : la première chose qui arrête toute entreprise qui collecte des données est un compte bêtement fermé sur les réseaux sociaux, car l'opinion d'une personne à l'intérieur de son compte fermé, si elle n'a pas 100 des milliers d'abonnés, ce n'est pas vraiment très intéressant pour une sorte d'analyse ; mais il existe aussi de tels cas.

Où obtiennent-ils des informations sur nous ?

Avez-vous déjà été agressé par vos anciens amis d'école, avec qui vous n'avez pas communiqué depuis longtemps, puis ce compte a disparu ? Il y a une telle chose parmi les méchants qui collectionnent les téléphones : ils analysent les amis (et la liste d'amis est presque toujours ouverte, même si une personne ferme son profil, ou la liste d'amis peut être restaurée « dans le sens inverse » en rassemblant tous les autres utilisateurs), ils prennent votre ami inactif, font une copie de sa page, frappent sur votre ami, vous l'ajoutez et au bout de deux secondes le compte est supprimé ; mais en même temps une copie de votre page est restée. Ainsi, en fait, les gars l'ont fait récemment, lorsque 68 millions de profils de Facebook se sont envolés quelque part - ils ont ajouté à peu près la même chose à tout le monde en tant qu'amis, copié ces informations, ont même écrit à quelqu'un dans des messages personnels, ont fait quelque chose...

Les réseaux sociaux sont une énorme source d'informations, dans près de 80% des cas, les informations sur une personne en particulier sont obtenues non pas directement, mais de l'environnement immédiat - il s'agit de toutes sortes de connaissances indirectes, de signes (nous l'appelons l'algorithme "Evil ex" ), parce qu'un de mes amis m'a poussé à cette idée absolument géniale. Elle n'a jamais suivi son petit ami – elle a toujours suivi ses cinq amis et a toujours su où il était. C’est en fait une raison pour écrire un article scientifique entier.

Il existe un grand nombre de robots qui font également toutes sortes de bonnes et de mauvaises choses. Il y en a des inoffensifs qui s'abonnent bêtement à vous pour vous faire de la publicité pour des cosmétiques plus tard ; mais il existe des grilles sérieuses qui tentent d'imposer leur opinion, surtout avant les élections. Je ne sais pas comment ça se passe en Biélorussie, mais à Moscou, avant les élections municipales, pour une raison quelconque, j'avais un grand nombre d'amis incompréhensibles, et chacun fait campagne pour un candidat différent, c'est-à-dire qu'ils ne le font absolument pas analysez le contenu que je consomme - ils essaient simplement d'imposer une réforme incompréhensible, en tenant compte du fait que je ne suis pas du tout inscrit à Moscou et que je n'irai pas voter.

Les déchets - une source d'informations dangereuses

De plus, il y a Thor, qui n'est pas vraiment sous-estimé : tout le monde pense qu'il suffit d'y aller pour acheter de la drogue ou découvrir comment sont fabriquées les armes. Mais en réalité, il existe de nombreuses sources de données. Presque tous sont illégaux (presque légaux), car quelqu'un pourrait pirater la base de données des transporteurs aériens sur un site de pirate informatique et les y jeter. Légalement, vous ne pouvez pas utiliser ces données, mais si vous en tirez certaines connaissances (comme devant un tribunal américain), par exemple un enregistrement d'une conversation audio réalisé sans mandat, vous ne pouvez pas les utiliser, mais les connaissances que vous avez reçues de cet enregistrement audio, vous vous ne l'oublierez pas, et ici c'est à peu près pareil.

C'est en fait une chose très dangereuse, alors je plaisante toujours, mais c'est vrai. Je commande toujours de la nourriture à côté, car le Delivery Club tombe très souvent en panne et il y a vraiment de tels problèmes. Et récemment, j'ai été très surpris : j'ai commandé des produits d'épicerie, et sur la boîte que j'ai emportée à la poubelle, un autocollant a été collé sur lequel il est écrit « Artur Khachuyan », numéro de téléphone, adresse de l'appartement, code d'interphone et e-mail. En fait, nous avons même essayé de négocier avec la municipalité de Moscou pour donner accès à la décharge : en général, venir à la décharge et essayer, par simple intérêt, d'essayer de trouver une mention de données personnelles - faire quelque chose comme une mini-recherche. Mais nous avons été refusés lorsqu'ils ont découvert que nous voulions venir avec des employés de Roskomnadzor.

Mais c’est effectivement le cas. Avez-vous vu le film génial "Hackers" ? Ils fouillaient les poubelles pour trouver une partie du virus. C'est aussi une chose populaire : lorsque les gens jetaient quelque chose dans des sources ouvertes, ils l'oubliaient. Il pourrait s'agir d'un site scolaire où ils ont rédigé leur thèse sur la suprématie blanche, puis ils sont allés à la Douma d'État et l'ont oublié. De tels cas se sont réellement produits.

Qu’est-ce que les gens de Russie Unie aiment ?

Si vous allez sur le « topchik » sur le site Lifenews... Les étudiants ont fait une étude pour moi il y a deux ans : ils ont pris tous les participants aux primaires de Russie unie (ils ont tous officiellement soumis leurs comptes de réseaux sociaux à la Centrale panrusse Comité Exécutif), ont regardé ce qu'ils aiment en général - le porno enfantin, le thrash, les publicités obscures de femmes adultes étranges... En général, les gens l'ont en quelque sorte oublié.

Puis ils ont écrit une lettre indiquant que vingt personnes avaient vu leurs comptes volés. Mais leurs comptes ont été volés il y a deux semaines, ils les ont soumis à la commission électorale il y a 8 mois, et les likes l'étaient il y a deux ans... En général, vous comprenez, non ? Il existe une quantité énorme d’informations qui peuvent toujours être utilisées même à des fins de recherche.

Minioftopchik : hier, j'ai appris que Roskomnadzor avait bloqué les études des étudiants de la « tour » il y a deux ans. Peut-être que quelqu'un a vu cette nouvelle, non ? Ce sont mes étudiants qui ont fait la recherche : ils venaient de Tor, du site Hydra où les médicaments sont vendus (désolé, de Rampa), ils ont collecté des informations sur combien, quoi, dans quelle région de Russie cela coûte, et ils ont fait la recherche. recherche. On l'appelait "le panier du consommateur d'un fêtard". Ceci, bien sûr, est une chose amusante, mais du point de vue de l'analyse des données, l'ensemble de données est en fait intéressant - puis pendant encore deux ans, j'ai participé à toutes sortes de "hackathons". C’est une chose réelle – il y a beaucoup de choses intéressantes là-bas.

Comment Get Contact a « acheté les âmes » des utilisateurs curieux et pourquoi vous devez lire les conditions d'utilisation

Habituellement, lorsque vous demandez à une personne de quel type de fuite de données vous avez peur (surtout si une personne a enregistré une webcam), elle donne toujours la structure prioritaire comme celle-ci : les pirates informatiques, l'État, les entreprises.

C'est bien sûr une blague. Mais en fait, les analystes de données actifs, toutes sortes de data scientists ont volé bien plus que, me semble-t-il, des Russes, des Américains ou d'autres pirates effrayants (remplacez-les par n'importe lequel, selon vos convictions politiques). En général, tout le monde a peur de cela : avez-vous tous votre webcam enregistrée ? Vous ne pouvez même pas lever la main.

Mais si les pirates informatiques font quelque chose d'illégal et que l'État a besoin d'une ordonnance du tribunal pour obtenir les données, alors ces derniers [entreprises] n'ont besoin de rien du tout, car ils ont un accord d'utilisation que personne n'a jamais lit. Et j’espère vraiment que de tels événements obligeront encore les gens à lire les accords. Je ne sais pas comment cela s'est passé en Biélorussie, mais à Moscou, au milieu de cette année-là, il y a eu une vague de l'application GetContact (vous le saviez probablement), lorsqu'une application est apparue de nulle part qui dit : donnez à l'application l'accès à tous vos contacts, et nous vous montrerons à quel point vous avez été enregistré de manière amusante.

Cela n’a pas fait surface dans les médias, mais beaucoup d’employés de haut rang se sont plaints auprès de moi du fait que tout le monde commençait à les appeler tout le temps. Apparemment, les administrateurs ont décidé de trouver le téléphone de Shoigu dans cette base de données, quelqu'un d'autre... Volochkova... Une chose inoffensive. Mais ceux qui lisent le contrat de licence GetContact - il dit : spam en quantité illimitée pour une durée illimitée, ventes incontrôlées de vos données à des tiers, sans restriction de droits, délai de prescription, et en général tout ce qui est possible. Et ce n’est en fait pas une histoire si rare. Voici Facebook pour moi, pendant que j'y étais, il affichait des notifications 15 fois par jour : « Et synchronise tes contacts, et je te retrouverai tous tes amis que tu as ! ».

Les entreprises s’en moquent. Loi fédérale 152 et RGPD

Mais en réalité, les priorités vont dans la direction opposée, car les entreprises sont protégées par le droit privé et il est donc dans presque tous les cas impossible de prouver qu'elles ont tort. Et étant donné que c’est grand, effrayant et très cher, c’est presque impossible. Et si vous êtes également en Russie, avec une législation obsolète, alors tout est complètement triste.

Savez-vous en quoi la loi russe (et elle est pratiquement biélorusse) diffère, par exemple, du RGPD ? La 152e loi fédérale russe protège les données (il s'agit d'une relique du passé soviétique) - un document qui protège les données contre toute fuite quelque part. Et le RGPD protège les droits des utilisateurs - le droit qu'ils perdent certaines libertés, privilèges ou autre chose, parce que leurs données fuiront quelque part (ils ont introduit un tel concept directement dans le « data-li »). Et nous avons tout ce qu'ils peuvent vous facturer - une amende pour ne pas avoir de "open" certifié - "Excel" pour le traitement des données personnelles. J'espère que cela changera un jour, mais je ne pense pas que ce sera le cas de si tôt.

Quelles sont les véritables opportunités de ciblage aujourd’hui ?

La première histoire, probablement effrayante, à laquelle tout le monde pensait constamment était la lecture de messages privés. Il y a sûrement une personne parmi vous qui a déjà dit quelque chose à voix haute et qui a ensuite reçu une publicité ciblée. Oui, y en avait-il ? Levez vos mains.

Je ne crois vraiment pas à l'histoire selon laquelle le Yandex Navigator conditionnel reconnaît l'audio direct dans le flux pour tous les utilisateurs, car ceux qui ont un peu rencontré la reconnaissance vocale comprennent que : premièrement, le centre de données Yandex » devrait être cinq fois plus ; mais surtout, le coût pour attirer une telle personne coûterait très cher (afin de reconnaître l'audio dans le flux et de comprendre de quoi la personne parle). Mais! En réalité, il existe des algorithmes qui vous taguent pour certains mots-clés afin de réaliser ensuite une sorte de communication publicitaire.

