Día da Protección de Datos Persoais, Minsk, 2019. Organizador: organización de dereitos humanos Human Constanta.
Presentador (en diante B): – Arthur Khachuyan dedícase a... Podemos dicir “no lado escuro” no contexto da nosa conferencia?
Arthur Khachuyan (en diante - AH): –No lado corporativo, si.
EN: – Recolle os teus datos, véndeos a corporacións.
OH: - En realidade non…
EN: – E dirá como as empresas poden usar os teus datos, que pasa cos datos cando se conectan. Probablemente non che dirá que facer ao respecto. Pensaremos máis...
OH: - Xa cho direi, xa cho direi. De feito, non cho contarei durante moito tempo, pero nun evento anterior presentáronme a un home cuxo Facebook ata bloqueaba a conta do seu can.
Ola a todos! Chámome Arthur. Realmente fago tratamento e recollida de datos. Por suposto, non lle vendo ningún dato persoal a ninguén do dominio público. Broma. O meu campo de actividade é extraer coñecemento a partir de datos de código aberto. Cando algo legalmente non son datos persoais, senón que se poden extraer coñecemento del e facer que teña o mesmo valor que se estes datos se obtiveran de datos persoais. Non vos direi nada realmente asustado. É certo, isto é sobre Rusia, pero tamén teño cifras sobre Bielorrusia.
Cal é a escala real?
Xusto antes de onte estiven en Moscova nun dos principais partidos gobernantes (non vou dicir cal), e discutimos a posta en marcha dalgún proxecto. E iso significa que o director de TI deste partido érguese e di: "Vostede dixo, números e así por diante, xa sabe, a 2a Dirección do FSB preparoume aquí unha nota, que di que hai 24 millóns de rusos nas redes sociais. . E dis - 120-algo. De feito, máis de trinta [millóns] de nós non usamos Internet". Eu digo que si? OK".
A xente non se dá conta da escala. Non son necesariamente axencias gobernamentais, que probablemente non entendan ben como funciona Internet, pero en realidade a miña nai, por exemplo. Só agora comezou a entender que lle dan unha tarxeta en Perekrestok por un motivo, non polos lamentables descontos que ofrece Perekrestok, senón polo feito de que os seus datos se usan despois en OFD, compras, modelos de previsión, etc.
En xeral, hai moitos veciños, e hai información sobre tantos en fontes abertas. Dalgunhas persoas só se sabe o seu apelido, doutras sábese todo, ata o porno que lles gusta (sempre bromeo con isto, pero é certo); e todo tipo de información: con que frecuencia viaxa a xente, con quen coñecen, que compras realizan, con quen viven, como se mudan, moita información de todo tipo que os rapaces malos, non tan malos e bos poden usar (non nin sequera sei que escala crear agora, pero non obstante).
Hai redes sociais, que, por suposto, son un conxunto xigantesco de datos abertos, xogando coas debilidades das persoas que parecen estar gritando pola privacidade. Pero en realidade é así: se imaxinas un gráfico nos últimos 5 anos, o nivel de histeria sobre os datos persoais está a medrar, pero ao mesmo tempo o número de contas pechadas nas redes sociais está a diminuír de ano en ano. Quizais non sexa do todo correcto sacar conclusións disto, pero: o primeiro que detén a calquera empresa que recolle datos é unha conta estúpidamente pechada nas redes sociais, porque a opinión dunha persoa dentro da súa conta pechada, se non ten 100 mil subscritores, non é moi interesante para calquera análise; pero tamén hai casos deste tipo.
De onde obteñen información sobre nós?
Algunha vez os teus vellos amigos da escola chamaron á túa porta cos que non falaches durante moito tempo e despois desapareceu esa conta? Hai isto entre os malos que recollen teléfonos: analizan os amigos (e a lista de amigos case sempre está aberta, aínda que unha persoa peche o seu perfil, ou a lista de amigos pódese restaurar "na dirección contraria" recollendo todos outros usuarios), collen algún inactivo o teu amigo, fan unha copia da súa páxina, chaman á porta do teu amigo, engádeo e despois de dous segundos elimínase a conta; pero queda unha copia da túa páxina. Isto é, de feito, o que fixeron os mozos recentemente, cando 68 millóns de perfís de Facebook voaron nalgún lugar: engadiron a todos como amigos do mesmo xeito, copiaron esta información, incluso escribiron a alguén en mensaxes privadas, fixeron algo...
As redes sociais son unha enorme fonte de información, en case o 80% dos casos a información tómase sobre unha persoa específica non directamente, senón do entorno inmediato: isto é todo tipo de coñecemento indirecto, signos (chamámoslle a "Ex-noiva malvada". ” algoritmo), porque un dos meus amigos deume esta idea absolutamente brillante. Nunca seguiu ao seu mozo, sempre seguiu aos seus cinco amigos e sempre soubo onde estaba. Esta é realmente unha razón para escribir un artigo científico completo.
Hai un gran número de bots que tamén fan todo tipo de cousas boas e malas. Hai inofensivos que te subscriben estúpidamente para que logo che fagan publicidade de cosméticos; e hai redes serias que intentan impoñer as súas opinións, sobre todo antes das eleccións. Non sei como está en Bielorrusia, pero en Moscova, antes das eleccións municipais, por algún motivo tiven un gran número de amigos estraños, cada un facendo campaña por un candidato diferente, é dicir, non analizan absolutamente o contido que Consumo: só intentan impoñer algún tipo de reforma incomprensible, tendo en conta o feito de que non estou rexistrado en Moscova e non vou votar.
O vertedoiro de lixo é unha fonte de información perigosa
Ademais, está Thor, que non está tan subestimado: todo o mundo pensa que hai que ir alí só para comprar drogas ou descubrir como se montan as armas. Pero en realidade hai moitas fontes de datos. Case todos son ilegais (como, ilegais), porque alguén podería piratear a base de datos dunha compañía aérea nalgún sitio de piratas informáticos e lanzalo alí. Legalmente, non pode usar estes datos, pero se obtén algún coñecemento del (como nun tribunal estadounidense), por exemplo, non pode usar a gravación dunha conversación de audio feita sen unha orde, senón o coñecemento que recibiu deste audio. gravando, non o esqueceres, e aquí é o mesmo.
Isto é realmente unha cousa moi perigosa, así que sempre bromeo, pero é verdade. Eu sempre pido comida na casa veciña, porque o Delivery Club avaria moi a miúdo, e realmente ten tales problemas. E recentemente quedei moi sorprendido: estaba a pedir alimentos e na caixa que levaba ao lixo había un adhesivo que dicía "Arthur Khachuyan", número de teléfono, enderezo do apartamento, código de intercomunicador e correo electrónico. Incluso tentamos negociar co concello de Moscova para que nos dese acceso ao vertedoiro: en xeral, veña ao almacén de residuos e intente, por simple interese, buscar algunha mención aos datos persoais, facer algo así. unha mini-investigación. Pero rexeitaronnos cando se decataron de que queriamos vir cos empregados de Roskomnadzor.
Pero isto é realmente certo. Viches a incrible película "Hackers"? Estaban mirando no lixo para atopar algunha parte do virus. Isto tamén é algo popular: cando a xente bota algo en fontes abertas, esquécese diso. Este podería ser algún sitio web da escola onde escribiron unha disertación sobre a supremacía branca, e despois foron á Duma Estatal e esquecéronse del. Estes casos ocorreron realmente.
Que lles gusta aos membros de Rusia Unida?
Se vas á sección superior do sitio web de LifeNews... Os estudantes fixeron un estudo para min hai dous anos: levaron a todos os participantes nas primarias de Rusia Unida (todos enviaron oficialmente as súas contas de redes sociais á Central de toda Rusia). Comité Executivo), mirou o que en xeral lles gustaba: pornografía infantil, lixo, anuncios incomprensibles de estrañas mulleres adultas... En xeral, a xente parece esquecelo.
Despois escribiron unha carta dicindo que roubaran as contas de vinte persoas. Pero roubáronlles as contas hai dúas semanas, hai 8 meses que as someteron á comisión electoral, e os gustos foron hai dous anos... En xeral, entendes, non? Hai unha enorme cantidade de información alí que sempre se pode usar incluso para fins de investigación.
Minioftopchik: onte vin a noticia de que Roskomnadzor bloqueou a investigación dos estudantes de HSE hai dous anos. Quizais alguén viu esta noticia, non? Foron os meus alumnos os que fixeron a investigación: eles de Tor, da web de Hydra onde se venden medicamentos (perdón, de Rampa), recolleron información sobre canto custa, en que rexión de Rusia e fixeron a investigación. Chamábase "A cesta do consumidor do Partido Popular". Isto, por suposto, é algo divertido, pero desde o punto de vista da análise de datos, o conxunto de datos é realmente interesante; despois, durante outros dous anos, fun a todo tipo de "hackathons". Isto é algo real: hai moitas cousas interesantes alí.
Como Get Contact "comprou as almas" dos usuarios curiosos e por que cómpre ler o contrato de usuario
Normalmente, cando lle preguntas a unha persoa que tipo de fuga de datos tes medo (sobre todo se a persoa ten unha cámara web cuberta), sempre pon a estrutura de prioridades como esta: hackers, estado, corporacións.
Isto é, por suposto, unha broma. Pero, de feito, analistas de datos activos, todo tipo de investigadores de datos roubaron moito máis que, a min paréceme, os terribles piratas informáticos rusos, estadounidenses ou calquera outro (substitúe a calquera, dependendo das túas crenzas políticas). En xeral, todo o mundo adoita ter medo diso; seguro que todos tedes a cámara web cuberta? Nin sequera tes que levantar as mans.
Pero se os piratas informáticos están facendo algo ilegal e o Estado necesita permiso xudicial para obter datos, entón os mozos [corporacións] máis recentes non necesitan nada, porque teñen un acordo de usuario, que ninguén le nunca. E realmente espero que este tipo de acontecementos aínda obriguen á xente a ler os acordos. Non sei como é en Bielorrusia, pero en Moscova a mediados dese ano houbo unha onda da aplicación "GetContact" (probablemente o sabías), cando apareceu da nada unha aplicación que dicía: dálle a aplicación acceso a todos os teus contactos e mostrarémosche como te gravaron de xeito divertido.
