Giornata della protezione dei dati personali, Minsk, 2019. Organizzatore: organizzazione per i diritti umani Human Constanta.
Presentatore (di seguito indicato come B): – Arthur Khachuyan è impegnato in... Possiamo dire “sul lato oscuro” nel contesto della nostra conferenza?
Arthur Khachuyan (di seguito – AH): – Dal punto di vista aziendale, sì.
A: – Raccoglie i tuoi dati e li vende alle aziende.
OH: - Non proprio…
A: – E ti dirà come le aziende possono utilizzare i tuoi dati, cosa succede ai dati quando vanno online. Probabilmente non ti dirà cosa fare al riguardo. Ci penseremo ulteriormente...
OH: - Te lo dirò, te lo dirò. In effetti, non ve lo dirò per molto tempo, ma in un evento precedente mi è stato presentato un uomo il cui Facebook ha persino bloccato l'account del suo cane.
Ciao a tutti! Il mio nome è Artù. In realtà mi occupo di elaborazione e raccolta dati. Naturalmente non vendo dati personali a nessuno di pubblico dominio. Prendere in giro. Il mio campo di attività è l'estrazione di conoscenza da dati open source. Quando qualcosa non è legalmente un dato personale, ma da esso è possibile estrarne la conoscenza e renderla dello stesso valore come se questi dati fossero ottenuti da dati personali. Non ti dirò nulla di veramente spaventoso. È vero, si tratta della Russia, ma ho anche dati sulla Bielorussia.
Qual è la scala reale?
Proprio l'altro ieri ero a Mosca in uno dei principali partiti al governo (non dirò quale) e abbiamo discusso dell'attuazione di un progetto. Ciò significa che il direttore IT di questo partito si alza e dice: "Hai detto, numeri e così via, sai, la 2a direzione dell'FSB ha preparato qui una nota per me, in cui si dice che ci sono 24 milioni di russi sui social network . E tu dici: 120 e qualcosa. In effetti, più di trenta [milioni] di noi non usano Internet”. Io dico si? OK".
Le persone non si rendono davvero conto della portata. Non si tratta necessariamente di enti governativi, che probabilmente non comprendono appieno come funziona Internet, ma di mia madre, ad esempio. Solo adesso ha cominciato a capire che alla Perekrestok le danno la carta per un motivo, non per i miseri sconti che le offre Perekrestok, ma per il fatto che i suoi dati vengono poi utilizzati in OFD, acquisti, modelli previsionali e così via.
In generale, ci sono così tanti residenti e ci sono così tante informazioni su così tanti fonti aperte. Di alcune persone si sa solo il cognome, di altre si sa tutto, compreso il porno che preferiscono (su questo scherzo sempre, ma è vero); e tutti i tipi di informazioni: quanto spesso le persone viaggiano, chi incontrano, quali acquisti fanno, con chi vivono, come si muovono - un sacco di tutti i tipi di informazioni che i cattivi, i meno cattivi e i buoni possono usare (non lo so). non so nemmeno quale scala inventare in questo momento, ma comunque).
Ci sono i social network che, ovviamente, sono un gigantesco insieme di dati aperti, che giocano sui punti deboli di persone che sembrano gridare alla privacy. Ma in realtà è così: se immaginiamo un grafico degli ultimi 5 anni, il livello di isteria sui dati personali cresce, ma allo stesso tempo il numero di account chiusi sui social network diminuisce di anno in anno. Potrebbe non essere del tutto corretto trarre conclusioni da questo, ma: la prima cosa che ferma qualsiasi azienda che raccoglie dati è un account stupidamente chiuso sui social network, perché l'opinione di una persona all'interno del suo account chiuso, se non ha 100 migliaia di iscritti, non è proprio molto interessante per qualsiasi analisi; ma ci sono anche casi del genere.
Dove ottengono informazioni su di noi?