Il y a eu beaucoup de telles études, et j'ai fait des comptes clairs 100 fois, j'ai écrit quelque chose à quelqu'un dans des messages, puis j'ai soudainement reçu une publicité qui semblait n'avoir rien à voir avec cela. Il y a en fait deux conclusions ici. Contre une telle histoire, on pense qu'une personne tombe simplement dans une sorte d'échantillon statistique ; Disons que vous êtes un homme de 25 ans qui, à ce moment précis, aurait dû suivre des cours d'anglais juste au moment où vous écrivez à quelqu'un. Au moins, Facebook le dit toujours devant les tribunaux : il existe un certain modèle de comportement que nous ne vous montrerons pas, qui a été construit sur des données que nous ne vous montrerons pas, nous avons des recherches internes que nous ne vous montrerons certainement pas ( parce que tout est un secret commercial) ; en général, vous appartenez à un certain échantillon statistique, nous vous l'avons donc montré.

Comment Facebook a énervé la vie privée des utilisateurs

Malheureusement, cela est généralement impossible à prouver s'il n'y a pas de personne au sein de l'entreprise qui confirmera d'une manière ou d'une autre ces actions. Mais en droit américain, dans ce cas, l'accord de non-divulgation de cet employé est supérieur à son désir de vous aider, donc personne ne le fera. Il est également intéressant - c'était il y a environ un an ou un an et demi - une tendance a commencé à se développer en Amérique, lorsque les gens ont installé une extension de navigateur pour crypter les messages Facebook : vous écrivez quelque chose à une personne, elle le crypte avec une clé sur l'appareil et l'envoie aux ordures en libre accès.

Par exemple, Facebook poursuit cette société depuis un an et demi, et on ne sait pas pour quels motifs (car je ne connais pas bien le droit américain) l'a forcé à supprimer cette application et a ensuite apporté une modification au contrat d'utilisation. : si vous regardez, il existe une telle clause, selon laquelle vous ne pouvez pas transmettre de messages sous forme cryptée - elle est en quelque sorte si astucieusement décrite ici que vous ne pouvez pas utiliser d'algorithmes cryptographiques pour modifier les messages - eh bien, une telle chose existe. Autrement dit, ils ont dit : soit vous utilisez notre plateforme, soit vous écrivez dans le domaine public, soit vous n’écrivez pas. Et cela soulève la question : pourquoi ont-ils besoin de messages privés ?

Les messages privés sont une source d'informations XNUMX% fiables

Voici une chose très simple. Tous ceux qui analysent l'empreinte numérique, l'activité humaine, essaient d'utiliser ces données d'une manière ou d'une autre à des fins de marketing ou autre - ils disposent d'une mesure telle que la fiabilité. C'est-à-dire une certaine image d'une personne - vous comprenez très bien, ce n'est pas une personne elle-même - cette image est toujours un peu plus réussie, un peu meilleure. Les messages privés sont de véritables connaissances que l'on peut obtenir sur une personne, ils sont presque toujours fiables à 100%. Eh bien, parce que rarement quelqu'un écrira quelque chose à quelqu'un dans des messages privés, trompera, et tout cela est très facile à vérifier - respectivement, selon d'autres messages (vous comprenez de quoi je parle). L’essentiel est que les connaissances ainsi extraites sont fiables à presque 100 %, donc tout le monde essaie toujours de mettre la main dessus.

Mais néanmoins, c’est encore une fois une histoire très difficile à prouver. Et ceux qui croient que le "Vkontakte" conditionnel dispose d'un tel accès des forces de l'ordre aux messages personnels - ce n'est pas tout à fait vrai. Si vous regardez simplement l'historique des demandes judiciaires de divulgation d'informations, vous verrez comment Vkontakte (dans ce cas, Mail.ru) combat très intelligemment ces demandes.
Ils ont toujours l'argument principal : selon la loi, les forces de l'ordre doivent expliquer pourquoi l'accès aux messages personnels est nécessaire. En règle générale, s'il s'agit d'un meurtre, l'enquêteur dit toujours que la personne a probablement indiqué où elle avait caché l'arme (dans des messages privés). Mais vous et moi comprenons qu'aucun criminel sensé n'écrira jamais à ses complices sur Vkontakte pour savoir où il a caché les armes à feu. Mais c’est l’une des options les plus courantes signalées par les responsables.

Et voici un autre exemple aussi terrible (on m'a demandé de donner des exemples terribles aujourd'hui) - concernant la Russie (j'espère que cela n'arrivera pas en Biélorussie) : selon la loi, l'enquêteur doit avoir des raisons suffisamment bonnes pour que l'opérateur divulgue cette information . Naturellement, ces paramètres fiables ne sont décrits nulle part (quoi, sous quelle forme ils devraient l'être), mais en Russie, il existe désormais un nombre croissant de précédents où une telle base apparaît au tribunal s'il existe un certain modèle qui prédit un certain, bon ou mauvais, comportement.

Autrement dit, dans notre pays, personne ne peut être emprisonné (et c'est une bonne chose) pour avoir été inclus dans un échantillon statistique de meurtriers de race pure - et c'est une bonne chose, car cela viole la présomption d'innocence ; mais il existe des précédents où les résultats de telles prévisions ont été utilisés pour obtenir une autorisation judiciaire pour des données. Pas seulement en Russie, d’ailleurs. En Amérique, cela existe aussi. Là-bas, le Palantir bat aussi tout le monde depuis longtemps, de telles choses sont utilisées. Conte effrayant.

C'est ma recherche. Nous avons fait ceci : nous nous sommes promenés dans Saint-Pétersbourg, aux endroits marqués de points verts, nous avons écrit quelques points clés à des amis issus de comptes « propres » - comme « Je veux boire du café », « où puis-je acheter de la lessive ? et ainsi de suite. Et puis, en conséquence, ils ont reçu de la publicité géoréférencée. D'une manière magique... Ou comme on disait : « Coïncidence ? Ne réfléchis pas!" Ce sont des messages personnels sur Vkontakte. Pardonnez-moi Mail.ru, mais c'est vrai. N’importe qui peut répéter cette expérience.

À propos, lorsqu'ils ont écrit une déclaration de soutien, Mail a déclaré qu'il y avait des points Wi-Fi qui capturaient votre adresse coquelicot. Il existe aussi une telle chose.

Méthodes d'obtention et options courantes pour « drainer » les données personnelles

L'histoire suivante est l'extraction de connaissances supplémentaires, dont j'ai effectivement touché un élément. En fait, le profil d'une personne complété sur les réseaux sociaux contient en réalité 15 à 20 % des connaissances réelles que l'opérateur de données stocke à son sujet. La suite de l'histoire vient de choses très intéressantes. Pourquoi pensez-vous que Google développe autant de bibliothèques pour la vision par ordinateur ? En particulier, ils ont été parmi les premiers à développer des bibliothèques permettant d'analyser et de catégoriser réellement les objets - en arrière-plan, au premier plan, n'importe où. Parce qu'il s'agit d'une énorme source d'informations supplémentaires sur le type d'appartement dont dispose une personne, une voiture, où elle habite, des produits de luxe...

Il y a eu un tas de trucs de « hackers » lorsque les réseaux neuronaux formés de Google ont fusionné (je ne sais pas de qui il s'agissait, mais néanmoins). Il y avait beaucoup de choses intéressantes sur la taille de la poitrine, le tour de taille - que seuls les gens n'essayaient pas de découvrir sur d'autres personnes sur la base de l'analyse de photographies. Parce que lorsqu’une personne prend une photo, elle ne pense pas toujours aux choses intéressantes que l’on peut en tirer ? Et combien de passeports pour nouveau-nés existe-t-il en Russie ?.. Ou : « Hourra, mon bébé a obtenu un visa » ! C’est généralement la douleur de la société moderne.

Un tel hors-sujet (aujourd'hui je partagerai des faits avec vous) : à Moscou, la fuite de données personnelles la plus fréquente concerne le logement et les services communaux, lorsqu'une liste de débiteurs est accrochée à la porte, et ces débiteurs poursuivent ensuite en justice parce que leurs données personnelles ont été en libre accès sans leur autorisation. Et si cela vous arrivait... L'essentiel est que lorsqu'une personne fait quelque chose, elle ne sait pas ce qu'il y avait sur cette photo, ce qui ne l'était pas. Il existe désormais de nombreux numéros de voitures.

Nous avons déjà mené une étude - nous avons essayé de comprendre combien de personnes avaient des photos de voitures ouvertes (elles ont respectivement des infractions, etc.) - cela, malheureusement, n'a pu être fait qu'en utilisant les bases de données fusionnées de la police de la circulation, où il n'y a qu'un numéro (information peu fiable), mais c'était aussi intéressant.

Votre prochaine annonce dépend de la façon dont vous avez « consommé » la précédente.

C'est la première histoire. La deuxième histoire concerne les modèles de comportement, le contenu qu'une personne consomme, car l'une des mesures les plus importantes que les réseaux sociaux tentent de construire à votre sujet est la façon dont vous interagissez avec les publicités. Peu importe à quel point les algorithmes sont précis et « géniaux », peu importe à quel point les intelligences artificielles et tout le reste fonctionnent, la véritable priorité d’un réseau social est toujours de gagner de l’argent. Par conséquent, si le conditionnel « Coca-Cola » vient et dit : « Je veux que tous les habitants de Biélorussie voient mon message », ils le verront, peu importe ce que les algorithmes pensent de cette personne, comment la cibler là-bas. Vous avez probablement reçu des publicités, en plus des super-super-ciblées, des bêtises totalement indépendantes. Parce que beaucoup d’argent a été payé pour ces absurdités sans rapport.

Mais l’un des principaux indicateurs est de comprendre avec quel contenu vous interagissez le mieux, à savoir comment vous y réagissez afin de vous montrer une histoire publicitaire similaire. Et par conséquent, il s'agit d'une mesure de la façon dont vous interagissez avec la publicité : qui l'interdit, qui ne le fait pas, comment une personne clique, si elle lit uniquement les titres ou s'immerge complètement dans le matériel ; et ensuite, sur cette base, continuez à vous maintenir dans cette « bulle de filtre », comme on l'appelle désormais, afin que vous puissiez continuer à interagir avec ce contenu.

Si soudainement vous êtes intéressé, vous essayez pendant longtemps, dans une semaine, peut-être un mois, de bannir simplement toutes les publicités des réseaux sociaux d'affilée : on vous montre une sorte d'annonce - vous la fermez. Si vous analysez cela et le mettez sur un graphique, vous obtiendrez une histoire intéressante : si vous interdisez les publicités pendant une semaine, la semaine suivante, elle vous montrera dans une version améliorée et généralement dans différentes catégories ; c'est-à-dire que, sous condition, vous aimez les chiens, et des publicités avec des chiens vous sont présentées - vous avez banni tous les chiens, puis ils commenceront à vous montrer toutes sortes d'absurdités polyvalentes parmi différentes options afin d'essayer de comprendre ce dont vous avez besoin.

Et puis, à la fin, ils cracheront, vous marqueront comme une personne qui n'interagit pas avec la publicité, vous mettront une croix conditionnelle et à ce moment-là, ils commenceront à vous montrer des publicités de marques exclusivement riches. Autrement dit, pour le moment, vous ne verrez que des publicités pour Coca-Cola, Kit-Kita, Unilever et toutes les personnes qui gagnent énormément d'argent, car vous avez besoin d'obtenir des vues. Dans un délai d'un mois, faites une expérience : interdisez toutes les publicités pendant une ou deux semaines, puis vous voyez tout d'affilée, et interdisez-les - à la fin, vous ne verrez que des publicités, en fin de compte (et disent les agences de publicité), uniquement les clients qui paient pour les vues, car il est impossible de comprendre comment vous interagissez avec cette annonce.