Non saíu nos medios, pero moitos empregados de alto rango queixábanme de que todo o mundo comezaba a chamalos todo o tempo. Ao parecer, os administradores decidiron atopar o número de teléfono de Shoigu nesta base de datos, outra persoa... Volochkova... Unha cousa inofensiva. Pero aqueles que leron o contrato de licenza de GetContact - di: spam ilimitado nun tempo ilimitado, venda incontrolada dos seus datos a terceiros, sen restrición de dereitos, estatuto de limitacións e, en xeral, todo o que sexa posible. E esta non é unha historia tan rara. Por exemplo, Facebook, mentres estaba alí, mostraba notificacións 15 veces ao día: "Sincroniza os teus contactos e atoparei a todos os teus amigos que teñas!"
Ás corporacións non lles importa. Lei Federal 152 e GDPR
Pero, de feito, as prioridades van na dirección contraria, porque as corporacións están protexidas polo dereito privado e, polo tanto, en case todos os casos é imposible demostrar que están equivocadas. E tendo en conta o feito de que é grande, asustado e moi caro, isto é case imposible. E se tamén estás en Rusia, cunha lexislación obsoleta, todo é completamente triste.
Sabes en que se diferencia a lei rusa (e é practicamente bielorrusa) de, por exemplo, o GDPR? A Lei Federal Rusa 152 protexe os datos (esta é unha reliquia do pasado soviético) - un documento que protexe os datos de fugas nalgún lugar. E o GDPR protexe os dereitos dos usuarios: o dereito a que se lles prive dalgunhas liberdades, privilexios ou outra cousa, porque os seus datos se filtrarán nalgún lugar (introduciron ese concepto directamente nos "datos"). Pero con nós, todo o que che poden cobrar é unha multa polo feito de non ter un Excel certificado "Aberto" para o tratamento de datos persoais. Espero que isto cambie algún día, pero creo que non nun futuro próximo.
Cales son as opcións de orientación reais hoxe en día?
A primeira historia, probablemente de medo, na que todos pensaban constantemente foi ler mensaxes persoais. Seguramente hai entre vós unha persoa que algunha vez dixo algo en voz alta e despois recibiu publicidade dirixida. Si, houbo tales? Levante as mans.
En realidade, non creo na historia de que o "Navegador Yandex" condicional recoñeza o audio directo no fluxo para todos os usuarios, porque aqueles que tiveron un pouco de experiencia co recoñecemento de voz entenden que: en primeiro lugar, o centro de datos Yandex debería ser cinco veces máis; pero o máis importante é que o custo de atraer a esa persoa custaría moito diñeiro (recoñecer o audio nun fluxo e comprender de que fala a persoa). Pero! De feito, hai algoritmos que te etiquetan usando determinadas palabras clave para despois facer algún tipo de comunicación publicitaria.
Houbo moitos estudos como este, e 100 veces fixen contas en branco, escribín algo a alguén en mensaxes e, de súpeto, recibín un anuncio que parecía non ter nada que ver con iso. En realidade hai dúas conclusións aquí. Contra tal historia, crese que unha persoa simplemente cae nalgún tipo de mostra estatística; Digamos que es un mozo de 25 anos que, neste mesmo momento, debería ter atopado un curso de inglés no mesmo momento en que lle escribiches a alguén. Polo menos, Facebook sempre di isto no xulgado: que hai un determinado modelo de comportamento que non che mostraremos, que foi construído a partir de datos que non che mostraremos, temos unha investigación interna que definitivamente non che mostraremos ( porque todo é un segredo comercial); en xeral, incluícheste nalgunha mostra estatística, polo que llo mostrámos.
Como a privacidade de Facebook enfureceu aos seus usuarios
Desafortunadamente, isto é xeralmente imposible de probar a menos que teñas alguén dentro da empresa que confirme dalgunha maneira estas accións. Pero na lei estadounidense, neste caso, o acordo de non divulgación deste empregado é superior ao seu desexo de axudarche, polo que ninguén o fará. Tamén é interesante -foi hai un ano ou ano e medio- unha tendencia comezou a desenvolverse en América, cando a xente instalaba unha extensión de navegador para que cifrase as mensaxes de Facebook: escribes algo a unha persoa, el encriptao con unha chave no dispositivo e envía o lixo ao dominio público.
Facebook leva ano e medio demandando a esta empresa, e non está claro por que motivos (porque non entendo ben a lei americana) obrigou a eliminar esta aplicación e despois fixo unha modificación no acordo de usuario: se Mira, hai unha cláusula así: que non podes transmitir mensaxes en forma cifrada -descríbese dalgún xeito tan intelixente que non podes usar algoritmos criptográficos para modificar mensaxes-, ben, hai tal cousa. É dicir, dixeron: ou usas a nosa plataforma, escribes no dominio público ou non escribes. E isto suscita a pregunta: por que necesitan mensaxes persoais?
As mensaxes persoais son unha fonte de información XNUMX% fiable
Esta é unha cousa moi sinxela. Todos os que analizan a pegada dixital, a actividade humana, intentan dalgún xeito utilizar estes datos para marketing ou outra cousa, teñen unha métrica como a fiabilidade. É dicir, unha determinada imaxe dunha persoa - enténdese perfectamente, esta non é a persoa en si - esta imaxe sempre ten un pouco máis de éxito, un pouco mellor. As mensaxes persoais son coñecemento real que se pode obter sobre unha persoa; case sempre son 100% fiables. Ben, porque raramente alguén escribirá algo a alguén en mensaxes privadas, enganará, e todo isto pódese verificar con moita facilidade, en consecuencia, segundo outras mensaxes (entendes do que falo). A cuestión é que o coñecemento adquirido deste xeito é case 100% fiable, polo que todo o mundo está sempre intentando conseguilo.
Pero, con todo, isto é todo, de novo, unha historia moi difícil de demostrar. E aqueles que cren que o chamado VKontakte ten tal acceso para as axencias de aplicación da lei para as mensaxes persoais non é totalmente certo. Se só miras o historial das solicitudes xudiciais de divulgación de información, podes ver como VKontakte loita con gran astucia (neste caso Mail.ru) contra estas solicitudes.
O seu principal argumento é sempre: por lei, as axencias policiais deben xustificar por que é necesario o acceso ás mensaxes persoais. Por regra xeral, se se trata dun asasinato, o investigador sempre di que o máis probable é que a persoa dixese onde escondeu a arma (en mensaxes persoais). Pero ti e eu entendemos que nin un só criminal sensato escribiría aos seus cómplices en VKontakte sobre onde escondeu un arma de fogo. Pero esta é unha das opcións comúns que denuncian os funcionarios.
E aquí hai outro exemplo tan terrible (pedíronme que dese exemplos terribles hoxe) - sobre Rusia (espero que isto non suceda en Bielorrusia): segundo a lei, o investigador debe ter motivos suficientemente convincentes para que o operador revele esta información. . Por suposto, estes parámetros fiables non se describen en ningún lado (o que deberían ser, en que forma), pero en Rusia hai agora un número crecente de precedentes cando tal base aparece para o tribunal se hai un determinado modelo que predixo un determinado, bo ou malo, comportamento.
É dicir, no noso país ninguén pode ser encarcerado (e isto é bo) por estar incluído nalgunha mostra estatística de asasinos de raza pura -e iso é bo, porque vulnera a presunción de inocencia-; pero hai precedentes nos que os resultados de tales previsións foron utilizados para obter o permiso xudicial para obter datos. Non só en Rusia, por certo. Tamén hai tal cousa en América. Alí, "Palantir" tamén matou a todos durante moito tempo, usan cousas semellantes. Conto de medo.
Esta é a miña investigación. Fixemos isto: paseamos por San Petersburgo, en lugares con puntos verdes, escribimos algúns puntos clave para amigos de contas "limpas", como "Quero tomar café", "onde podo mercar detergente?" etcétera. E entón, en consecuencia, recibiron publicidade xeo-ligada. De que xeito máxico... Ou como dicían: “Coincidencia? Non penses!" Estas son mensaxes persoais en VKontakte. Que Mail.ru me perdoe, pero é así. Calquera pode repetir tal experimento.
Por certo, cando escribiron unha declaración de apoio, Mail dixo que alí había puntos wi-fi e que o seu enderezo Mac foi capturado. Isto tamén existe.
Métodos de obtención e opcións comúns de filtración de datos persoais
A seguinte historia é unha extracción de coñecemento adicional, un anaco do que realmente toquei. De feito, o perfil completo dunha persoa nas redes sociais contén un 15-20% do coñecemento real que o operador de datos almacena sobre el. O resto da historia sae de cousas moi interesantes. Por que cres que Google está a desenvolver tanto bibliotecas para a visión por ordenador? En particular, foron dos primeiros en desenvolver bibliotecas específicamente para analizar e categorizar obxectos: en segundo plano, en primeiro plano, non importa onde. Porque esta é unha gran fonte de información adicional sobre que tipo de apartamento ten unha persoa, un coche, onde vive, artigos de luxo...
Había moito recheo de "hackers" cando se fusionaron as redes neuronais adestradas de Google (non sei de quen eran, pero aínda así). Había moita información interesante sobre o tema do tamaño do peito, o tamaño da cintura - que a xente non intentaba descubrir outras persoas baseándose na análise de fotografías. Porque cando unha persoa fai unha foto, non sempre pensa en cantas cousas interesantes pode aprender dela? Cantos pasaportes recén nacidos se publican en Rusia?... Ou: "¡Vaia, o meu bebé ten un visado"! Esta é xeralmente a dor da sociedade moderna.
Outro tema offtopic (compartirei os feitos contigo hoxe): en Moscova, a filtración de datos persoais máis común é na vivenda e nos servizos comunais, cando se colga na porta unha lista de debedores e estes debedores demandan porque os seus datos persoais púxose a disposición do público sen os seus permisos. E se che pasa isto... A cuestión é que cando unha persoa fai algo, non sabe o que había nesa fotografía, o que non había. Agora hai moitos números de coches.
Unha vez fixemos un estudo -tratamos de entender cantas persoas con fotos abertas de coches (teñen, polo tanto, infraccións, etc.)-, isto, desafortunadamente, só se puido facer utilizando as bases de datos fusionadas da policía de tráfico, onde só hai un número (información pouco fiable), pero tamén foi interesante.