Ti è mai capitato che i tuoi vecchi compagni di scuola abbiano bussato alla tua porta con cui non parlavi da molto tempo, e poi quell'account è scomparso? Tra i malintenzionati che collezionano telefoni c'è questo: analizzano gli amici (e la lista degli amici è quasi sempre aperta, anche se una persona chiude il profilo, oppure la lista degli amici si può ripristinare “in senso inverso” raccogliendo tutti altri utenti), prendono qualche tuo amico inattivo, fanno una copia della sua pagina, bussano alla porta del tuo amico, lo aggiungi e dopo due secondi l'account viene cancellato; ma rimane una copia della tua pagina. Questo è, infatti, ciò che i ragazzi hanno fatto di recente, quando 68 milioni di profili di Facebook sono volati via da qualche parte - hanno aggiunto tutti come amici più o meno allo stesso modo, hanno copiato queste informazioni, hanno persino scritto a qualcuno in messaggi privati, hanno fatto qualcosa...
I social network sono un'enorme fonte di informazioni, in quasi l'80% dei casi le informazioni su una persona specifica vengono prese non direttamente, ma dall'ambiente immediato - si tratta di tutti i tipi di conoscenza indiretta, segni (lo chiamiamo "Evil Ex-Girlfriend" ” algoritmo), perché un mio amico mi ha dato questa idea assolutamente geniale. Non ha mai seguito il suo ragazzo: ha sempre seguito i suoi cinque amici e ha sempre saputo dov'era. Questo è in realtà un motivo per scrivere un intero articolo scientifico.
Esiste un numero enorme di robot che fanno anche ogni sorta di cose buone e cattive. Ci sono persone innocue che stupidamente si abbonano a te per poi pubblicizzarti i cosmetici; e ci sono reti serie che cercano di imporre le loro opinioni, soprattutto prima delle elezioni. Non so come sia in Bielorussia, ma a Mosca, prima delle elezioni municipali, per qualche motivo avevo un gran numero di strani amici, ognuno dei quali faceva campagna per un candidato diverso, cioè non analizzano assolutamente il contenuto che Consumo: cercano solo di imporre una sorta di riforma incomprensibile, tenendo conto del fatto che non sono affatto registrato a Mosca e non andrò a votare.
La discarica è una fonte di informazioni pericolose
Inoltre c'è Thor, che non è così sottovalutato: tutti pensano che occorra andarci solo per comprare la droga o scoprire come vengono assemblate le armi. Ma in realtà ci sono molte fonti di dati là fuori. Quasi tutti sono illegali (o meglio, illegali), perché qualcuno avrebbe potuto hackerare il database di una compagnia aerea su qualche sito di hacker e gettarlo lì. Legalmente non potete utilizzare questi dati, ma se ne ricavate qualche conoscenza (come in un tribunale americano), ad esempio, non potete utilizzare la registrazione di una conversazione audio effettuata senza mandato, ma la conoscenza che avete ricevuto da questo audio registrazione, non lo dimenticherai - e qui è più o meno la stessa cosa.
In realtà questa è una cosa molto pericolosa, quindi scherzo sempre, ma è vero. Ordino sempre il cibo dalla casa vicina, perché il Delivery Club si rompe molto spesso e ha davvero questi problemi. E recentemente sono rimasto molto sorpreso: stavo ordinando la spesa e sulla scatola che stavo portando nella spazzatura c'era un adesivo con scritto "Arthur Khachuyan", numero di telefono, indirizzo dell'appartamento, codice citofono ed e-mail. In realtà abbiamo anche provato a negoziare con il comune di Mosca per darci l'accesso alla discarica: in generale, vieni al magazzino dei rifiuti e prova, per puro interesse, a cercare di trovare qualche menzione di dati personali - a fare qualcosa del tipo una mini-ricerca. Ma quando hanno saputo che volevamo venire con i dipendenti del Roskomnadzor ci hanno rifiutato.
Ma questo è in realtà vero. Hai visto il fantastico film "Hackers"? Stavano frugando nella spazzatura per trovare qualche parte del virus. Anche questa è una cosa popolare: quando le persone inseriscono qualcosa in open source, se ne dimenticano. Potrebbe essere il sito web di una scuola in cui hanno scritto una tesi sulla supremazia bianca, e poi sono andati alla Duma di Stato e se ne sono dimenticati. Casi del genere sono realmente accaduti.