Le porno est plus souvent regardé par ceux qui ont tendance à approfondir le contenu

En conséquence, voici une histoire sur toutes sortes de suivi des comportements. J'ai un exemple très intéressant : les visiteurs d'un site Web gouvernemental. Ce qui est drôle, c'est que plus les gens regardent en profondeur, plus ils préfèrent regarder du porno aux relations traditionnelles. "Désolé" de parler de ce sujet tout le temps, mais j'ai en fait une très bonne relation avec Pornhub, et ce sont toujours des études très intéressantes, car c'est un sujet qui est un peu tabou, mais qui en dit long sur un personne. Et les points suivants sur le retour du trafic qui découlent d'ici... On retiendra aussi de Pornhub !

Qu'est-ce qui est considéré comme une donnée personnelle et un iPhone peut-il être déverrouillé avec un modèle de visage 3D ?

Mon préféré est le contournement de la loi sur les données personnelles. Si vous lisez la documentation technique du même Facebook qui a fourni certains documents internes (par exemple au tribunal), vous ne trouverez aucune mention ni de reconnaissance faciale ni d'analyse vocale. Le projet de loi comportera un langage très complexe qu'aucun avocat qualifié ne trouvera. Nous travaillons à peu près de la même manière en Russie - je vais vous montrer une telle chose maintenant.

Que voyez-vous ici? N’importe quelle personne normale dirait ce visage. Au fait, c'est Sasha Grey. Et légalement, il s'agit d'une matrice de quelques points tridimensionnels, au nombre de 300 XNUMX pièces. Pour le meilleur ou pour le pire, ces données ne sont pas considérées comme des données personnelles par la loi. En général, le RKN russe ne considère pas une photo comme une donnée personnelle - il la considère comme une donnée personnelle s'il y a autre chose à proximité (par exemple, un nom complet ou un numéro de téléphone), et cette photo elle-même n'est rien du tout. Dès que la loi sur la biométrie a été introduite et que les données biométriques ont été assimilées à des données personnelles (donc très grossièrement), tout le monde a immédiatement commencé à dire : ce ne sont pas des données biométriques, c'est un ensemble de points ! Surtout si vous prenez une transformée de Fourier directe ou inverse à partir de cet ensemble de points, il semble que vous ne puissiez pas désanonymiser une personne issue de cette transformation, mais vous pouvez l'identifier. En théorie pure, cette chose ne viole pas la loi.
J'ai aussi fait une autre étude : il s'agit d'un algorithme qui construit une reconstruction tridimensionnelle d'un visage à partir de sources ouvertes - on prend un compte sur Instagram et on peut ensuite imprimer le visage sur une imprimante 3D. Qui d'ailleurs est intéressé, j'ai un lien dans le domaine public ; si soudainement quelqu'un veut déverrouiller "l'iPhone" de quelqu'un... C'est une blague - "l'iPhone" ne peut pas être déverrouillé, la qualité y est réduite.

Le profil privé est un plus pour la sécurité

C'est la première chose, et la seconde... J'ai déjà évoqué le fait que les informations sont principalement obtenues à partir de l'environnement de l'utilisateur. J'ai fait ce tableau en 17 : l'utilisateur moyen des réseaux sociaux russes est à l'intérieur, il a en moyenne 200 à 300 amis, ses amis d'amis et ses amis d'amis d'amis.

Merci aux réseaux sociaux pour avoir introduit des algorithmes intelligents de flux électroniques, des années entières, apparemment pour augmenter la probabilité que vous rencontriez du contenu intéressant. Il s'agit du nombre de personnes qui peuvent à tout moment voir le contenu que vous produisez, même si votre compte n'est limité que par les niveaux de confidentialité supérieurs (uniquement pour les amis d'amis, etc.). Voici les amis des amis :

Si quelqu'un pense que lorsqu'il choisit de voir « amis d'amis » dans « Mes messages » sur VK, alors trois poignées de main représentent environ 800 XNUMX personnes, ce qui en principe n'est pas si peu, mais dépend de votre contenu. Peut-être que vous faites des streams indécents et que tous ces amis d'amis peuvent interagir avec ce contenu. L'un d'eux peut republier quelque chose quelque part, tout le monde a un flux de likes, qui en fait sera très probablement annulé, car ce n'est pas quelque chose de très personnel. Ainsi, à tout moment, le contenu peut aboutir quelque part.

Cette année-là, VK a également lancé des profils super fermés, mais jusqu'à présent, un très petit nombre de personnes les ont utilisés (je ne dirai pas lequel, mais un petit !). Peut-être qu’un jour les gens y penseront – je l’espère vraiment sincèrement. Toute recherche vise constamment à faire comprendre l’ampleur des problèmes. Parce que jusqu’à ce que quelqu’un en particulier soit touché par des choses terribles, il n’y pensera jamais. Poursuivre.

Les agences gouvernementales ne savent pas ce que sont les données personnelles et ne sont pas pressées de les définir

Tout spécialiste dans le domaine du droit des données personnelles dit toujours ce qui suit : vous n'avez jamais besoin de combiner différentes sources de données, car ici vous avez des e-mails (il ne s'agit que de données personnelles avec une sorte d'identifiant anonymisé), ici - nom complet. Si tout cela est combiné, il semble qu'elles deviendront des données personnelles. En général, il serait juste d'aborder ce sujet en premier, mais je pense que vous y êtes déjà immergé et que vous savez peut-être comment fonctionne la loi.

En fait, personne ne sait ce que sont les données personnelles. Notion importante ! Quand je viens dans les agences gouvernementales, je dis : « Une bouteille de cognac à quelqu'un qui dit ce que sont des données personnelles. » Et personne ne peut le dire. Pourquoi? Non pas parce qu’ils sont stupides, mais parce que personne ne veut prendre ses responsabilités. Parce que si Roskomnadzor dit qu'il s'agit de données personnelles, demain quelqu'un fera quelque chose, et ce sera sa faute ; et ce sont des autorités exécutives et ne devraient généralement être responsables de rien.

En fin de compte, la loi stipule clairement que les données personnelles sont les données permettant d'identifier une personne. Et là, un exemple est donné : nom complet, adresse du domicile, numéro de téléphone. Mais vous et moi savons qu'une personne peut être identifiée à la fois par la manière dont elle appuie sur les boutons et par la manière dont elle interagit avec l'interface, ainsi que par d'autres paramètres indirects. Si quelqu’un se pose la question, il existe un grand nombre de lacunes dans presque tous les domaines.

Des identifiants qui nous révèlent

Par exemple, tout le monde a commencé à mettre des points pour capturer des adresses de pavot (en avez-vous sûrement rencontré ?) - des fabricants d'équipements mobiles intelligents (ou je ne sais pas, gourmands), comme Apple et Google, ont rapidement introduit des algorithmes qui donnent un L'adresse aléatoire du coquelicot pour que vous ne puissiez pas l'identifier lorsque vous vous promenez dans la ville et envoyer à tout le monde votre adresse coquelicot. Mais les gars intelligents ont pensé encore plus loin à l'histoire suivante.

Par exemple, vous pouvez obtenir une licence d'opérateur mobile ; après avoir reçu une licence d'un opérateur mobile, vous aurez accès à une telle chose - le protocole SS7 est appelé, selon lequel vous verrez une certaine diffusion des opérateurs mobiles ; il existe un tas d'identifiants de toutes sortes qui ne sont pas des données personnelles. Avant cela, c'était IMEI, et maintenant - littéralement, quelqu'un l'a retiré de la langue et a décidé de maintenir en Russie (une telle initiative) une base de données unique de ces "IMEI". C'est en quelque sorte le cas, mais quand même.

Il existe, par exemple, un tas d'identifiants - par exemple IMCI (Mobile Equipment Identifier), qui ne sont ni des données personnelles ni liées à d'autres éléments et, par conséquent, peuvent être enregistrés sans aucune poursuite judiciaire, puis avec qui échanger ces identifiants afin de communiquer ultérieurement avec la personne.

La culture du travail avec les données personnelles est à un niveau bas

En général, l’essentiel est que tout le monde est désormais très préoccupé par la fusion des données les unes avec les autres, et la plupart des entreprises qui procèdent à cette fusion n’y pensent parfois même pas. Par exemple, une banque est venue, a conclu un accord de non-divulgation avec une entreprise qui pratique le scoring, a largué 100 XNUMX de ses clients...

Et cette banque n'a pas toujours de clause dans son accord sur le transfert de données à des tiers. Ces clients y ont brouillé quelque chose, et on ne sait pas exactement où est allée cette base de données plus tard, elle n'est pas allée - la plupart des entreprises en Russie n'ont pas de culture de suppression de données... - cet « Excel » finira certainement quelque part sur l'ordinateur de la secrétaire puis raccrochez.

Nos données peuvent être revendues à chaque achat en magasin

Il existe de nombreux systèmes qui semblent presque légaux (c'est-à-dire légaux). Par exemple, l'histoire est la suivante : sur les 15 plus grandes banques russes, seules deux disposent d'une véritable passerelle SMS - Tinkoff et Alfa, c'est-à-dire qu'elles envoient elles-mêmes leurs propres SMS. D'autres banques utilisent des passerelles SMS pour envoyer des SMS aux clients finaux. Ces passerelles SMS ont presque toujours le droit d'analyser les contenus (par exemple pour des raisons de sécurité et certaines de leurs conclusions) afin de revendre ensuite des statistiques agrégées. Ces passerelles SMS sont « conviviales » avec les opérateurs de données fiscales qui opèrent des contrôles.

Et il s'avère ce qui suit : vous êtes venu au caissier, l'opérateur des données fiscales (ils ont donné, n'ont pas donné votre numéro de téléphone - d'une manière ou d'une autre, il y est lié) ... vous recevez un SMS à votre numéro de téléphone, la passerelle de ces SMS voient les 4 derniers chiffres de la carte et le numéro de téléphone. Nous savons à quel moment vous avez effectué une transaction auprès de l'opérateur de données fiscales, et par SMS nous savons (déjà maintenant) à quel numéro a été reçue l'information concernant le débit de telle ou telle somme d'argent avec tels ou tels quatre derniers chiffres de la carte. Les quatre derniers chiffres de la carte ne sont pas vos identifiants, ils ne violent pas la loi, car vous ne pouvez pas être anonymisé en les utilisant, le montant de la transaction ne l'est pas non plus.

Mais si vous avez convenu avec l'opérateur de données fiscales, vous savez dans quelle fenêtre horaire (plus ou moins 5 minutes) ce SMS doit vous parvenir. Ainsi, vous avez été rapidement lié à votre numéro de téléphone dans l'OFD, et votre numéro de téléphone est lié à des identifiants publicitaires, en général, à tout-tout-tout. Par conséquent, vous pouvez alors vous faire rattraper : ils sont venus au magasin, puis ils vous envoient d'autres bêtises sans autorisation. Je pense qu'il n'y a pratiquement personne dans cette salle qui ait jamais déposé une demande auprès du FAS pour spam. Il n'y en a pratiquement pas... Sauf moi, je suppose.