O teu próximo anuncio depende de como consumiras o anterior
Esta é a primeira historia. A segunda historia son os patróns de comportamento, o contido que consume unha persoa, porque unha das métricas máis importantes que as redes sociais tratan de construír sobre ti é como interactúas coa publicidade. Por moi precisos e "increíbles" que sexan os algoritmos, por marabillosa que sexa a intelixencia artificial e todo o demais, a verdadeira prioridade dunha rede social é sempre gañar cartos. Polo tanto, se a chamada "Coca-Cola" chega e di: "Quero que todos os residentes de Bielorrusia vexan a miña publicación", verano, independentemente do que opinen os algoritmos sobre esta persoa e de como apuntala alí. Probablemente recibiches publicidade, ademais de tonterías súper súper orientadas e completamente sen relación. Porque pagaron moitos cartos por este despropósito non relacionado.
Pero unha das principais métricas é comprender con que contido interactúas mellor, é dicir, como reaccionas ante el, para mostrarche unha historia publicitaria similar. E en consecuencia, esta é unha métrica de como interactúas coa publicidade: quen a prohibe, quen non, como fai clic unha persoa, se só le os titulares ou se cae completamente no material; e despois, partindo diso, seguir mantendo nisto, como agora se chama, "burbulla de filtro", para que sigas interactuando con este contido.
Se algunha vez che interesa, podes probar durante moito tempo, durante unha semana, quizais un mes, simplemente prohibindo toda a publicidade das redes sociais: móstranse algún anuncio e pechalo. Se o analizas e o pons nun gráfico, aparecerá unha historia interesante: se prohibes a publicidade durante unha semana, a próxima semana amosarache unha versión mellorada e en xeral de distintas categorías; é dicir, condicionalmente, adoras os cans e móstranse anuncios con cans: prohibiches todos os cans, e despois comezarán a mostrarche todo tipo de tonterías variadas desde diferentes opcións para tentar comprender o que necesitas.
E despois, ao final, cuspiránche, marcaránche como unha persoa que non interactúa coa publicidade, poñeránche unha cruz, e nese momento comezarán a mostrarche anuncios de marcas exclusivamente ricas. É dicir, neste momento só verás anuncios de Coca-Cola, Kit-Kit, Unilever e toda a xente que está a gañar moito diñeiro porque necesitas aumentar as visualizacións. Realice un experimento durante un mes: prohíba toda a publicidade durante unha ou dúas semanas, despois vexa todo seguido e prohíbao; ao final, só verá publicidade, como se verá máis tarde (e din as axencias de publicidade), só clientes que pagan por visualizacións, porque é imposible entender como interactúas con estes anuncios.
A pornografía é vista con máis frecuencia por aqueles que tenden a mergullarse profundamente no contido.
En consecuencia, aquí tes unha historia sobre todo tipo de seguimento do comportamento. Teño un exemplo interesante: os visitantes dun sitio web do goberno. O curioso é que canto máis profundidade ten a xente, máis persoas prefiren ver pornografía ás relacións tradicionais. "Síntoo" que sigo falando deste tema, pero en realidade teño unha moi boa relación con Pornhub, e esta sempre é unha investigación moi interesante, porque este é un tema que parece tabú, pero que di moito sobre unha persoa. E os seguintes puntos que seguen disto sobre o retorno do tráfico... Tamén lembraremos sobre "Pornohub"!
Que se consideran datos persoais e é posible desbloquear un iPhone cun modelo facial 3D?
O meu favorito é eludir a lei de privacidade. Se le a documentación técnica do mesmo Facebook, que achegou algúns documentos internos (por exemplo, ao xulgado), non atoparás nela ningunha mención de recoñecemento facial ou análise de voz. Haberá formulacións moi complexas que ningún avogado cualificado atopará dentro da lexislación. Aquí en Rusia funciona aproximadamente do mesmo xeito: mostrareiche isto agora.
Que ves aquí? Calquera persoa normal dirá que a cara. Esta, por certo, é Sasha Grey, na miña opinión. Pero legalmente, esta é unha matriz de certos puntos tridimensionais, dos cales hai 300 mil. Para ben ou para mal, isto non se considera datos persoais por lei. En xeral, a RKN rusa non considera unha fotografía como datos persoais; considérao datos persoais se hai algo máis preto (por exemplo, nome completo ou número de teléfono), e esta fotografía en si mesma non é nada. Tan pronto como se introduciu a lei de biometría, e os datos biométricos foron equiparados con datos persoais (polo tanto, de xeito moi groso), todos comezaron inmediatamente a dicir: isto non son datos biométricos, isto é unha serie de puntos! Especialmente se tomas unha transformada de Fourier directa ou inversa a partir desta matriz de puntos, parece que non podes desanonimar a unha persoa a partir desta transformación, pero podes identificala. Puramente teoricamente, isto non viola a lei.
Tamén fixen outro estudo: este é un algoritmo que constrúe unha reconstrución tridimensional dunha cara usando fontes abertas: tomamos unha conta de Instagram e despois podemos imprimir a cara nunha impresora 3D. Por certo, para os que estean interesados, teño unha ligazón de dominio público; se de súpeto alguén quere desbloquear o iPhone de alguén... É unha broma: o iPhone non se pode desbloquear, a calidade redúcese.
Un perfil pechado é unha vantaxe para a seguridade
Isto é o primeiro, e o segundo... Xa toquei o feito de que a información se obtén principalmente da contorna do usuario. Debuxei esta imaxe en 17: o usuario medio das redes sociais rusas está dentro, ten unha media de 200-300 amigos, os seus amigos de amigos e os seus amigos de amigos de amigos.
Grazas ás redes sociais por introducir algoritmos para e-feeds "intelixentes", anos integrais, supostamente para aumentar a probabilidade de que atopes algún contido interesante. Este é o número de persoas que poden ver o contido que produces en calquera momento aleatorio, aínda que a túa conta estea limitada só aos niveis superiores de privacidade (só para amigos de amigos, etc.). Estes son os amigos dos amigos:
Se alguén pensa que cando elixe ver "amigos de amigos" en "As miñas publicacións" en VK, entón tres apretóns de mans son aproximadamente 800 mil persoas, o que en principio non é tan pouco, pero depende do teu contido. Quizais esteas facendo algunhas emisións indecentes e todos estes amigos de amigos poidan interactuar con este contido. Un deles pode volver a publicar algo nalgún lugar, todas as persoas teñen un feed de Gústame, que de feito probablemente se cancele, porque non é algo moi agradable. Polo tanto, en calquera momento o contido pode acabar nalgún lugar.
VK lanzou perfís superpechados ese ano, pero ata agora só un número moi reducido de persoas os utilizou (non direi cantos, pero é pequeno!). Quizais algún día a xente o descubra; espero sinceramente que si. Toda investigación está constantemente dirixida a que a xente comprenda a escala dos problemas. Porque ata que alguén específicamente se vexa afectado por algunha cousa terrible, nunca pensará niso. Adiante.
Os organismos gobernamentais non saben que son os datos persoais e non teñen présa por definilos
Calquera especialista en dereito de datos persoais sempre di o seguinte: nunca é preciso combinar diferentes fontes de datos, porque aquí tes correos electrónicos (só son datos persoais con algúns identificadores anónimos), aquí tes o teu nome completo... Se este combina todo, parece que se converterán en datos persoais. En xeral, sería correcto tocar primeiro este tema, pero penso que xa estás inmerso nel e quizais coñeces como funciona a lei.
De feito, ninguén sabe que son os datos persoais. Concepto importante! Cando chego ás axencias gobernamentais, digo: "Unha botella de coñac para quen che poida dicir cales son os datos persoais". E ninguén pode dicir. Por que? Non porque sexan parvos, senón porque ninguén quere asumir a responsabilidade. Porque se Roskomnadzor di que se trata de datos persoais, mañá alguén fará algo, e terá a culpa; e son autoridades executivas e non deben ser responsables de nada.
A cuestión é que a lei establece claramente que os datos persoais son datos polos que se pode identificar a unha persoa. E hai un exemplo: nome completo, enderezo da casa, número de teléfono. Pero ti e máis eu sabemos que podes identificar a unha persoa por como preme os botóns e por como interactúa coa interface e por outros parámetros indirectos. Se alguén está interesado: en case todas as áreas hai un gran número de lagoas.
Identificadores que nos revelan
Por exemplo, todo o mundo comezou a establecer puntos para capturar enderezos de Mac (seguramente xa atopaches isto antes?) - Os fabricantes intelixentes (ou non sei, codiciosos) de equipos móbiles, como Apple e Google, introduciron rapidamente algoritmos que dan saíu un enderezo MAC aleatorio para que non poidas, fose posible identificar cando camiñas pola cidade e enviar a todos o teu enderezo MAC. Pero os mozos intelixentes viñeron aínda máis lonxe coa seguinte historia.
Por exemplo, pode obter unha licenza de operador móbil; Despois de recibir unha licenza de operador móbil, terás acceso a isto: chámase o protocolo SS7, a través do cal verás algo de aire dos operadores móbiles; hai unha morea de todo tipo de identificadores que non son datos persoais. Antes era o IMEI, pero agora, literalmente, alguén o quitou da lingua e decidiu manter unha única base de datos destes "IMEI" en Rusia (unha iniciativa). Existe algo, pero aínda así.
Tamén hai, por exemplo, unha morea de identificadores, por exemplo, IMCI (identificador de equipos móbiles), que non son datos persoais nin están vinculados a ningunha outra cousa e, en consecuencia, pódese gardar sen ningún proceso legal e, a continuación, con quen. Dalgunha maneira intercambia estes identificadores para comunicarse coa persoa máis tarde.
A cultura de traballar con datos persoais é baixa
En xeral, a cuestión é que agora todo o mundo está moi preocupado por combinar datos entre si, e a maioría das empresas que fan esta combinación ás veces nin sequera pensan niso. Por exemplo, chegou un banco, fixo un acordo de confidencialidade cunha empresa que fai scoring e trasladoulle 100 mil dos seus clientes...
E este banco non sempre ten unha cláusula no seu acordo de cesión de datos a terceiros. Estes clientes revolveron algo alí, e non está claro a onde foi esta base de datos despois, non foi - a maioría das empresas en Rusia non teñen unha cultura de borrar datos... - este "Excel" seguro que acabará nalgún lugar. o ordenador da secretaria e despois colga.
Os nosos datos pódense vender con cada compra na tenda
Hai moitos esquemas que parecen case legais (é dicir, legais). Por exemplo, a historia é a seguinte: dos 15 maiores bancos rusos, só dous son en realidade pasarelas de SMS: Tinkoff e Alfa, é dicir, envían as súas propias mensaxes SMS. Outros bancos usan pasarelas de SMS para enviar SMS aos clientes finais. Estas pasarelas de SMS case sempre teñen dereito a analizar o contido (por exemplo, por seguridade e algunhas das súas conclusións) para despois vender estatísticas agregadas. Estas pasarelas de SMS son "amigos" dos operadores de datos fiscais que procesan cheques.
E resulta o seguinte: viñeches á caixa, o operador de datos fiscais (deronche, non che deron o teu número de teléfono - de algún xeito está vinculado alí) ... recibes un SMS ao teu número de teléfono, o a pasarela destes SMS ve os últimos 4 díxitos da tarxeta e o número de teléfono. Sabemos en que momento realizou unha transacción do operador de datos fiscais, e en SMS sabemos (agora) a que número a información sobre o cargo de tal ou tal cantidade de diñeiro con tal ou cal os catro últimos díxitos da tarxeta foi recibido. Os catro últimos díxitos da tarxeta non son os teus identificadores, non infrinxen a lei, porque non poden anulalo e o importe da transacción tampouco.
Pero se acordou co operador de datos fiscais, sabe en que xanela de tempo (máis ou menos 5 minutos) debería chegar este SMS. Así, foi ligado rapidamente no OFD ao teu número de teléfono, e o teu número de teléfono está ligado a identificadores de publicidade, en xeral a todo, todo, todo. Polo tanto, poden poñerte ao día máis tarde: viñeron á tenda e despois enviáronche outras tonterías sen permiso. Creo que non hai case ninguén nesta sala que teña escrito algunha queixa á FAS sobre spam. Case non hai... Excepto por min, probablemente.
Os papeis son un xeito arcaico pero eficaz de loitar polos teus dereitos
Isto funciona moi ben. É certo, terás que esperar ano e medio, pero o FAS comprobará: quen, como, a quen transferiu os datos, por que onde, etc.
Pregunta da audiencia (en diante – XNUMX): – Non hai FAS en Bielorrusia. Este é un país diferente.
OH: - Si, entendo. Seguro que hai algún analóxico...
As obxeccións veñen do público
OH: - Vale, mal exemplo, perdón. Non importa. Entre os meus amigos, non coñezo a ninguén que saiba en principio sobre a existencia de tal historia - que podes ir escribila e despois traballarán un ano máis.
A segunda historia, que tamén se está a desenvolver moito en Rusia, pero creo que atoparás un análogo no teu propio país. Gústame moito facer isto, cando unha axencia gobernamental se comunica mal contigo, algún banco ou outra cousa: dis: "Dáme un papel". E escribe nun papel: "De conformidade co parágrafo 14 da Lei Federal 152, pídolle que trate os datos persoais en papel". Non sei como se fai isto exactamente en Bielorrusia, pero certamente faise. Segundo as leis rusas, non tes dereito a rexeitar un servizo con esta base.
Incluso coñezo a moitas persoas que enviaron cousas similares a Mail.ru e pediron que manteñan rexistros dos seus datos persoais en papel. Mail.ru loitou isto durante moito tempo. Incluso coñezo a un programador de Yandex sobre o que se bromeaba: eliminaron a súa conta VK e enviáronlle unha chea de capturas de pantalla impresas e dixeron que lle enviarían capturas de pantalla cada vez que quixese actualizar a súa páxina.
É curioso, pero non obstante esta é unha alternativa real se alguén lle importa moito os datos, por unha banda... E por outra banda, o mesmo RKN díxome que este acordo de tratamento de datos persoais é formal, e o A lei prevé varias opcións máis para dar este consentimento. E que, por exemplo, fun convidado aquí a un evento, e se, por exemplo, Human Constanta non pode chegar a un acordo comigo sobre o tratamento de datos persoais no marco das leis rusas (porque o mesmo feito de que eu vin e aceptado falar é o consentimento para o procesamento de datos persoais) - todo o mundo aínda toma estes permisos en papel. Pero a RKN díxome algo parecido, que non é un feito en absoluto, que moi probablemente algún día desaparecerán.
Espero que en Rusia nunca creen un só operador, Deus me perdoe, de datos persoais, porque o único peor que meter todos os datos persoais nunha cesta é metelos na cesta estatal. Porque quen sabe que pasará con todo isto despois.
As empresas comparten datos persoais e as leis son débiles para regulalo
A maioría das empresas intercambian algún tipo de datos e identificadores entre si. Podería ser unha tenda cun banco, e despois un banco cunha rede social, unha rede social con outra cousa... E ao final, estas persoas teñen unha certa masa crítica de coñecemento que se pode utilizar dalgún xeito, e todo este coñecemento é certo, agora intentan mantelo do seu lado. Pero, con todo, entón aínda acaba nalgún tráfico de publicidade ou noutro lugar.
Transferir datos a terceiros é o máis divertido que pode pasar, porque as leis non describen que tipo de terceiros son, a quen deberían ser considerados "terceiros". Esta, por certo, é unha frase moi común dos avogados estadounidenses -téñena Terceiros- quen, a quen consideras que son terceiros: avoa, bisavoa?... Mesmo houbo tal precedente en América, cando Os datos de alguén foron divulgados, a persoa presentou unha demanda e demostraron que esta persoa coñecía o propietario dos datos a través de varios amigos -un certo número de apretóns de mans, citaron algúns estudos sociolóxicos estraños- así demostraron que estas persoas non poden ser consideradas terceiras. partidos entre si. Divertido. Pero o feito de transferir tales datos é moi común.
Aínda que vaias a un sitio onde haxa un contador para a identificación, este contador ten dereito a transferir os datos deste tráfico a algún lugar (a Clickstream, propietarios de plataformas publicitarias para calquera cousa, Pornhub, por exemplo). Pornhub, se algún de vós é un programador web, vexa cantos píxeles de seguimento hai no sitio web de Pornhub. Acaba de entrar e cargar alí unha gran cantidade de script java, como para mellorar o funcionamento do sitio. De feito, alí tamén se instalan "cookies" entre dominios, que non hai, porque esta información sempre é moi valorada no mercado do "clickstream".
Facebook está tambaleando e non se vai quitar a máscara
Por suposto, ningún dos principais actores lle di a ninguén a quen e como venden datos. Por iso, por exemplo, Europa agora intenta demandar a Facebook. Xusto despois da introdución do GDPR, a Unión Europea está a tentar sacudir a propia divulgación de algoritmos de Facebook para a revenda de datos a terceiros.
Facebook non o fai e declara publicamente que non o fai porque son unha "corporación da paz" (cito dun correo electrónico que me enviaron) e están "en contra do uso nocivo da tecnoloxía" (sobre todo se vendes). recoñecemento facial ao Kremlin). En xeral, a cuestión é que Facebook non o fai con total honestidade: o seu obxectivo principal e o principal que sucederá en canto se revele un mecanismo deste tipo é que se poida calcular realmente a marxinalidade da publicidade, será posible. posible comprender o custo real da publicidade.
Convencionalmente, se agora Facebook diche que o custo dunha impresión publicitaria é de 5 rublos, e vendemosche por 3 (e, como, quedan dous rublos), e eles, condicionalmente, reciben o 5% do beneficio de estas impresións publicitarias. De feito, este non é o 5%, senón o 505, porque se este algoritmo sae á luz (a quen e como lle trasladou Facebook cantas veces "clickstream", datos de visita, datos de píxeles a todo tipo de redes publicitarias), resulta que que están a gañar cartos moito máis do que se di ao respecto. E o punto aquí non é o diñeiro en si, senón o feito de que o custo dun clic é un rublo, pero de feito - centésimas de copeques.
En xeral, a cuestión é que todo o mundo está intentando ocultar esa transmisión, non importa se é tráfico publicitario ou non publicitario, pero existe. Desafortunadamente, non hai forma de sabelo legalmente, porque as empresas son privadas, e todo o que teñen dentro é o seu dereito privado e o seu segredo comercial. Pero historias semellantes apareceron alí moi a miúdo.
Os narcotraficantes son previsibles e "quebradizos" en Avito
A última imaxe desta presentación. É curioso, e a súa esencia é que hai certas categorías de persoas que están moi preocupadas polos seus datos persoais. E iso é bo, de feito! Este exemplo trata dunha categoría de persoas como os narcotraficantes. Parece que as persoas que deberían estar moi preocupadas polos seus datos persoais...
Trátase dun estudo que se realizou a principios deste ano baixo a supervisión das autoridades competentes. Si, este é un guión ao que se lle deu diñeiro para comprar drogas en Telegram e Thor, pero só daquelas persoas que puideron ser identificadas.
De feito, case todos os narcotraficantes de Moscova confían no feito de que o seu número de teléfono non está en fontes abertas, pero tarde ou cedo venderán algo en Avito, a partir do cal será posible comprender a localización aproximada destas persoas. A cuestión é que os puntos vermellos son onde vive a xente, e os puntos verdes son onde van para deixar sabes que. Esta foi unha das partes do algoritmo que predixo a colocación dos servizos de patrulla, pero estes mozos de Moscova sempre intentan ir dalgunha maneira en diagonal, máis lonxe.
Eles cren que se viven na parte superior esquerda, entón deberían ir na parte superior dereita e definitivamente nunca se atoparán alí. O que che digo é que se intentas esconderte dos algoritmos omnipresentes, a verdadeira opción máis xenial é cambiar o teu modelo de comportamento: instalar algún tipo de "Goster" para aleatorizar visitas, posesións, etc. Oh meu Deus, incluso hai algoritmos e complementos que cambian o tamaño do navegador nun par de píxeles para que non se poida calcular a sinatura, a "pegada dixital" do navegador e identificarte dalgún xeito.
Iso é todo o que quería dicir. Se tes preguntas, avísanos. Aquí tedes unha ligazón á presentación.
Pregunta do público (Z): – Por favor, dime, dende o punto de vista do uso de Thor, dende o punto de vista do seguimento do tráfico... Recoméndaso?