Les journaux sont un moyen archaïque mais efficace de lutter pour vos droits

Ça marche très bien. Certes, il faudra attendre un an et demi, mais le FAS procédera effectivement à un audit : qui, comment, à qui a transféré les données, pourquoi où, etc.

Question du public (ci-après - Z) : - Il n'y a pas de SAF en Biélorussie. C'est un pays différent.

OH: - Oui je comprends. Il y a sûrement quelque chose de similaire...

Les objections viennent du parquet

OH: - D'accord, mauvais exemple, désolé. Cela n'a pas d'importance. Parmi mes amis, je ne connais personne qui, en principe, connaît l'existence d'une telle histoire - que vous pouvez aller écrire, puis ils travailleront encore un an.

La deuxième histoire, qui se développe également beaucoup en Russie, mais je pense que vous trouverez un analogue dans votre pays. J'aime vraiment faire ça, lorsqu'un organisme gouvernemental ne communique pas bien avec vous, une banque ou autre chose - vous dites : « Donnez-moi un morceau de papier ». Et vous écrivez sur un morceau de papier : « Conformément à l'article 14 de la 152e loi fédérale, je vous demande de traiter les données personnelles sous forme papier. » Je ne sais pas exactement comment cela se fait en Biélorussie, mais cela se fait certainement. Selon les lois russes, ils n'ont pas le droit de vous refuser un service sur cette base.

Je connais même de nombreuses personnes qui ont envoyé des messages similaires à Mail.ru et ont demandé à conserver une trace de leurs données personnelles sous forme papier. Mail.ru a résisté pendant très longtemps. Je connais même un développeur Yandex qui a eu une blague : ils ont supprimé son compte VK et lui ont envoyé un tas de captures d'écran imprimées et ont dit qu'ils lui enverraient des captures d'écran à chaque fois qu'il voudrait mettre à jour sa page.

C'est drôle, mais c'est néanmoins une véritable alternative si quelqu'un se soucie vraiment des données, d'une part... Et d'autre part, le même RKN m'a dit que cet accord sur le traitement des données personnelles est formel, et que la loi prévoit plusieurs autres options pour donner ce consentement. Et que, par exemple, j'ai été invité ici à un événement, et si, par exemple, Human Constanta ne peut pas conclure avec moi un accord sur le traitement des données personnelles dans le cadre des lois russes (car le fait même que je sois venu et accepté de parler est le consentement au traitement des données personnelles), ils prennent toujours ces permis papier. Mais le RKN m’a dit quelque chose de similaire, que ce n’est pas du tout un fait, qu’ils disparaîtront très probablement un jour.

J'espère qu'en Russie, on ne créera jamais un opérateur unique, Dieu me pardonne, de données personnelles, car pire que de mettre toutes les données personnelles dans le même panier, elles ne peuvent être mises que dans le panier de l'État. Car qui sait ce qui va se passer avec tout cela.

Les entreprises partagent des données personnelles et les lois ne les réglementent pas bien

La plupart des entreprises échangent entre elles des données, des identifiants. Cela peut être un magasin avec une banque, puis une banque avec un réseau social, un réseau social avec autre chose... Et au final, ces personnes ont une certaine masse critique de connaissances qui peuvent être utilisées d'une manière ou d'une autre, et toutes ces connaissances sont vraies et ils essaient maintenant de rester de leur côté. Mais néanmoins, cela entre toujours dans une sorte de trafic publicitaire ou ailleurs.

Le transfert de données à des tiers est la chose la plus amusante qui puisse être, car les lois ne décrivent pas du tout de quel type de tiers il s'agit, ni pour qui ils doivent être considérés comme des « tiers ». D'ailleurs, c'est une expression très courante des avocats américains - ils ont des tiers là-bas - qui, qui considérez-vous comme des tiers : grand-mère, arrière-grand-mère ?.. Il y avait même un tel précédent en Amérique lorsque les données de quelqu'un étaient divulguées , une personne a porté plainte, et ils ont prouvé que cette personne, à travers plusieurs amis, connaît le propriétaire des données - un certain nombre de poignées de main, mené d'étranges études sociologiques - prouvant ainsi que ces personnes ne peuvent pas être considérées comme des tiers les unes aux autres. Drôle. Mais le fait de transmettre de telles données est très courant.

Même si vous allez sur un site où il y a un compteur d'identification, ce compteur a le droit de transférer les données de ce trafic quelque part (« Clickstream », propriétaires de plateformes publicitaires de n'importe quoi, « Pornohub », par exemple). Pornhub, si l’un de vous est développeur web, vous pouvez aller voir combien de pixels de suivi se trouvent sur le site Pornhub. Vous entrez simplement - il y a une énorme quantité de script Java chargé, par exemple pour améliorer le site. En fait, des cookies inter-domaines y sont également définis, ce qui n'est tout simplement pas le cas, car ces informations sont toujours très appréciées sur le marché du clickstream.

"Facebook" remue et ne va pas arracher le masque

Naturellement, aucun des principaux acteurs ne révèle à qui que ce soit à qui et comment il vend ses données. C’est pour cette raison, par exemple, que l’Europe tente désormais de poursuivre Facebook en justice. Juste après l'introduction du RGPD, l'Union européenne tente d'éloigner Facebook de sa propre divulgation d'algorithmes de revente de données à des tiers.

Facebook ne fait pas cela et dit publiquement que ce n'est pas le cas parce qu'ils sont une "société du monde" (je cite cela dans un e-mail qu'ils m'ont envoyé), ils sont "contre l'utilisation abusive de la technologie" (surtout si vous (vous vendez la reconnaissance faciale au Kremlin). En général, l'essentiel est que Facebook ne le fait pas de manière tout à fait honnête : son objectif principal et la principale chose qui se produira dès qu'un tel mécanisme sera révélé est qu'il soit possible de calculer de manière réaliste la marge publicitaire, ce sera être possible de comprendre le coût réel des publicités.

Classiquement, si Facebook vous dit maintenant que le coût d'un affichage publicitaire est de 5 roubles et que nous vous le vendons pour 3 (et, comme, il nous reste deux roubles), et qu'ils reçoivent, sous condition, 5% des bénéfices de ces impressions publicitaires. En fait, ce n'est pas 5%, mais 505, car si cet algorithme apparaît (à qui et comment Facebook a-t-il envoyé des « clickstream », des données de visite, des données de pixels à toutes sortes de réseaux publicitaires), il s'avère qu'ils gagnent de l'argent. bien plus que ce qu'on en dit. Et le point ici n'est pas l'argent lui-même, mais le fait que le coût d'un clic est d'un rouble, mais en fait de centièmes de centime.

En général, l'essentiel est que tout le monde essaie de cacher un tel transfert, peu importe - trafic publicitaire, non publicitaire, mais il est là. Malheureusement, il n’existe aucun moyen légal de le savoir, car les entreprises sont privées et tout ce qu’elles contiennent relève de leur droit privé et de leur secret commercial. Mais des histoires comme celle-ci reviennent tout le temps.

Les trafiquants de drogue sont prévisibles et « tirent » sur « Avito »

La dernière photo de cette présentation. C'est drôle, et l'essentiel est qu'il existe certaines catégories de personnes qui sont très inquiètes pour leurs données personnelles. Et c'est bien, en fait ! Cet exemple concerne une catégorie de personnes telle que les trafiquants de drogue. Il semblerait que des personnes qui devraient être très inquiètes pour leurs données personnelles...

Il s'agit d'une étude qui a été réalisée au début de cette année-là sous la supervision des autorités compétentes. Oui, il s'agit d'un script qui a reçu de l'argent pour acheter de la drogue sur Telegram, sur Tor, mais uniquement auprès de personnes pouvant être identifiées.

En fait, presque tous les trafiquants de drogue à Moscou brûlent du fait que leur numéro de téléphone ne figure dans aucune source ouverte, mais tôt ou tard, ils vendront quelque chose sur Avito, grâce auquel il sera possible de comprendre l'emplacement approximatif de ces gens. L’essentiel est que les points rouges sont l’endroit où les gens vivent, et les points verts sont l’endroit où ils vont pour partir, vous savez quoi. C'était l'une des parties de l'algorithme qui prédisait le déploiement de services de patrouille, mais ces gars de Moscou essaient toujours de s'éloigner en diagonale.

Ils croient que s’ils vivent en haut à gauche, ils devraient alors partir en haut à droite et on ne les y trouvera certainement jamais. Ce que je vous dis, c'est que si vous essayez de vous cacher des algorithmes omniprésents, l'option la plus intéressante est de changer le modèle de comportement : installer une sorte d'« Invité » pour randomiser les visites, les possessions, etc. Oui, Seigneur, il existe même des algorithmes, des plug-ins qui modifient la taille du navigateur de quelques pixels afin qu'il soit impossible de calculer la signature, « l'empreinte digitale » du navigateur et de vous identifier d'une manière ou d'une autre.
C'est tout ce que je voulais dire. Si vous avez des questions, allons-y. Voici un lien vers la présentation.

Question du public (B) : – Dites-moi, s'il vous plaît, en termes d'utilisation de Tor, en termes de suivi du trafic… Le recommandez-vous ?

C'est difficile à cacher, mais c'est possible

OH: - "Thor" ? "Thor" n'existe, en général, sous aucune forme. C'est vrai, je ne sais pas comment en Biélorussie - en Russie, vous ne devriez en aucun cas y aller, car presque la majorité des "gracenodes" vérifiés ajoutent soudainement des packages à votre trafic. Je ne sais pas lesquels, mais si vous regardez : il y a des « nœuds » qui marquent le trafic, on ne sait pas qui le fait, dans quel but, mais quelqu'un le marque dans l'en-tête pour que vous puissiez le comprendre plus tard. En Russie, tout le trafic est désormais stocké, même s'il est stocké sous forme cryptée, et tout le monde troll le paquet Yarovaya sur le fait que le trafic crypté est stocké, mais il reste marqué, c'est-à-dire qu'il ne peut pas être utilisé, il ne peut pas être déchiffré ...

Z : - En Europe, il est stocké depuis longtemps, probablement dix ans.

OH: - Oui je comprends. Tout le monde rit de ça - par exemple, vous stockez des https qui ne peuvent pas être lus. Le contenu ne peut pas être lu, mais il est possible de comprendre d'où viennent les paquets grâce à certains algorithmes - par le poids des paquets, par leur longueur, etc. Et quand on a tous les prestataires sous le capot, il y a donc tous les équipements de base et tous les passeports... De manière générale, vous comprenez de quoi je parle ?

Z : Quel navigateur recommandez-vous d'utiliser ?

OH: Pour Thor ?

Z : - Pas du tout.

OH: - Eh bien, je ne sais pas. En fait, j'utilise Chrome, mais uniquement parce que le panneau de développement y est le plus pratique. Si soudainement j'ai besoin d'aller quelque part, j'irai dans un café. Certes, vous ne devriez pas vous connecter à une vraie carte SIM.

Z : Vous parliez de certains étudiants. Enseignez-vous ou animez-vous des cours ?

OH: – Oui, nous avons des masters en data journalisme. Nous formons des journalistes à collecter des données, à les analyser - ils réalisent périodiquement de telles études.
Aucune application sécurisée

Z : - Il n'est pas prudent de communiquer avec des amis sur Facebook, Vkontakte, afin de ne pas recevoir de publicité contextuelle plus tard. Comment améliorer la sécurité ?

OH: – La question est de savoir quel est, selon vous, un niveau de sécurité acceptable. En principe, le mot « sécurité » n’existe pas. La question est de savoir ce qui, selon vous, est acceptable. Certains considèrent qu'il est acceptable de partager des photos intimes via Facebook, et certains agents des renseignements estiment que tout ce qui est dit oralement, même à la personne la plus proche, est en fait dangereux. Si vous ne voulez pas que le réseau social découvre quelque chose à ce sujet, alors oui, il vaut mieux ne pas en parler. Je ne connais pas les applications sécurisées. J'ai bien peur que ce ne soit pas le cas. Et cela est normal dans la mesure où tout propriétaire d'une application doit la monétiser d'une manière ou d'une autre, même si cette application est gratuite ou s'il s'agit d'une sorte de média. C'est plutôt gratuit, mais il faut quand même qu'il vive de quelque chose. Rien n’est donc sûr. Vous ne devez décider que vous-même, pour ainsi dire, de ce qui vous convient.

Z : - Qu'est ce que tu utilises?

OH: - Réseaux sociaux?

Z : - Des messagers.

OH: - Parmi les messagers, j'utilise le principal messager d'État de la Fédération de Russie - Telegram.

Z : - Viber. Est-il en sécurité ?

OH: - Écoute, je ne suis pas très doué pour les messageries instantanées. Pour être honnête, je ne suis pas en sécurité, je ne crois en rien, car ce serait probablement très étrange. Bien que Telegram soit un peu comme l’open source, ses algorithmes de cryptage ont été divulgués. Mais c'est aussi une chose très délicate, car le client « open source » est là et personne n'a vu les serveurs. Je ne pense pas : Viber contient beaucoup de spam, de robots, etc. Fig le sait. Je ne pense pas que cela fonctionne très bien.

Qui est le plus dangereux : les entreprises ou l’État ?

Animateur (B) : - Et j'ai une question pour vous. Écoutez, vous l’avez mentionné plusieurs fois en passant : l’État… Trop de données n’est pas très bon… Une entreprise a trop de données. Eh bien, c'est juste la vie, non ? Alors, qui a le plus peur : les entreprises ou l’État ? Où sont les pièges ?

OH: - C'est une question très difficile. Il borde. Difficile barrière éthique. Une personne, si elle n'a rien à craindre, si elle n'a pas enfreint la loi, en principe, pourquoi a-t-elle besoin d'intimité ? Même si je ne le pense pas, cet État le pense. Il y a peut-être une part de vérité là-dedans. Écoutez, j'ai surtout peur des hackers - une sorte de geste de ce genre. En fait, le plus gros geste que j'ai vu dans ma vie (en dehors de tout ce sujet) : il y a environ un an et demi ou deux ans, un pédophile a été arrêté dans la région de Moscou et lors d'enquêtes plusieurs tutoriels sur Python ont été trouvés sur son ordinateur, des scripts API VK. Il a collecté les comptes des filles, analysé lesquelles d'entre elles se trouvaient à proximité, collecté le contenu qu'elles... Bref, vous comprenez. Voici la plus grande boîte que j'ai jamais vue. Et j'ai vraiment peur de cela, qu'à un moment donné, quelqu'un fasse quelque chose comme ça.

Autre petit « hors sujet » : l'Organisation européenne pour la sécurité de l'État a publié cette année-là un rapport selon lequel le nombre de vols sur des comptes bancaires augmentait d'environ 20, 25 pour cent lorsqu'un numéro secret était piraté. Pensez maintenant à votre question secrète à la banque et demandez-vous si je peux trouver la réponse à partir de sources ouvertes. Si vous y avez le nom de jeune fille de votre mère ou votre plat préféré... En général, les gens analysaient les comptes, sur cette base ils comprenaient le nom de leur animal préféré - quelque chose comme ça...

Z : - Vous avez dit que les entreprises, les sociétés collectent les informations nécessaires à l'aide d'algorithmes ? Etes-vous sûr de savoir comment faire ?

OH: - Il y a eu un mouvement de personnes qui, à un moment donné, faisaient passer des photographies à travers un filtre spécial afin que ce filtre perturbe l'analyse des images, de sorte qu'il soit impossible d'identifier ces personnes d'une manière ou d'une autre plus tard. Ici, je vous ai donné un exemple montrant que Facebook avait du mal avec la cryptographie des messages. Et si cette chose apparaît et se généralise, les réseaux sociaux la combattront sûrement. De plus, la reconnaissance d'images fonctionne désormais très bien, et elle frise le fait que le niveau suffisant pour "casser" cette photo (afin de "casser" l'algorithme qui reconnaît ces images) - très probablement, rien n'est clair là-dessus ne le soit pas.

Toutes sortes de filtres anti-glitch fonctionnent bien s'il s'agit d'un fort décalage direct dans la moitié de la photo. Votre compte acquerra alors toutes les couleurs du LSD. En théorie pure, je ne pense pas que ce soit très effrayant si Facebook, par exemple, découvre quel type de voiture je possède - probablement si je ne me connecte pas à la voiture via Facebook.

La loi de l’oubli fonctionne, mais pas sur Internet

Z : - Avez-vous rencontré un utilisateur qui vous obligerait à le respecter, à le supprimer, à y accéder. Vous travaillez avec de larges tableaux de données, vous en informez probablement. Les gens peuvent vous contacter. Combien de pour cent ?

OH: - Je vais te le dire maintenant. C'est là que ça devient vraiment intéressant. Maintenant, je vais compter combien de personnes viendront, car après l'événement, 15 à 20 % viennent toujours, remplissent un formulaire de suppression de données - une telle chose existe. En réalité, cela représente environ 7 à 8 % des comptes fermés que nous n'analysons pas, et environ 5 personnes sur mille qui demandent la suppression de leurs données. C'est très peu, même à mon humble avis.

Le problème ici est le suivant : il existe une loi de l’oubli. Mais la loi de l’oubli, du moins en Russie, ne s’applique légalement qu’aux moteurs de recherche. Il est écrit ici : moteurs de recherche. Et il s’agit de la suppression uniquement des liens vers les matériaux, et non des matériaux eux-mêmes. En réalité, pour supprimer quelque chose d’Internet, il faudra contourner toutes ces sources, donc je n’y crois pas en principe. Nous essayons d'avertir les utilisateurs qu'ils doivent d'abord réfléchir avant de publier.

Bien que ce pourcentage soit très faible - 5 à 7 personnes sur des milliers. À propos, à propos de la loi de l'oubli : tout le monde connaît une affaire tellement cool « Sechin contre RBC ». La Loi de l’Oblivion a fonctionné, l’article a été supprimé, mais il est partout. Vous comprenez que si quelque chose est arrivé sur Internet, il n'en disparaîtra jamais.

Les utilisateurs sont supprimés, mais ils sont identifiés par un comportement typique

Z : – Pensez-vous que les personnes qui suppriment leurs comptes et tentent de devenir un « trou noir » seront plus désavantagées par rapport aux autres agents économiques ?

OH: - Très probablement, oui - ce poste ne leur sera pas rentable. Il existe de nombreuses réductions et offres qui en dépendent. Mais, purement théoriquement, si une personne supprime un compte maintenant... C'est populaire auprès de tous les extrémistes lorsqu'ils suppriment un compte et créent un faux, mais continuent d'interagir avec le même contenu - cette personne, encore une fois, peut être identifiée (en particulier si c'est au sein du même réseau social, depuis un seul ordinateur - c'est généralement une question) ; élémentaire par le modèle de consommation de contenu, il sera possible de retrouver cette personne, si une telle tâche existe.

J'espère que dans les 5 prochaines années, il y aura une sorte de technologie pour monétiser ces données, quand il sera vraiment possible de payer de l'argent à une personne - vous paierez vous-même et nous n'utiliserons pas mes données. Et je pense que si un abonnement payant est introduit sur certains Instagram, personne ne l'utilisera, donc l'alternative est de payer les utilisateurs pour leurs données. Mais ce n'est pas pour très bientôt, car le lobby des entreprises effrayantes ne permettra pas qu'une telle loi soit adoptée, même si ce serait cool. Mais le fait est qu’il est impossible d’estimer la valeur réelle des données d’une personne à un moment donné.

Facebook, c'est une bande de gars

Z : - Bon après-midi. Plus récemment, on a appris que Facebook avait l'intention d'intégrer tous ses projets, notamment Instagram et Facebook, WhatsApp, etc. Comment, à votre avis, du point de vue des données personnelles, alors que désormais ces programmes pendent séparément sur mon smartphone, mais qu'ils appartiennent toujours à Facebook ?.. Que va-t-il se passer ensuite ?

OH: - Je comprends. Légalement, ils appartiennent déjà à Facebook, et cela peut les unir de manière incontrôlable en son sein, donc je pense que rien ne changera. La seule chose est qu'il suffit désormais de pirater une application pour tout obtenir en même temps. Et Facebook... J'espère qu'ils regardent. Terriblement plein de trous les mecs en général dans tous les lieux.

Récemment, de nombreuses informations sont apparues à ce sujet - sur les fuites de données de Facebook. Ce n’est pas parce que Facebook a soudainement commencé à perdre ces données, mais parce que le RGPD oblige désormais l’entreprise à avertir à l’avance. Et la plus grande pénalité est s'il y a eu une fuite et que l'entreprise a gardé le silence à ce sujet, et donc Facebook en parle maintenant. Cela ne veut pas dire que ces fuites de données n’existaient pas auparavant.

Z : - Bonjour. J'ai une question sur le stockage des données. Désormais, chaque État introduit une loi selon laquelle les données des citoyens sont stockées sur le territoire de cet État. Quelle condition suffit-il de remplir pour se conformer à cette loi, pour certaines applications internationales ?.. Par exemple, Facebook : il n'y a qu'une seule base de données...

Comment respecter ces conditions ?

OH: – Écoutez, légalement, il vous suffit de louer un serveur dans ce pays et d’y mettre quelque chose. Le problème est qu’il n’existe aucun organisme de réglementation compétent. Les données de Facebook ne se trouvent pas en Russie. Roskomnadzor les combat, se bat, se bat, se bat... Facebook possède une partie des serveurs où se trouve l'interface de ce même Facebook, et il est impossible de vérifier où se trouvent réellement les données, comment elles sont synchronisées.

Z : – Vérifier le trafic ?

OH: – Vérifier le trafic ? Oui. Mais le trafic peut alors se diriger vers un point central. De plus, entre les serveurs, il peut y avoir quelque chose comme un VPN ou autre chose. En théorie pure, il est impossible de contrôler de quelque manière que ce soit que, par exemple, un administrateur système n'ira pas à ce serveur à un moment donné et n'en tirera rien. Autrement dit, cette loi n'a pas été adoptée dans un souci de protection des données, mais pour permettre aux entreprises d'ouvrir des bureaux de représentation, de payer des impôts et de stocker du fer dans le pays. Mais à mon avis, c’est une initiative très étrange, pour être honnête.

Z : - Autrement dit, suffit-il de vérifier réellement l'interface ?