É difícil ocultar, pero é posible
OH: - "Thor"? "Thor" non, de ningún xeito. É certo, non sei como é en Bielorrusia; en Rusia, nunca deberías ir alí, porque case a maioría dos "gracenodes" verificados engaden de súpeto certos paquetes ao teu tráfico. Non sei cales, pero se miras: hai “nodos” que marcan o tráfico, non está claro quen fai isto, para que fins, pero alguén o marca na cabeceira para que se entenda máis adiante. En Rusia, agora gárdase todo o tráfico, aínda que estea almacenado en forma cifrada, e todos están a buscar o paquete Yarovaya sobre o feito de que se almacena o tráfico cifrado, pero permanece marcado, é dicir, non se pode usar nin descifrar. .
Z: – Leva moito tempo almacenado en Europa, probablemente dez anos.
OH: - Si, entendo. Todo o mundo rí disto, como se almacenas un https que non se pode ler. Non se pode ler o contido, pero pódese entender de onde proviñan os paquetes usando certos algoritmos: polo peso dos paquetes, pola lonxitude, etc. E cando tes todos os provedores baixo o teu control, tes, en consecuencia, todo o equipamento da columna vertebral e todos os pasaportes... En xeral, entendes do que falo?
Z: - Que navegador recomendas usar?
OH: -¿Para "Thor"?
Z: - De ningunha maneira.
OH: - Pois non o sei. De feito, uso Chrome, pero só porque o panel de desenvolvedores é o máis cómodo. Se de súpeto necesito ir a algún lugar, irei a algún café. É certo, non é necesario iniciar sesión cunha tarxeta SIM real.
Z: – Falabas duns alumnos. Ensinas nalgún lugar ou realizas algún curso?
OH: – Si, temos un máster en xornalismo de datos. Adestramos aos xornalistas para que recompilen datos e os analicen; periódicamente realizan investigacións similares.
Non hai aplicacións seguras
Z: – Non é seguro comunicarse con amigos en Facebook, Vkontakte, para non recibir publicidade contextual máis tarde. Como pode mellorar a seguridade?
OH: – A cuestión é cal considera vostede un nivel de seguridade aceptable. En principio, non hai palabra "seguro". A pregunta é que consideras aceptable. Algúns consideran aceptable intercambiar fotografías íntimas a través de Facebook, e algúns axentes de intelixencia cren que todo o que se dixo pola boca, mesmo á persoa máis próxima, é de feito inseguro. Se non queres que a rede social descubra algo sobre iso, entón si, é mellor non escribir sobre iso. Non coñezo ningunha aplicación segura. Temo que non os hai. E isto é normal dende o punto de vista de que calquera propietario de calquera aplicación necesita monetizara dalgún xeito, aínda que esta aplicación sexa gratuíta ou sexa algún tipo de soporte. Parece ser libre, pero aínda necesita vivir de algo. Polo tanto, nada é seguro. Só tes que decidir por ti mesmo, por así dicilo, o que che convén.
Z: – Que usas?
OH: - ¿Redes sociais?
Z: - De mensaxeiros.
OH: – En canto aos mensaxeiros, uso o principal mensaxeiro estatal da Federación Rusa: Telegram.
Z: - "Viber". É seguro?
OH: – Escoita, non son moi versado en mensaxeiros. Para ser sincero, non creo na seguridade, non creo en nada, porque iso probablemente sería moi estraño. Aínda que Telegram é unha especie de código aberto, e os seus algoritmos de cifrado foron divulgados. Pero isto tamén é algo complicado, porque hai un cliente "de código aberto", pero ninguén viu os servidores. Creo que non: hai moito spam, bots, etc. Viber. Quen sabe. Non creo que todo isto funcione moi ben.
Quen é máis perigoso: as empresas ou o Estado?
Anfitrión (B): – E teño esta pregunta para ti. Mira, mencionaches isto de pasada un par de veces, que o Estado... Demasiados datos non son moi bos... A corporación ten demasiados datos. Ben, iso é só a vida, non? Entón, a quen debemos ter máis medo: ás empresas ou ao Estado? Onde están as trampas?
OH: -Esa é unha pregunta moi difícil. Limita. Barreira ética complexa. Unha persoa, se non ten nada que temer, se non incumpriu a lei, en principio, por que precisa privacidade? Aínda que non o creo, o Estado opina. Quizais hai algo de verdade nisto. Escoita, ao que máis medo son os hackers, algo así. De feito, a maior crueldade que vin na miña vida (de todo este tema): hai un ano e medio ou dous anos, un pederasta foi capturado na rexión de Moscova e durante as accións de investigación atoparon varios titoriais de Python e scripts no seu ordenador, API VK. Recolleu as contas das nenas, analizou cal delas estaba preto, recolleu o contido que elas... En fin, xa tedes a idea. Esta é a merda máis grande que vin. E isto é o que teño moito medo, que algún día alguén faga algo semellante.
Outro pequeno "offtopic": a Organización Europea para a Seguridade do Estado fixo un informe ese ano de que o número de roubos en contas bancarias aumentou preto dun 20, 25 por cento cando se pirateou un asunto secreto. Pensa agora na túa pregunta secreta no banco e pensa se podo descubrir a resposta a ela en fontes abertas. Se tes alí o apelido de solteira da túa nai ou o teu prato favorito... En xeral, a xente analizaba as contas, en base a iso entendía o nome da súa mascota favorita, algo así...
Z: – Dixeches que as empresas e corporacións recollen a información necesaria mediante algoritmos? Seguro que sabes como?
OH: – Houbo un movemento de persoas que no seu momento facían pasar fotografías a través dun filtro especial, para que este filtro rompese a análise das imaxes, polo que sería imposible identificar posteriormente dalgunha maneira a estas persoas. Aquí vos puxen un exemplo: Facebook loitou coa criptografía de mensaxes. E se isto aparece e se xeneraliza, probablemente as redes sociais o loitarán. Ademais, o recoñecemento de imaxes agora funciona moi ben, e iso roza co feito de que o nivel suficiente para "romper" esta foto (para "romper" o algoritmo que recoñece estas imaxes) - o máis probable é que xa non teña nada claro. non ser.
Todo tipo de filtros de falla funcionan ben se hai un forte desprazamento directo na metade da foto. Despois, a túa conta adoptará todas as cores do LSD. Puramente teoricamente, non creo que asuste moito que Facebook, por exemplo, descubra que tipo de coche teño, probablemente se non inicie sesión no coche a través de Facebook.
A lei do esquecemento funciona, pero non en Internet
Z: – Encontrou algún usuario que o obrigase a respectalo, borralo, acceder. Operas con grandes cantidades de datos, probablemente o notifiques. A xente pode contactar contigo. Que porcentaxe?
OH: - Xa cho contarei. Agora é aquí onde se pon realmente interesante. Agora vou contar cantas persoas virán, porque despois do evento, o 15-20% sempre entra, enche un formulario para eliminar datos - hai tal cousa. En realidade, trátase dun 7-8% das contas pechadas que non analizamos, e dunhas 5 persoas de cada mil que piden borrar os seus datos. Isto é moi pouco, mesmo na miña humilde opinión.
O problema aquí é o seguinte: existe a lei do esquecemento. Pero a lei do esquecemento, polo menos en Rusia, aplícase legalmente só aos buscadores. Di aí mesmo: buscadores. E iso significa eliminar só as ligazóns a materiais, e non os propios materiais. En realidade, para eliminar algo de Internet, terás que evitar todas estas fontes, polo que basicamente non creo niso. Tentamos avisar aos usuarios de que deben pensar primeiro antes de publicar.
Ata agora esta porcentaxe é moi pequena: 5-7 persoas de cada miles. Por certo, sobre a lei do esquecemento: todo o mundo coñece un caso tan chulo "Sechin contra RBC". A lei do esquecemento funcionou, o artigo foi eliminado, pero está en todas partes. Entendes que se algo chega unha vez a Internet, nunca desaparecerá de alí.
Os usuarios son eliminados, pero identifícanse polo comportamento típico
Z: – Non cres que as persoas que borran as súas contas e intentan converterse nun “buraco negro” estarán en desvantaxe con respecto a outros axentes económicos?
OH: - Probablemente, si - esta situación será desfavorable para eles. Hai moitos descontos e ofertas que dependen deles. Pero, puramente teoricamente, se unha persoa elimina unha conta agora... É popular entre todo tipo de extremistas, cando eliminan unha conta e fan unha falsificación, pero seguen interactuando co mesmo contido: esta persoa, de novo, pódese identificar. (especialmente se está dentro da mesma rede social , desde un ordenador - isto é xeralmente unha pregunta); Simplemente baseándose no modelo de consumo de contidos, será posible atopar a esta persoa se existe tal tarefa.
Espero que nos próximos 5 anos apareza algún tipo de tecnoloxía para monetizar estes datos, cando realmente sexa posible pagar diñeiro a unha persoa: pagarás a ti mesmo e non usaremos os teus datos. Pero penso que se algún Instagram introduce unha subscrición de pago, ninguén a utilizará, polo que a alternativa é pagar aos usuarios polos seus datos. Pero isto non sucederá moi pronto, porque o lobby dos empresarios asustadizos non permitirá que se aprobe unha lei, aínda que sería xenial. Pero o punto aquí é que é imposible estimar o valor real dos datos dunha persoa nun momento específico.
Facebook - rapaces con fugas
Z: - Boas tardes. Hai pouco, apareceron noticias de que Facebook pretende integrar todos os seus proxectos, incluídos Instagram e Facebook, WhatsApp, etc. Que opinas, dende o punto de vista dos datos persoais, cando agora no meu smartphone estes programas parecen colgar por separado, pero aínda pertencen a Facebook?.. Que pasará despois?
OH: - Entendo. Xuridicamente, xa pertencen a Facebook, e pode unilos sen control dentro de si mesmo, polo que penso que nada vai cambiar. O único é que agora é suficiente para cortar unha aplicación para conseguir todo á vez. E Facebook... Espero que estean vendo. Mozos terriblemente con fugas en todos os lugares.