OH: Quelqu'un peut venir vers vous et vérifier que vous disposez de données. Mais vous pouvez montrer du "Excel", et personne ne peut le vérifier, presque personne ne le vérifiera. Désormais, ils regardent simplement les adresses IP : que l'adresse IP associée au domaine se trouve sur le territoire du pays - ils ne vérifient pas davantage. Maintenant, ils viendront probablement me voir pour vérifier.

Il n'existe pas de services auxquels vous pouvez faire confiance à 100 %, mais les personnes honnêtes n'ont rien à craindre

Z : - Une telle nouvelle, réimprimée dans de nombreux endroits : un mec l'a postée depuis Microsoft, a fait un service pour vérifier son...

OH: - Quelque chose comme : vos mots de passe ont-ils été divulgués ? En fait, après les mêmes fuites sur Facebook, le même Facebook lance toujours des sortes de sites de sauvegarde où vous pouvez vérifier qu'il n'est pas inclus dans cette base de données - encore une fois, cela est requis par le RGPD. Autrement dit, si vous ne faites pas une telle chose, vous ne serez pas très bon. Ainsi, tout le monde présente désormais ces projets comme « c'est notre initiative » ; en fait, la loi l'exige. C'est en fait une chose très intéressante, mais je ne ferais pas vraiment confiance à de tels services de vérification si vous devez y envoyer quelque chose de plus compliqué que votre mot de passe, car de nombreuses personnes ont les mêmes mots de passe.

Z : - Vous entrez simplement votre e-mail ici, et ils disent déjà combien de fois il a été compromis...

OH: – Je ne fais vraiment pas confiance à de telles choses, car plus tard, il est très simple de vous lier à ce navigateur, à un compte réel. Surtout si vous utilisez les services des mêmes personnes qui ont lancé ce site. C'est comme si c'était l'année où Facebook les a envoyés : si vos photos intimes sont divulguées sur Facebook, vous nous les envoyez, et nous vérifierons où elles ont été mentionnées.

Je ne sais pas de quel genre de cauchemar de relations publiques il s’agit et qui sur Facebook l’a inventé, mais c’est vraiment arrivé. Ils voulaient comparer si personne n'envoyait votre nudité dans des messages privés. En principe, cela poursuit de bons objectifs, mais c'est aussi étrange que possible. Je ne lui ferais pas confiance.

Z : - Et encore une question. Pour l’utilisateur moyen, quel est le risque de fuite ? Risque de dommages dus à des fuites.

OH: - Je vous ai compris. Regarder quel type de données stocker. Je pense que ce n'est pas très élevé. Le pire, c'est que si les e-mails et les mots de passe fuient quelque part et que vous avez ce mot de passe partout, alors oui. En général, je pense que les utilisateurs n’ont pas grand-chose à craindre. Mais s'ils, bien sûr, ne stockent pas une sorte de démembrement dans Google Mail. Il y avait beaucoup d'exemples.

L’histoire la plus célèbre est sur Google, lorsqu’une jeune fille a été kidnappée dans l’Utah, ils n’ont pas pu la retrouver, et à un moment donné, les ravisseurs lui ont envoyé des photos dans une pièce jointe archivée. Et Google, en analysant cette pièce jointe, a trouvé des signes de pédopornographie. Tout le monde a été retrouvé. Et ils ont quand même réussi à poursuivre Google pour violation du secret de la correspondance. Ce procès dure depuis un certain temps. Néanmoins, je pense qu'un utilisateur ordinaire n'a rien à craindre s'il ne publie pas, par exemple, son passeport dans le domaine public. Il s’agit d’une double histoire – selon le type de données et le type d’utilisateur. Peut-être que maintenant ça va, mais dans 15 ans, quand il deviendra une sorte de fonctionnaire, certains de ses documents feront surface.

Comment se passe la collaboration avec l’État ?

Z : - Merci. Vous avez parlé un peu du fait que vous faites des recherches pour l'État, les organismes et les services de l'État et que vous travaillez avec eux. Peut-être pourrez-vous nous en dire un peu plus sur certains projets en cours. Encore plus, si vous le pouvez, sur... Deux questions : la première concerne les projets en cours, et la seconde est de savoir s'il y a eu de telles propositions de la part des services publics...

OH: - Indécent !

Z : - Oui. Quand tu pensais que tu ne devrais peut-être pas faire ça.

OH: - Je te le dirai. Je le dis à tout le monde. Cet homme et moi avons eu une longue dispute sur Twitter. De l'équipe Milonov sur Twitter, j'ai reçu une question sur la recherche de professeurs qui regardent du porno gay. Nous avons immédiatement dit non. Mais il y en a, des lettres arrivent souvent, et très souvent elles sont liées à des rassemblements d'opposants. Nous ne traitons pas de telles absurdités, alors tout le monde nous déverse des conneries. Je n'en ai pas honte.

Nous avons la politique suivante concernant les « états » : nous développons des logiciels, des logiciels de reconstruction tridimensionnelle, de reconnaissance faciale, d'analyse de données. Ce qu'ils font exactement est très difficile à dire, mais à partir des modèles, il s'agit de la prévision de la criminalité, de ce qui est lié à la sécurité de l'État à l'intérieur de la ville, à la circulation des personnes, au géomarketing, etc. Du placement d'objets dans l'environnement du centre-ville à l'identification de pédophiles, violeurs, maniaques et toutes sortes de méchants.

Honnêtement, nous n’avons eu affaire à aucun opposant. Peut-être qu’ils ne nous le disent pas en face. En fait, il s’agit d’un très gros problème : la coopération avec les « États », car ils n’expliquent pas toujours quelle est la tâche. Ils vous disent : créez un logiciel pour identifier les femmes au foyer, mais en fait ils vont en faire autre chose - tout se casse là.

De plus, l'État est un client très intéressant et étrange qui essaie constamment d'investir trois centimes dans vos recherches, et souvent ses approches et sa compréhension de l'apprentissage automatique sont très superficielles. Par exemple, j'ai une conférence distincte sur les erreurs d'apprentissage automatique. J'y cite toujours comme exemple, lorsque nous faisions un système de prévision de la criminalité dans la région de Moscou, le client a dit : là où ils vendent des pastèques, veuillez augmenter le coefficient quatre fois. Et puis il s’est avéré que les endroits où les pastèques sont vendues ne sont pas criminels. Ce sont simplement des erreurs du fait qu'une personne apporte ses pensées.

Bref, l'État est un client sympa, il y a beaucoup de tâches intéressantes là-bas. La plupart se résument à des modèles similaires de prédiction de quelque chose. Le plus souvent, il s'agit d'une sorte d'infrastructure urbaine.

Z : – Existe-t-il des sources où vous pouvez suivre vos recherches ? Beaucoup d'informations. Si je comprends bien, une grande partie reste encore à la mer. Vos pages, autre chose...

OH: Je n'ai pas de pages personnelles.

Z : - Probablement, Facebook a déjà été fermé ?

OH: - Il y a environ quatre mois, il y a eu une histoire : ils nous ont tous envoyé des lettres si grosses que « vous êtes des monstres, vous vendez tout au Kremlin, vous violez toutes les règles de Facebook. Ils ont même envoyé une lettre à mon chien : « Bonjour, Mars Blue Corgi, vous collectez des données ! » et ainsi de suite. Écoutez, nous changeons de marque maintenant. Dans deux ou trois semaines, nous aurons un site Internet et tout sera mis à jour. Vous pouvez regarder ça. Mais nous sommes très paresseux à cet égard.

Comment déterminer la fiabilité d’un VPN ?

Z : - Quand avez-vous dit que vous iriez dans un café sans vous y identifier par votre numéro de téléphone. Et sous quoi ?

OH: - Vous ne pouvez pas dire - sous un étranger, car il s'agit d'un appel à violer les règles d'identification. Non non Non. Je plaisante. Maintenant, presque tous les cafés identifient tout d'affilée - il n'y a pas seulement un numéro de téléphone, il y a un tas de pixels, il y a une identification de l'appareil, une adresse de pavot, et ainsi de suite, afin de l'utiliser plus tard - des fins publicitaires aux opérations. activités de recherche. Il faut donc être très prudent avec des choses comme celle-ci. Non seulement vous pouvez écrire quelque chose, mais ils peuvent également écrire depuis votre appareil, et alors quelque chose se produira.

Vous avez peut-être vu l'histoire de la manière dont ils mènent actuellement une enquête sur la façon dont (en Biélorussie également d'ailleurs) ils louent des comptes Facebook, par exemple pour la publicité des casinos. Mais en fait, on ne sait pas pour quoi, ils donnent aussi accès à un ordinateur. Ce sont les choses auxquelles vous devriez être le plus prudent. Si vous décidez d'écrire quelque chose de manière anonyme depuis quelque part... Je viendrais dans un café et j'activerais un VPN sympa. Mais en fait (encore une fois, je ne pointe personne du doigt), lorsque vous avez un compte avec un VPN, vous vérifiez à qui appartient ce VPN, quelle entreprise, à qui appartient cette entreprise, etc. Parce que la plupart des acteurs du marché VPN ne sont pas vraiment des bons.
Eh bien, d'accord, en Biélorussie, cela n'a pas d'importance. En Russie, un bon VPN est vérifié si azino777 y est bloqué ou non. Car sinon, il y a de fortes chances que ce service VPN soit fermé d’ici une semaine. En général, vérifiez tout.

À propos des messages à suppression automatique

Z : - Vous avez tellement parlé de messages privés que leurs réseaux sociaux sont lus... Mais, par exemple, Facebook a des messages privés secrets qui peuvent être mis (en plus ils sont également cryptés) pour destruction. Comment pouvez-vous commenter cela ?

OH: - Certainement pas. Premièrement, je ne suis pas un super professionnel en cryptographie, et deuxièmement, le problème ici est que personne n'a vu le serveur Facebook, personne ne sait comment tout cela fonctionne là-bas. Classiquement, dans certaines spécifications, il est écrit qu'il s'agit d'un cryptage de bout en bout, mais ce n'est peut-être pas le cas, ou c'est de bout en bout, mais avec une sorte d'erreur ou autre chose. Il est logique d'utiliser une telle chose si vous craignez que la personne à qui vous l'avez envoyé essaie à un moment donné de faire quelque chose.

Telegram dispose d'une fonctionnalité pratique pour envoyer des photos intimes auto-supprimantes : lorsque vous essayez de prendre une capture d'écran, elle est automatiquement supprimée. Sur l'iPhone, cependant, la fonction d'enregistrement vidéo à partir de l'écran est apparue, et vous pouvez enregistrer une vidéo à partir de l'écran, et ainsi de suite... Ils m'envoient très souvent du matériel avec cette fonction (suppression automatique) - je ne comprends jamais pourquoi. Je peux télécharger dès maintenant ! Cela ne tient qu'à toi.

Notation sociale en Chine : mythes, réalité, perspectives

В: - En fait, j'abuse un peu, même si je n'ai pas besoin de VPN (d'ailleurs, nous avons un VPN vérifié). Une question d'éthique. Nous avons un merveilleux ami du Kazakhstan, nous l'avons également amené avec une conférence. D'une manière ou d'une autre, ils se sont assis avec lui lors d'une conférence où ils ont parlé de différentes choses, et il dit (et il est engagé dans la cybersécurité, c'est-à-dire dans sa forme la plus pure, l'ingénierie de la sécurité, une personne qui s'intéresse aux solutions techniques) : « Ici, il est revenu de Chine. Ils font une chose tellement cool là-bas : l'évaluation sociale. Au fait, avez-vous fait des recherches sur cette question, comment cela fonctionne-t-il pour eux ?

OH: – Nous vendons des scores en Russie, j'en sais beaucoup.

В: - J'ai donc une question, que diriez-vous de plus à ce sujet - sur ce que nous attendons peut-être tous dans le futur. Mais une autre question sur l'éthique. Il a dit avec joie : « Une solution d'ingénierie intéressante ! Avez-vous votre propre code d'éthique?

OH: - Oui, au fait, il y en a. Nous l'avons introduit il y a deux ans - juste après l'histoire avec Milonov, nous avons décidé de classer ces projets d'une manière ou d'une autre. Revenons au classement : c'est l'une des questions les plus populaires, car les médias diabolisent très fortement toute cette histoire - selon laquelle les gens ne sont pas autorisés à partir à l'étranger, ils sont tués par un laser venu de la lune. Je vous apporte, encore une fois, des pièces d'ingénierie...

Si vous commencez à creuser cette histoire, regardez quels paramètres sont inclus dans cette notation sociale, vous comprendrez : elle comprend la pension alimentaire fermée, le casier judiciaire, les antécédents de crédit, c'est-à-dire, d'un point de vue technique, une chose vraiment géniale. Vous vivez sans enfreindre la loi, vous vivez bien - ils vous accordent un taux d'intérêt bas sur un prêt. Vous disposez d'une œuvre sociale importante (par exemple, un enseignant) - ils vous donnent un logement convenable. Au début, cela a dérouté tout le monde, car au début, l'histoire a été divulguée selon laquelle si vous écrivez mal sur le président, votre note sera abaissée. Même s'il n'y avait aucune preuve. Pour défendre la notation, je dirai, contre la notation, je dirai que personne n'a vu l'algorithme, quels paramètres y sont réellement utilisés.

Puis une histoire est apparue selon laquelle plus d'un million de personnes n'étaient pas autorisées à partir à l'étranger, il leur était interdit de partir. En fait, ce n’est pas tout à fait la formulation exacte. Lorsque vous recevez un visa (par exemple pour l'Europe), vous recevez un visa au tarif de « 70 euros par jour » (quelque chose comme ça) ; Si vous ne fournissez pas de justificatif de revenus, vous n’obtiendrez pas de visa. En Chine, le ministère des Affaires étrangères local a décidé d'aller un peu plus loin : il a simplement immédiatement averti les personnes qui n'avaient pas assez d'argent que si elles voulaient partir à l'étranger, elles n'auraient pas assez d'argent. En conséquence, tout cela a ensuite été renvoyé à l'idée selon laquelle les pauvres ne sont pas autorisés à partir à l'étranger. C’est une chose éthique complexe, elle frise une certaine présomption de culpabilité ou d’innocence, mais en fait je ne peux pas donner d’évaluation.

Les gens tuent, pas les armes

La principale chose à comprendre est que tous ces algorithmes que la société condamne ne sont pas le problème des algorithmes. Les algorithmes ont simplement permis d’analyser très rapidement un grand « volume » de personnes, et ce problème de société a été porté au premier plan. Autrement dit, le robot Microsoft qui a appris des tweets et est devenu raciste n'est pas la faute du robot, mais des tweets qu'il a lus. Ou une entreprise qui décide de construire un modèle d'employé idéal en analysant ceux actuels, et il s'avère qu'il s'agit d'un homme blanc, de sexe masculin, ayant fait des études supérieures.

Ce n’est pas un modèle – raciste, sexiste ou autre ; ce sont ces gens qui ont embauché ces gens (ils avaient raison, ils avaient tort - peu importe). Tout confine au fait que l'intelligence artificielle est mauvaise, mauvaise, et qu'elle détruira le monde, mais en fait... Si conditionnellement maintenant, par exemple, le gouvernement russe adopte une loi selon laquelle les opposants ne bénéficient pas d'une éducation gratuite, et ils y écrire un logiciel qui les identifie et les prive de cette éducation gratuite - ce n'est pas la faute de l'algorithme. Bien que personne ne soutienne mon concept, parce que - quand je dis que ce ne sont pas les armes qui tuent les gens, mais les gens - "vous êtes un fasciste" et ainsi de suite.

En général, c'est vraiment une solution d'ingénierie très intéressante. Il faut comprendre pourquoi, par exemple, cela ne se produira pas en Russie. Vous [en Biélorussie] n’aurez pas cela, parce que vous êtes un État européen, tout va bien pour vous. Cela ne se produira pas en Russie pour de nombreuses raisons : premièrement, nous n’avons pas le même niveau de confiance dans le système d’application de la loi qu’à Kita ; Nous n’avons pas ce niveau de numérisation. Pourquoi cela a-t-il fonctionné en Chine ? Parce que le gouvernement : il a la médecine numérique, l’assurance numérique, la police numérique. Et quelqu'un d'intelligent a pensé : rassemblons tout cela et faisons-le - en fait, il s'agit d'un programme de fidélité. Il y a plus de goodies que de « pas de goodies ».
Par conséquent, oui, je pense que cela ne sera pas introduit en Russie. Nous devons d'abord numériser l'ensemble du ministère de la Santé (et c'est une tâche sur 50 ans) - quelqu'un doit donner sa vie pour le faire, mais personne, bien sûr, ne le fera. D’un autre côté, les banques russes sont les meilleures au monde en termes de notation des gens, elles ne font rien : « Ouais, mec ? Vous aimez les jeunes filles ? Voici une carte de crédit pour votre maîtresse. Là, c'est très avancé. Par exemple, en Amérique, un tel scoring est interdit presque partout, car il existe des lois selon lesquelles la banque est obligée de vous expliquer pourquoi : « Aha ! Parce que la société Social Data Hub conserve son histoire depuis 10 ans, et maintenant - ceci et cela ont révélé votre histoire ! Et poursuivons l'un et l'autre en justice ! Nous n'avons pas d'histoires comme celle-là.

Pourquoi les statistiques sont-elles supprimées ?

En principe, je soutiens le scoring, s'il ne s'agit pas d'une sorte d'histoire « totalitaire ». Mais le problème est qu’il est impossible de prédire, d’évaluer. Il s’agit de l’histoire la plus difficile en matière d’éthique du Big Data pour prédire l’impact social qui sera là dans 15 ans. Par exemple, je supplie depuis très longtemps le bureau du procureur d'ouvrir des informations sur la criminalité. Les statistiques de la criminalité constituent l’une des pierres angulaires de toute statistique ; tout le monde veut vraiment ça. Mais, par exemple, en Russie, les statistiques criminelles ne sont pas ouvertes pour une raison très simple : ils craignent de perturber la démographie des villes. Ils croient que les gens cesseront de vivre dans certaines villes et que même à l’intérieur de la ville, tout sera redistribué d’une manière ou d’une autre. Pour la même raison, les statistiques USE ne sont pas divulguées - vous comprenez vous-même que les gens iront dans certaines écoles et non dans d'autres.

C'est peut-être correct, peut-être pas, mais il y avait beaucoup de projets... Par exemple, Yandex à un moment donné (encore une fois, selon les rumeurs « jaunes », je ne l'ai pas vu, je ne sais pas) a décidé d'ajouter le nombre d'attaques contre les chauffeurs de taxi au modèle de prévision immobilière , c'est-à-dire une sorte d'approche du niveau de criminalité, en comptant le nombre de plaintes des chauffeurs de taxi selon lesquelles quelqu'un les a harcelés, menacés, etc. Ils se sont rapidement retournés à l’intérieur de l’entreprise pour ne pas commettre de telles choses.

Z : – Vous communiquez avec les étudiants, communiquez avec le public de votre pays, de notre pays. Vous avez remarqué au nombre de questions du public que nous sommes encore à ce stade de développement où nous pensons que nous avons besoin de confidentialité, que nous pouvons nous cacher de quelqu'un, protéger nos données sans les fournir, les cacher, les chiffrer. Si l'Union européenne est déjà passée à l'étape suivante, celle de la vie privée, qui implique le contrôle des données - pour obliger tous ceux qui collectent vos données à vous en donner un contrôle effectif... Par échantillons par région, par couche sociale - ce qui des catégories de citoyens, de personnes, etc. Est-il déjà passé à la deuxième étape, ou qui d'autre siège principalement à la première ?

Qui est le plus préoccupé par la sécurité des données personnelles ?

OH: - La majorité totale… Je dirais : tout le monde s'en fiche ! Cela passionne désormais les top managers. Les villes russes sont Moscou et Saint-Pétersbourg. Le centre actif est constitué d'informaticiens, de designers, de métiers créatifs, de tous ceux qui savent filtrer les contenus, acquérir de nouvelles connaissances, avec un grand intérêt pour les problèmes internationaux. Fondamentalement, ce sont des cadres supérieurs ; oui, des informaticiens (sans compter les spécialistes de la sécurité) ; les banquiers, c'est-à-dire toutes les personnes qui peuvent être affectées d'une manière ou d'une autre par une fuite de données.

Si, par exemple, les données d'un chef de famille d'un certain Kaluga sont volées : il est peu probable que quelque chose change sérieusement dans sa vie si quelqu'un lui vole, par exemple, l'accès à Gmail, où il conserve l'accès aux publications en série. La question est que la loi protège tout le monde de manière égale, et à juste titre, car... du point de vue de la loi, tout le monde est égal - ha ha... mais le plus important est qu'il est impossible de comprendre à qui appartiennent les données coûtera combien jusqu'à ce que ces données soient perdues - malheureusement, c'est très difficile à prévoir. Mais surtout cette catégorie de citoyens.

Téléphone - en papillote !

Pour la seule fois de ma vie, j'ai vu un stockage total de tout et de rien dans deux entreprises. One est le plus grand intégrateur de sécurité de l'information : tout, jusqu'à l'USB, est collé à l'intérieur du bureau avec de la colle ; et les gens y vont de la même manière - j'y ai rencontré un homme qui a un téléphone dans un sac en aluminium. J'ai découvert qu'il existe des entreprises qui vendent des sacs spéciaux comme celui-ci. Et la deuxième fois, j'ai vu une histoire similaire dans Bloomberg parmi les employés : nous étions dans un fumoir, et quelqu'un prenait des photos quelque part, et l'un d'eux - "Pour que nous ne soyons pas visibles là-bas en arrière-plan !" Je me dis "Oh wow!"

«Nous valons mieux que le FSB»

Je ne voudrais pas dire que cela représente moins d’un pour cent de la population, mais malheureusement, dans la masse, presque tout le monde s’en fiche. Mais d'un autre côté, j'ai un service scandaleux de surveillance des agissements des mineurs (nous l'avons lancé il y a longtemps sous le slogan « Nous valons mieux que le FSB ») pour avertir un parent qu'un mineur fait des poubelles, avant notre propre algorithme, installé où - quelque chose là-bas, quelqu'un lui enverra.