Recentemente, apareceu moita información sobre isto, sobre as fugas de datos de Facebook. Isto non apareceu porque Facebook comezou a perder estes datos de súpeto, senón porque agora o GDPR obriga á empresa a avisar con antelación. E a multa máis grande é se se produciu unha filtración, pero a empresa gardou silencio respecto diso, e por iso Facebook agora fala diso. Isto non significa que estas filtracións de datos non se producisen antes.
Z: - Ola. Teño unha pregunta sobre o almacenamento de datos. Agora cada estado está a introducir unha lei para garantir que os datos dos cidadáns se almacenen no territorio dese estado. Que condición é suficiente cumprir para cumprir con esta lei para algunha aplicación internacional?.. Por exemplo, Facebook: só hai unha base de datos...
Como cumprir estas condicións?
OH: – Escoita, legalmente só tes que alugar un servidor neste país e poñerlle algo. O problema é que non existe unha autoridade reguladora competente. Os datos de Facebook non existen en Rusia. Roskomnadzor está loitando e loitando con eles, loitando e loitando... Facebook ten parte dos servidores onde se atopa a interface deste mesmo Facebook, e é imposible comprobar onde están realmente os datos e como se sincronizan.
Z: -¿Comprobar o tráfico?
OH: -¿Comprobar o tráfico? Si. Pero o tráfico pode entón ir a algún punto principal. Ademais, pode haber algo así como unha VPN ou outra cousa entre os servidores. Puramente teoricamente, non hai forma de controlar que, por exemplo, un administrador do sistema non inicie sesión nun día neste servidor e tome algo de alí. É dicir, esta lei non se fixo en aras da protección de datos, senón para garantir que as empresas abran oficinas de representación, paguen impostos e almacenen mercadorías no país. Pero na miña opinión, esta é unha especie de iniciativa moi estraña, para ser honesto.
Z: - Entón, é suficiente con comprobar a interface?
OH: Alguén pode acudir a ti e comprobar que os teus datos están alí. Pero pode mostrar algún tipo de Excel, e ninguén poderá verificalo, case ninguén o comprobará. Agora simplemente miran os enderezos IP: que o enderezo IP asociado ao dominio está situado no territorio do país - non comproban máis. Agora, probablemente, virán a verme.
Non hai servizos nos que poidas confiar ao 100%, pero a xente decente non ten nada que temer
Z: - Esta é unha noticia, reeditada en moitos lugares: un tipo publicouno desde Microsoft, fixo un servizo para comprobar o seu...
OH: – Algo así como: filtáronse os teus contrasinais? De feito, despois das mesmas filtracións en Facebook, o mesmo Facebook sempre lanza algún tipo de sitios de copia de seguridade nos que se pode comprobar que non está incluído nesta base de datos; de novo, o GDPR esixe isto. É dicir, se non fas isto, non te sentirás moi ben. Por iso, agora todos presentan estes proxectos como “esta é a nosa iniciativa”; de feito, a lei o esixe. En realidade, isto é moi interesante, pero non confiaría en tales servizos de verificación se necesitas enviar algo máis complexo que o teu contrasinal, porque moitas persoas teñen os mesmos contrasinais.
Z: – Só tes que introducir o teu correo electrónico, e xa che din cantas veces se comprometeu...
OH: – De feito, non me fío de tales cousas, porque é moi sinxelo vincularte a este navegador, a unha conta real. Especialmente se usas os servizos das mesmas persoas que lanzaron este sitio. É como aquel ano no que Facebook enviou: se as túas fotos íntimas se filtraron en Facebook, envíanos e nós comprobaremos onde se mencionaron.
Non sei que tipo de pesadelo de relaciones públicas é este e quen en Facebook o inventou, pero realmente pasou. Querían ver se alguén enviara os teus espidos en mensaxes privadas. En principio, isto serve para bos propósitos, pero é o máis estraño posible. Non me fiaría del.
Z: - E unha pregunta máis. Para o usuario medio, cantos son os riscos de fugas? Riscos de danos por fugas.
OH: - Eu te entendín. Depende do tipo de datos a almacenar. Creo que non moi alto. O peor é se os teus correos electrónicos e contrasinais escapan nalgún lugar e tes este contrasinal en todas partes, entón si. En xeral, penso que os usuarios pouco teñen que temer. Pero a non ser que, por suposto, almacenen algún desmembramento no correo de Google. Houbo moitos exemplos.
A historia máis famosa está en Google, cando unha nena foi secuestrada en Utah, non a puideron atopar e, nun momento dado, os secuestradores enviáronlle fotos nun arquivo adxunto. E Google, escaneando este anexo, atopou sinais de pornografía infantil. Atoparon a todos. E tamén conseguiron denunciar a Google por violar a confidencialidade da correspondencia. Este xuízo levou moito tempo. Pero, con todo, creo que o usuario medio non ten nada que temer se non pon, por exemplo, o seu pasaporte a disposición do público. Esta é unha historia dobre, dependendo de que tipo de datos e que tipo de usuario. Quizais agora estea ben, pero dentro de 15 anos, cando se faga algún tipo de funcionario, algúns dos seus materiais sairán á luz.
Como funciona co goberno?
Z: - Grazas. Falou un pouco de facer investigacións para o estado, as axencias gobernamentais, os servizos e traballar con eles. Quizais poidas falarnos un pouco máis dalgúns proxectos actuais. Aínda máis, se podes, sobre... Dúas cuestións: a primeira de proxectos actuais, e a segunda de se houbo propostas deste tipo dos servizos públicos...
OH: - Indecente!
Z: - Si. Cando pensaches: quizais non deberías facer isto.
OH: - Vouche dicir. Dígollo a todos. Esta persoa e eu discutimos durante moito tempo en Twitter. Unha vez recibín unha pregunta do equipo de Twitter de Milonov sobre atopar profesores que ven porno gay. Inmediatamente dixemos que non. Pero hai algunhas, moitas veces veñen cartas, e moitas veces está relacionada con algúns opositores, mitins. Non lidamos con tal despropósito, todo o mundo bótanos unha merda igualmente. Non me avergoño disto.
Temos a seguinte política con respecto aos "estados": desenvolvemos software, software para reconstrución tridimensional, recoñecemento facial e análise de datos. É moi difícil dicir o que fan exactamente, pero os modelos inclúen previsión de delitos, cousas relacionadas coa seguridade do Estado dentro da cidade, movementos de persoas, xeomarketing, etc. Desde a colocación de obxectos no medio urbano ata a identificación de pederastas, violadores, maníacos e todo tipo de malos.
Sinceramente, non participamos en ningunha actividade da oposición. Quizais non nos digan isto á cara. De feito, este é un problema moi grande: a cooperación cos "gobernos", porque non sempre explican cal é a tarefa. Dinche: fai software para identificar ás amas de casa, pero en realidade van facer outra cousa con el: todo se rompe.
Ademais, o estado é un cliente moi interesante e estraño que tenta constantemente inserir tres céntimos na túa investigación, e moitas veces os seus enfoques e comprensión da aprendizaxe automática son moi superficiais. Por exemplo, teño unha conferencia separada sobre erros de aprendizaxe automática. Sempre poño un exemplo alí: cando estabamos facendo un sistema de previsión de crimes na rexión de Moscova, o cliente dixo: onde venden sandías, por favor, aumente o coeficiente catro veces. E entón, de feito, resultou que os lugares onde se venden sandías non son delituosos. Estes son simplemente erros dunha persoa que aporta os seus pensamentos.
En resumo, o estado é un cliente xenial, hai moitas tarefas interesantes alí. A maioría redúcense a modelos similares de predicción de algo. A maioría das veces trátase dun tipo de infraestrutura urbana.
Z: – Hai algunha fonte onde poidas seguir a túa investigación? Moita información. Segundo teño entendido, aínda queda moito pola borda. As túas páxinas, outra cousa...
OH: - Non teño páxinas persoais.
Z: – Probablemente, Facebook xa foi pechado?
OH: – Hai uns catro meses houbo unha historia: enviáronnos a todos unhas cartas tan grandes que “sodes uns monstruos, estades a vender todo ao Kremlin, estades incumprindo todas as regras de Facebook”. Incluso enviaron ao meu can unha carta: "Ola, Mars blue corgi, estás recompilando datos!" etcétera. Escoita, estamos cambiando de marca agora. Dentro de dúas ou tres semanas estará a nosa páxina web e estará todo actualizado. Isto será algo para ver. Pero somos moi preguiceiros simplemente neste sentido.
Como se pode determinar a fiabilidade dunha VPN?
Z: – Cando dixeches que irías a unha cafetería sen identificarte co teu número de teléfono? E baixo que?
OH: - Non se pode dicir "ao nome doutra persoa", porque esta é unha chamada a violar a normativa de identificación. Non non Non. Estou de broma. Agora case todos os cafés identifican todo - non só hai un número de teléfono, hai unha morea de píxeles, hai identificación do dispositivo, enderezo MAC e outras cousas, para usalo máis tarde - desde fins publicitarios ata actividades de busca operativa. Polo tanto, cómpre ter moito coidado con tales cousas. Non só podes escribir algo, senón que poden escribir desde o teu dispositivo, e entón algo sucede.
Podes ter visto a historia sobre como agora están a realizar unha investigación sobre como (en Bielorrusia, por certo, tamén) alugan contas de Facebook, por exemplo, para a publicidade de casinos. Pero de feito, descoñécese por que, tamén dan acceso a un ordenador. Estes son os tipos de cousas que debes evitar o máximo posible. Se decides escribir algo de forma anónima desde algún lugar... Eu viría a un café e activaría unha VPN xenial. Pero de feito (de novo, non estou sinalando co dedo a ninguén), cando tes unha conta cunha VPN, comprobas quen é o propietario desta VPN, que empresa, quen é o propietario desta, etc. Porque a maioría dos xogadores do mercado VPN non son moi bos.
Ben, vale, en Bielorrusia non importa. En Rusia, unha boa VPN compróbase se azino777 está bloqueado alí ou non. Porque se non, hai unha alta probabilidade de que este servizo VPN estea pechado nunha semana. En xeral, comprobe todo.
Acerca da eliminación automática de mensaxes
Z: – Falabas tanto de mensaxes persoais que as redes sociais as len... Pero, por exemplo, Facebook ten mensaxes persoais secretas que se poden configurar (salvo o feito de que tamén están encriptadas) para a súa destrución. Como podes comentar isto?