Lors de la vérification d'un enfant, vous devez envoyer un scan du passeport (c'est fondamentalement une pratique normale), mais nous avons écrit que vous pouvez couper le numéro de passeport, car cela ne nous intéresse pas ; nous ne sommes intéressés que par votre photo, votre hologramme et votre prénom. Et près de 100 % des personnes - enfin, environ 95 passeports sur 100 - ont soigneusement découpé ces numéros dans Photoshop et n'ont envoyé que la bonne partie. Autrement dit, ils ont compris - oui, s'ils n'en ont pas besoin, alors ils n'ont pas besoin de l'envoyer. À mon avis, il s’agit d’une sorte de progrès réel, auquel ils ont été poussés par la méfiance à notre égard.

Z : - La sélection est tellement précise. Il y a des gens qui postulent, ils sont déjà avancés.

Les gens ne veulent pas être suivis, mais ils ne lisent pas les accords.

OH: - Oui. Et la seconde, c’est la même chose : nous avons lancé une application de rencontres à la fin de cette année-là (nous la redémarrerons bientôt). Il y avait un groupe témoin de 100 15 personnes. Et là, selon les approches RGPD, il y avait 98 cases à cocher dans mon compte - j'autorise à analyser l'interaction avec l'interface, à accéder à mes données démographiques, à accéder à la reconstruction faciale 2D, à accéder à mes messages personnels, etc. Nous avons peint au maximum toutes sortes d'accès. Même quelque part, il existe des statistiques sur qui a coché quoi. XNUMX% ont laissé toutes les cases cochées par défaut (malgré le fait qu'ils sont allés sur cette page et ont tout vu, mais ils s'en foutaient), mais ces XNUMX% étaient intéressants pour analyser ce qui était une priorité pour les gens.

Tout le monde a supprimé l'autorisation d'accéder aux messages privés et presque tout le monde a supprimé l'autorisation d'accéder aux données des tests sexuels (ce qu'ils aiment là-bas, ce qu'ils y ont rempli, leurs perversions - je plaisante). Mais les gens ont été poussés dans celui-ci, poussés : l'interface leur dit - lisez attentivement ceci, permet de faire défiler cet accord jusqu'au bout. Mais cela a été fait uniquement parce qu’il s’agissait d’un projet de recherche et que tout le monde était prévenu. Aucune entreprise, y compris nous, lorsqu'elle rendra cette application au public, n'obligera une personne à lire ce message jusqu'au bout, parce que... eh bien, désolé, c'est comme ça que ça marche.

À condition qu'ils soient venus nous voir en sachant ce que fait l'entreprise, en sachant qu'ils se sont adressés à un service qui vous proposera des candidats en fonction du type de porno que vous aimez - même sur cette base, seulement 2% lisent ces cases et en général avoir fait quelque chose. Et puis presque aucun d'entre eux n'a décoché la case "Accès au trafic et aux données sur la visite d'autres pages Web". Au fond, tout le monde s’inquiétait des messages privés.

Nudité et débarquements pour les likes - lois intéressantes des républiques fraternelles

Z : – J’ai une question sur la protection des données. Vous pouvez porter un téléphone en aluminium, faire comme s'ils n'existaient pas... Ensuite, il s'avère que vous sauvegardez, sauvegardez, mais vous devez ensuite donner vos données à l'État, car il l'exige de vous, et vous Je ne peux tout simplement pas... Et puis il s'avère que les entrepreneurs du gouvernement sont tous pleins de trous. Et en Biélorussie, il existe toujours une telle norme : si je vérifie la sécurité de mes données personnelles (je corrige quelque chose et y accède), alors je deviens immédiatement un criminel. Le même article a été utilisé pour accuser les journalistes de « l’affaire BelTa » d’avoir obtenu un accès non autorisé à des données (vous pouvez le lire vous-même). Ici, propre, et une question : si de telles restrictions sont une mesure efficace pour la vie privée, en général pour la sécurité des données privées ?

OH: - Je comprends. Il existe de nombreuses lois très intéressantes en Biélorussie. Je viens de l'apprendre récemment... Je plaisante sur le transfert de nudité, mais il s'avère que c'est interdit pour vous.

Z : - Manifestation interdite !

OH: - C'est un peu étrange.

Z : - Vous pouvez regarder, vous ne pouvez pas transmettre, vous ne pouvez pas aimer. Vous ne pouvez pas regarder ensemble !

OH: - Je vais répondre à votre question. Je reviendrai sur le sujet du « sit-in pour les likes » à Moscou. En Russie, c’est le sujet numéro un. Je ne sais pas comment c'est en Biélorussie, mais, pour être honnête, l'État… Si vous analysez les statistiques, à Moscou, 95 atterrissages pour des likes sur 100, c'est quand les gens se plaignent des gens, quelqu'un écrit au bureau du procureur à propos d'un autre personne. L’État engage très rarement de telles affaires. Il me semble que cette loi est absolument absurde. Je ne connais pas un seul véritable criminel qui ait été emprisonné pour cela. Mais cette mesure sert à imputer au moins quelque chose à une personne. Il me semble que c'est le plus étrange. Je pense qu'un jour, ce sera annulé.

Z : - C'est ce qu'on appelle rester sous le capot.

OH: - Eh bien, euh, d'accord... Je ne peux pas le dire. Je ne suis pas vraiment un monstre pro-État, mais ma perception est légèrement modifiée, vous savez, par les gens qui viennent nous voir et nous disent : « Mon enfant a disparu, aidez-moi à le retrouver. Je dis : « Je ne peux rien faire sans la permission du tribunal ». Regardez ces parents qui donneraient tout dans leur vie, ils donneraient accès à n'importe quelle donnée - juste pour résoudre leur problème. Il m’est donc très difficile de mener une telle discussion : d’une part, je pense que l’État fait ce qu’il faut lorsqu’il attrape de vraies personnes, et d’autre part, donner un accès incontrôlé est généralement une histoire terrible.

Je reviens à ton truc, "désolé" d'avoir été distrait. Je ne crois pas du tout aux sacs en aluminium. Avoir un téléphone portable et l’emballer dans du papier d’aluminium est un peu stupide. Pourquoi le faire? Pour ne pas connecter le téléphone au Wi-Fi ? Il est plus facile de l'éteindre. Pour que l'opérateur mobile ne vous identifie pas ? Ils peuvent donc toujours trilatérer le signal, le calculer d'une manière ou d'une autre. Pour moi, les seules mesures de sécurité efficaces sont le stockage, protégé, comme un réseau local - peut-être dans un appartement où l'on peut stocker quelque chose.

Z : - C'est une question de droit. La législation est-elle punitive envers une personne qui souhaite vérifier ses données ?

OH: - Je comprends, oui. Je ne connaissais même pas cette chose, donc je ne peux pas vous le dire avec certitude. Cela n’existe pas en Russie, même si tout y est très difficile. Vous pouvez probablement consulter des avocats qualifiés et, peut-être, il y a une sorte de faille - peut-être le déposer auprès d'une Cour européenne... Non ? Je ne peux pas vous en parler. Ma connaissance du droit est superficielle, au niveau du chef d'entreprise. Je sais quoi ne pas faire sans que personne ne te dise rien. Bien sûr, c’est très triste.

Z : - Je veux dire, dans d'autres pays (par exemple, aux États-Unis), il est normal de tester une sorte de vulnérabilité, puis de la déclarer, mais de ne pas la divulguer.

OH: Oui, la prime aux bugs. Je comprends qu'il y en a.

Z : « Et les entreprises n'ont pas de mécanisme pour vous retirer parce que c'est moins cher.

OH: « Cette chose frise aussi le niveau de la loi. Cela dépend de la façon dont vous trouvez cette vulnérabilité. Il me semble qu'une grande partie de l'argent payé pour cette vulnérabilité aux États-Unis l'a été dans le cadre d'un accord de non-divulgation et sous la menace de poursuivre cette personne en justice. C'est aussi comme tenir une bougie. Nous risquons toujours ce genre de chose. Mes employés ont découvert des vulnérabilités similaires à plusieurs reprises dans toutes sortes d'applications gouvernementales. Je dis toujours : "Il vaut mieux envoyer une lettre anonyme que de leur dire que le trou est là." Et puis viendra un institut de recherche qui fournira ce service... En général, je ne continuerai pas plus loin.

Vérifier l’honnêteté d’une entreprise ne fonctionnera pas : si vous ne l’aimez pas, ne l’utilisez pas

Z : - Une question. Vous avez dit que vous aviez mené une expérience - 15 cases devaient être cochées... Disons que l'utilisateur annule toutes les cases. Qui va le contrôler et comment ? Comment le vérifier ?

OH: - Honnêtement, je vais vous le dire : personne ni rien. Sérieusement. Le fait que vous ayez coché et décoché la case « Interdiction du suivi publicitaire » chez Google ne veut rien dire du tout. Malheureusement, même lorsque vous interdisez l'indexation des moteurs de recherche sur Vkontakte, les moteurs de recherche l'indexent toujours, puis ne donnent tout simplement pas ces résultats à certaines personnes. Tout cela est dû au manque d’autorités compétentes qui ne peuvent pas vérifier cela. De plus, les entreprises qui le font sont privées. Facebook a une bonne ou une mauvaise position, ils n'en ont qu'une : si vous ne l'aimez pas, ne l'utilisez pas.

A propos de la réglementation

Z : Je n'ai qu'une seule question simple. Et que pensez-vous de la question de la régulation du traitement des données, de l’autorégulation ?

OH: - En tant que représentant de l'entreprise, je pense que le marché et les entreprises ont besoin d'une autorégulation. Je crois que l’association Big Data peut tout réguler elle-même, sans l’État. Je me méfie vraiment de la réglementation gouvernementale et je me méfie vraiment de toutes les histoires selon lesquelles l'État veut conserver quelque chose, car chaque cas a montré que c'est très mauvais. Quelqu'un collera sûrement le login et le mot de passe sur l'autocollant jaune du moniteur, et ainsi de suite.

En général, je crois à l’autorégulation. De plus, je crois que dans les 5 prochaines années, nous parviendrons à une certaine ouverture. Même aujourd’hui, on peut déjà le constater dans l’actualité : il est très difficile pour l’État de mentir aux utilisateurs, il est très difficile pour les utilisateurs de mentir au système. Et cela, en principe, est probablement une bonne chose. Puisque nos agents de renseignement sont calculés à partir de photos publiques
Tout cela conduit à une diminution du niveau de criminalité. Eh bien, purement mathématique. Si quelqu'un souhaite parler de réduction du niveau de criminalité, il peut tirer toutes sortes de conclusions. D'une manière générale, je suis pour l'autorégulation du marché. Merci!

Quelques publicités 🙂

Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, cloud VPS pour les développeurs à partir de 4.99 $, un analogue unique des serveurs d'entrée de gamme, que nous avons inventé pour vous : Toute la vérité sur le VPS (KVM) E5-2697 v3 (6 Cores) 10Go DDR4 480Go SSD 1Gbps à partir de 19$ ou comment partager un serveur ? (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).

Dell R730xd 2 fois moins cher dans le centre de données Equinix Tier IV à Amsterdam ? Ici seulement 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199$ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus Comment construire une infrastructure corp. classe avec l'utilisation de serveurs Dell R730xd E5-2650 v4 qui valent 9000 XNUMX euros pour un sou ?

Source: habr.com