OH: - De ningún xeito. En primeiro lugar, non son un super profesional da criptografía e, en segundo lugar, o problema aquí é que ninguén viu o servidor de Facebook, ninguén sabe como funciona todo alí. Convencionalmente, algunhas especificacións di que se trata de cifrado de extremo a extremo, pero pode que non sexa así, ou sexa de extremo a extremo, pero con algúns erros ou algo máis. Ten sentido usar tal cousa se tes medo de que a persoa á que llo enviaches nalgún momento intente facer algo.
Telegram ten unha función cómoda para enviar fotos íntimas que se borran automaticamente: cando tentas facer unha captura de pantalla, elimínase automaticamente. O iPhone agora ten unha función para gravar vídeo desde a pantalla, e podes gravar vídeo desde a pantalla e así por diante... Só que moitas veces me envían materiais con esta función (eliminación automática). Nunca entendo por que. Podo descargalo de inmediato! Todo está ao teu criterio.
Valoración social en China: mitos, realidade, perspectivas
EN: - De feito abuso un pouco, aínda que non necesito unha VPN (por certo, temos unha VPN comprobada). E a pregunta é sobre a ética. Temos un amigo marabilloso de Kazajstán, tamén o trouxemos para dar unha conferencia. Unha vez sentámonos con el nunha conferencia, onde falaron de varias cousas, e dixo (e trata da ciberseguridade, é dicir, na súa forma pura, da seguridade da enxeñaría, unha persoa que está interesada en solucións técnicas): “Aquí, Volvín de China. Eles fan unha cousa tan xenial alí: clasificación social". Por certo, fixeches algunha investigación sobre este tema, como lles funciona?
OH: – Vendemos puntuación en Rusia, sei moito diso.
EN: – Entón teño unha pregunta, que nos dirías máis sobre isto? sobre o que quizais nos agarda a todos no futuro. Pero outra cuestión de ética. Dixo tan alegre: "Unha solución de enxeñería interesante!" Tes o teu propio código ético?
OH: - Si, por certo, hai. Hai dous anos presentámolo: xusto despois da historia con Milonov, decidimos clasificar estes proxectos dalgún xeito. Volvendo á clasificación: esta é unha das preguntas súper populares, porque os medios demonizan moito toda esta historia: que á xente non se lles permite ir ao estranxeiro, que son asasinadas cun láser da lúa. Traioche, de novo, cousas de enxeñería...
Se comezas a investigar neste historial, mira que parámetros se inclúen nesta clasificación social, entenderás: inclúe pensións alimenticias pechadas, antecedentes penais, historial de crédito, é dicir, unha cousa realmente incrible dende o punto de vista da enxeñería. Vives sen incumprir a lei, vives ben: danche unha taxa de préstamo baixa. Tes un traballo social importante (por exemplo, un profesor): dásche unha vivenda adecuada. Ao principio, isto confundiu a todos, porque ao principio filtrouse unha historia de que se escribes mal sobre o presidente, a túa valoración baixará. Aínda que non había probas. En defensa da clasificación, direi contra a cualificación que ninguén viu o algoritmo, que parámetros se utilizan realmente alí.
Entón apareceu unha historia de que a máis dun millón de persoas non se lles permitiu saír ao estranxeiro e se lles prohibiu saír. De feito, esta non é unha formulación completamente precisa. Cando recibe un visado (por exemplo, para Europa), dáselle un visado a razón de "70 euros por día" (algo así); Se non aportas xustificantes de ingresos, non se lle dará un visado. En China, o Ministerio de Asuntos Exteriores local decidiu ir un pouco máis aló: simplemente advertiu inmediatamente ás persoas que non teñen diñeiro suficiente que se quere ir ao estranxeiro, non terá diñeiro suficiente. En consecuencia, todo isto foi posteriormente canalizado no concepto de que os pobres non poden saír ao estranxeiro. Isto é unha cousa ética complexa, roza certa presunción de culpabilidade ou inocencia, pero de feito non podo facer unha valoración.
A xente mata, non as armas
O principal que debes entender é que todos estes algoritmos que a sociedade condena non son o problema dos algoritmos. Os algoritmos simplemente fixeron posible analizar moi rapidamente un gran "volume" de persoas, e este problema social elevouse á cima. É dicir, un bot de Microsoft que aprendeu dos chíos e converteuse nun racista: non é culpa do bot, senón dos chíos que leu. Ou unha empresa que decide construír un modelo de empregado ideal analizando os actuais, e resulta que se trata dun varón branco, de xénero, con estudos superiores.
Este non é un modelo que sexa racista, sexista ou calquera outra cousa; estas son as persoas que contrataron a estas persoas (se tiñan razón ou non, non importa). Todo roza simplemente que a intelixencia artificial é malvada, mala, e destruirá o mundo, pero de feito... Se, condicionalmente, agora, por exemplo, o goberno ruso aproba unha lei que non lles dará gratuidade aos opositores. educación, e escribirán software que os identifique e os priva desta educación gratuíta; non é o algoritmo o que terá a culpa. Aínda que ninguén apoia este meu concepto, porque cando digo que non son as armas as que matan a xente, senón a xente, “ti es un fascista” etc.
En xeral, esta é unha solución de enxeñería moi xenial. Debes entender por que isto non ocorrerá, por exemplo, en Rusia. Ti [en Bielorrusia] non terás isto, porque es un estado europeo, todo está ben contigo. Isto non ocorrerá en Rusia por moitas razóns: en primeiro lugar, non temos o mesmo nivel de confianza no sistema de aplicación da lei que en China; Non temos o mesmo nivel de dixitalización. Por que todo funcionou en China? Porque o goberno: teñen medicina dixital, seguro dixital, policía dixital. E a alguén intelixente se lle ocorreu a idea: xuntemos todo e consigamos, esencialmente é un programa de fidelización. Hai máis golosinas que "non bos".
Polo tanto, si, creo que isto non se introducirá en Rusia. Primeiro necesitamos dixitalizar todo o Ministerio de Sanidade (e esta é unha tarefa de 50 anos) - alguén terá que entregar a súa vida para facelo, pero ninguén, naturalmente, o fará. Por outra banda, os bancos rusos son os líderes do mundo en puntuación á xente, non fan nada: “Si, home? Gústanche as mozas novas? Aquí tes unha tarxeta de crédito para a túa amante. Alí está todo moi avanzado. Por exemplo, en América, este tipo de puntuación está prohibida en case todas partes, porque hai leis segundo as cales o banco está obrigado a explicarche por que: “¡Ai! Porque a empresa Social Data Hub mantén a historia durante 10 anos e fulano revelou algo sobre ti. E denunciamos os dous! Pero non temos esas historias.
Por que se gardan silencio as estatísticas?
En principio, apoio a puntuación, se non é unha especie de historia "totalitaria". Pero toda a cuestión é que é imposible prever e avaliar. Esta é a historia máis difícil da ética dos big data: prever o impacto social que terá dentro de 15 anos. Por exemplo, levo moito tempo suplicándolle á fiscalía que abra información sobre o crime. As estatísticas sobre crimes son unha das pedras angulares de calquera estatística; todo o mundo realmente quere isto. Pero, por exemplo, en Rusia non abren estatísticas sobre crimes por unha razón moi sinxela: teñen medo de perturbar a demografía dentro das cidades. Cren que a xente deixará de vivir nalgunhas cidades, e incluso dentro da cidade todo se redistribuirá dalgún xeito. Polo mesmo motivo, non revelan as estatísticas do exame estatal unificado: entendes que a xente irá a algunhas escolas e non a outras.
Quizais isto sexa correcto, quizais non, pero houbo moitos proxectos... Por exemplo, Yandex nun tempo (de novo, segundo os rumores "amarelos", non o vin, non o sei) decidiu engadir o número de ataques aos taxistas ao modelo de previsión inmobiliaria , é dicir, algún tipo de aproximación ao nivel de delincuencia, contando o número de denuncias dos taxistas de que alguén os acosou, ameazou, etc. Axiña o rexeitaron dentro da empresa para non facer tales cousas.
Z: – Te comunicas con estudantes, comunícate con público no teu país, no noso país. Decatácheste pola cantidade de preguntas do público que aínda estamos nesa fase de desenvolvemento cando pensamos que necesitamos confidencialidade, que podemos escondernos de alguén, protexer os nosos datos non fornecendolos, ocultándoos, encriptándoos. Se a Unión Europea xa pasou á seguinte fase, a da privacidade, que implica o control dos datos -para obrigar a todos os que recollen os teus datos a que che dean un control efectivo sobre eles... En base a mostras por rexións, por estratos sociais-. que categoría de cidadáns, persoas, é máis. Pasou xa á segunda etapa, ou quen máis está sentada na primeira?
A quen lle preocupa máis a seguridade dos datos persoais?
OH: – Maioría total... Eu diría: a ninguén lle importa! Isto preocupa agora aos altos directivos. Por cidades en Rusia son Moscova e San Petersburgo. O centro activo son especialistas en informática, deseñadores, profesións creativas, calquera persoa que saiba filtrar contidos, adquirir novos coñecementos, cun alto nivel de interese en temas internacionais. Estes son principalmente altos directivos; si, especialistas en informática (sen contar os especialistas en seguridade); banqueiros, é dicir, todas as persoas que poderían verse afectadas por unha fuga de datos.
Se, por exemplo, se rouban os datos dalgún propietario dalgún Kaluga, é improbable que algo cambie seriamente na súa vida se alguén lle rouba, por exemplo, o acceso a Gmail, onde almacena o acceso ás series de televisión. A cuestión é que a lei protexe a todos por igual, e isto é certo, porque... dende o punto de vista da lei todos son iguais - jaja... pero o máis importante é que é imposible entender de quen son os datos. valerá a pena ata que estes datos desaparezan - por desgraza, é moi difícil de prever. Pero basicamente esta categoría de cidadáns.
Teléfono - en papel aluminio!
Por única vez na miña vida vin o almacenamento completo de todo e todo en dúas empresas. Un é o maior integrador de seguridade da información: todo o que hai, incluso USB, está selado con cola dentro da oficina; e a xente de alí é a mesma: alí coñecín un home que tiña o seu teléfono nunha bolsa de aluminio. Descubrín que hai empresas que venden bolsas especiais coma esta. E a segunda vez que vin unha historia semellante en Bloomberg entre os empregados: estabamos parados na sala de fumadores e alguén estaba facendo fotos nalgún lugar, e un deles - "¡Para que non nos puidesen ver alí ao fondo!" Eu estaba como: "Oh, wow"!
"Somos mellores que o FSB"
Non me gustaría dicir que isto é menos do un por cento da poboación, pero, por desgraza, na masa xeral, a case todo o mundo non lle importa. Pero, por outra banda, teño un escandaloso servizo de vixilancia das actuacións dos menores (puxémolo en marcha hai tempo baixo o lema “Somos mellores que o FSB”), para avisar ao proxenitor de que un menor está a crear lixo. , antes do noso propio algoritmo, instalado onde se lle enviará -alguén.
Ao verificar un neno, cómpre enviar unha dixitalización do seu pasaporte (esta é, en principio, unha práctica normal), pero escribimos que pode cortar o número de pasaporte porque non nos interesa; Só nos interesa a túa foto, holograma e nome e apelidos. E para case o 100% das persoas, ben, uns 95 pasaportes de cada 100, a xente recortou coidadosamente estes números en Photoshop e enviou só a parte necesaria. É dicir, entenderon: si, xa que non o necesitan, entón non precisan envialo. Na miña opinión, este é un verdadeiro progreso, que foi motivado pola súa falta de confianza en nós.
Z: – A mostra é tan específica. Hai xente que solicita, xa está avanzada.
A xente non quere ser rastrexada, pero non le os acordos
OH: - Si. E o segundo é o mesmo: lanzamos unha aplicación de citas para unha proba a finais dese ano (relanzarémola en breve). Había un grupo de control de 100 mil persoas. E alí, segundo os enfoques do GDPR, había 15 caixas de verificación na miña conta persoal: dou permiso para analizar a interacción coa interface, acceder aos meus datos demográficos, acceder á reconstrución facial tridimensional, acceder ás miñas mensaxes persoais, etc. . Describimos todos os accesos posibles na medida do posible. Incluso hai estatísticas nalgún lugar sobre quen marcou que caixas. O 98% deixou marcadas todas as caixas por defecto (a pesar de que foron a esta páxina e viron todas, pero non lles importou), pero foi interesante analizar este 2% polo que era prioritario para as persoas.
Todos eliminaron o permiso para acceder a mensaxes persoais e case todos eliminaron o permiso para acceder aos datos das probas sexuais (o que lles gusta alí, o que encheron alí, as súas perversións, é unha broma). Pero a xente foi pateada nisto: a interface dilles: ler isto atentamente, dáche a oportunidade de percorrer este acordo ata o final. Pero isto fíxose unicamente porque era un proxecto de investigación e todos estaban avisados. Nin unha soa empresa, incluídas nós, cando lance esta aplicación no dominio público, obrigará a unha persoa a ler esta mensaxe ata o final, porque... ben, perdón, así funciona todo.
Sempre que viñesen a nós, sabendo o que fai a empresa, sabendo que acudiron a un servizo que che ofrecerá candidatos en función do tipo de pornografía que che gusta; . E case ningún deles desmarcou o "Acceso ao tráfico e aos datos das visitas a outras páxinas web". Principalmente todos estaban preocupados polas mensaxes persoais.
Desnudos e prisión para os gustos - interesantes leis das repúblicas fraternas
Z: – Teño unha pregunta sobre a protección de datos. Podes levar o teu teléfono en papel aluminio, finxir que non están aí... Entón resulta que o gardas, gardas, pero despois tes que dar os teus datos ao Estado, porque che esixe, e simplemente non podes... E despois resulta que os contratistas do goberno están cheos de buratos. E en Bielorrusia tamén hai tal norma: se comprobo a seguridade dos meus datos persoais (corrixo algo e accedo a eles), entón son inmediatamente un criminal. O mesmo artigo utilizouse para acusar aos xornalistas do "caso BelT" de acceder non autorizados aos datos (podedes lelo vostede mesmo). Entón, a miña propia pregunta é: son tales restricións unha medida efectiva para a privacidade e, en xeral, para a seguridade dos datos privados?
OH: - Entendo. Hai moitas leis moi interesantes en Bielorrusia. Acabo de enterarme hai pouco... Sigo bromeando sobre a retransmisión de espidos, pero resulta que aquí está prohibido.
Z: -¡A manifestación está prohibida!
OH: - Isto é un pouco estraño.
Z: – Podes ver, non podes transferir, non podes gustar. Non podedes velo xuntos!
OH: -Responderei á túa pregunta. Permítanme volver ao tema de "ser preso por me gusta" en Moscova. En Rusia este é o tema número un. Non sei como é en Bielorrusia, pero, francamente, o Estado... Se analizas as estatísticas, en Moscova 95 de cada 100 detencións por me gusta son cando a xente se queixaba de xente, alguén escribe á fiscalía sobre outro. persoa. O Estado moi poucas veces inicia este tipo de casos. Paréceme que esta lei é absolutamente absurda. Non coñezo un só criminal de verdade que fose encarcerado por isto. Pero esta medida úsase para imputar polo menos algo a unha persoa. Paréceme que isto é o máis estraño posible. Creo que algún día será cancelado.
Z: - Isto chámase manter unha tapa.
OH: - Ben, vale... non podo dicir. Non son precisamente un monstro pro-estatal, pero a miña percepción está lixeiramente modificada, xa sabes, pola xente que se achega a nós e din: "O meu fillo está desaparecido, axúdame a atopalo". Eu digo: "Non podo facer nada sen o permiso do xulgado". Miras a estes pais que darían todo nas súas vidas, darían calquera acceso a calquera dato, só para resolver o seu problema. Polo tanto, é moi difícil para min ter tal discusión: por unha banda, creo que o Estado fai o correcto cando atrapa persoas reais, pero por outra banda, dar acceso incontrolado é unha historia xeralmente terrible.
Volvo á túa peza, "perdón" por distraerme. Non creo nada nas bolsas de aluminio. Ter un teléfono móbil e envolvelo en papel aluminio é algo estúpido. Por que facer isto? Para que o teléfono non se conecte á wifi? É máis fácil desactivalo. Para que a operadora móbil non te identifique? Aínda poden trilaterar o sinal e calculalo dalgún xeito. Para min, as únicas medidas de seguridade efectivas son o almacenamento seguro, como unha rede local, quizais nun apartamento, onde poidas gardar algo.
Z: - Hai unha pregunta sobre a lexislación. A lexislación é represiva para unha persoa que quere comprobar os seus datos?
OH: - Entendo, si. Nin sequera sabía sobre isto, así que non che podo dicir con certeza. Non hai tal cousa en Rusia, aínda que alí todo é moi complicado. Probablemente, podes consultar con avogados cualificados e, quizais, haxa algún tipo de fenda, quizais poidas acudir a algún tribunal europeo... Non? Non che podo falar disto. Os meus coñecementos de dereito son superficiais, a nivel de directivo de empresa. Sei que non facer sen que ninguén che diga nada. Isto é, por suposto, moi triste.
Z: – O que quero dicir é que noutros países (por exemplo, nos Estados Unidos) é unha práctica normal que se poida probar algún tipo de vulnerabilidade e logo denunciala, pero non revelala.
OH: - Si, "bug bounty". Decateime de que hai tal cousa.
Z: "E as empresas non teñen un mecanismo para eliminarte porque é máis barato".
OH: – Esta cousa tamén roza o nivel da lei. Depende de como atopes esta vulnerabilidade. Paréceme que gran parte do diñeiro pagado por esta vulnerabilidade en Estados Unidos foi pagado baixo acordos de non divulgación e ameazas de demandar á persoa. Tamén é coma se non estivese sostendo unha vela. Sempre arriscamos a este tipo de cousas. Os meus empregados atoparon vulnerabilidades similares en todo tipo de aplicacións gobernamentais un par de veces; eu sempre digo: "Más vale enviar unha carta anónima que dicirlles que o buraco está aí". E entón chegará algún instituto de investigación que prestará este servizo... En xeral, non vou continuar.
É imposible comprobar a integridade dunha empresa: se non che gusta, non a utilices
Z: - Unha pregunta. Dixeches que realizaches un experimento: houbo que marcar 15 caixas de verificación... Digamos que o usuario cancela todas as caixas de verificación. Quen controlará isto e como? Como podo comprobar isto?
OH: – Dígocho sinceramente: ninguén e de ningún xeito. En serio. O feito de marcar e desmarcar a caixa "Prohibir o seguimento de anuncios" en Google non significa nada. Desafortunadamente, mesmo cando estableces unha prohibición da indexación de buscadores en VKontakte, os motores de busca aínda o indexan e, a continuación, simplemente non proporcionan estes resultados a certas persoas. Todo isto débese á falta de autoridades competentes que non poidan verificalo. Ademais, as empresas que fan isto son privadas. Se Facebook ten unha posición correcta ou incorrecta, ten unha: se non che gusta, non a uses.
Sobre a regulación
Z: - Só teño unha pregunta sinxela. Como te parece o tema da regulación no tratamento de datos e a autorregulación?
OH: – Como representante da empresa, creo que o mercado e o negocio precisan de autorregulación. Creo que a Asociación Big Data pode regular todo por si mesma, sen o Estado. Realmente non me fío da regulación do goberno e non me fío de todas as historias cando o Estado quere gardar algo para si, porque todos os casos demostraron que isto é moi malo. Alguén definitivamente poñerá o inicio de sesión e o contrasinal nun adhesivo amarelo no monitor e así por diante.
En xeral, creo na autorregulación. Ademais, creo que nos próximos 5 anos chegaremos a algún tipo de apertura. Aínda agora xa se pode ver nas fontes de noticias que é moi difícil que o Estado mente aos usuarios, e que é moi difícil que os usuarios menten ao sistema. E isto, en principio, probablemente sexa bo. Xa que os nosos axentes de intelixencia son identificados a partir de fotografías públicas
Todo isto probablemente leva a unha diminución da taxa de criminalidade. Ben, puramente matemáticamente. Se alguén está interesado en falar de reducir a taxa de criminalidade, hai moitas conclusións diferentes que se poden sacar. En xeral, estou a favor da autorregulación do mercado. Grazas!
Algúns anuncios 🙂
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, , un análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato no centro de datos Equinix Tier IV en Amsterdam? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com