Cosa piace ai membri di Russia Unita?
Se vai nella sezione superiore del sito LifeNews... Due anni fa gli studenti hanno fatto per me uno studio: hanno preso tutti i partecipanti alle primarie di Russia Unita (tutti hanno presentato ufficialmente i loro account sui social media alla Centrale Panrussa Comitato Esecutivo), ha esaminato ciò che generalmente gli piaceva: pornografia infantile, spazzatura, pubblicità incomprensibile di strane donne adulte... In generale, le persone sembrano essersene dimenticate.
Poi hanno scritto una lettera dicendo che erano stati rubati i conti di venti persone. Ma i loro conti sono stati rubati due settimane fa, 8 mesi fa li hanno presentati alla commissione elettorale, e cose del genere due anni fa... In generale, capisci, vero? C'è davvero una quantità enorme di informazioni che possono sempre essere utilizzate anche per scopi di ricerca.
Minioftopchik: ieri ho visto la notizia che Roskomnadzor ha bloccato la ricerca degli studenti HSE due anni fa. Forse qualcuno ha visto questa notizia, no? Sono stati i miei studenti a fare la ricerca: loro da Tor, dal sito Hydra dove si vendono i farmaci (scusate, da Rampa), hanno raccolto informazioni su quanto costa, in quale regione della Russia, e hanno fatto la ricerca. Si chiamava "Il paniere dei consumatori del popolo del partito". Questo, ovviamente, è divertente, ma dal punto di vista dell'analisi dei dati, il set di dati è davvero interessante - poi per altri due anni ho partecipato a tutti i tipi di "hackathon". Questa è una cosa reale: ci sono molte cose interessanti lì.
Come Get Contact ha “comprato le anime” degli utenti curiosi e perché è necessario leggere il contratto d'uso
Di solito, quando chiedi a una persona di che tipo di fuga di dati hai paura (soprattutto se la persona ha una webcam coperta), lui pone sempre la struttura delle priorità in questo modo: hacker, stato, aziende.
Questo è, ovviamente, uno scherzo. Ma in realtà, gli analisti di dati attivi, tutti i tipi di ricercatori di dati hanno rubato molto più di quanto, mi sembra, i terribili hacker russi, americani o di qualsiasi altro tipo (sostituisci qualsiasi, a seconda delle tue convinzioni politiche). In generale, tutti ne hanno paura: sicuramente avrete tutti la webcam coperta? Non devi nemmeno alzare le mani.
Ma se gli hacker stanno facendo qualcosa di illegale e lo stato ha bisogno dell’autorizzazione giudiziaria per ottenere i dati, allora le ultime [aziende] non hanno bisogno di nulla, perché hanno un contratto d’uso che nessuno legge mai. E spero davvero che tali eventi costringano ancora le persone a leggere gli accordi. Non so come sia in Bielorussia, ma a Mosca a metà di quell'anno ci fu un'ondata dell'applicazione "GetContact" (probabilmente lo sapevi), quando dal nulla apparve un'applicazione che diceva: consegna la domanda accedi a tutti i tuoi contatti e ti mostreremo come sei stato registrato in modo divertente.
I media non ne hanno parlato, ma molti dipendenti di alto rango si sono lamentati con me perché tutti cominciavano a chiamarli in continuazione. A quanto pare, gli amministratori hanno deciso di trovare in questo database il numero di telefono di Shoigu, qualcun altro... Volochkova... Una cosa innocua. Ma chi ha letto il contratto di licenza GetContact dice: spam illimitato per un tempo illimitato, vendita incontrollata dei propri dati a terzi, senza limitazione di diritti, prescrizione e in generale tutto ciò che è possibile. E questa in realtà non è una storia così rara. Facebook, ad esempio, mentre ero lì, mostrava le notifiche 15 volte al giorno: “Sincronizza i tuoi contatti e ti troverò tutti gli amici che hai!”
Alle aziende non interessa. Legge Federale 152 e GDPR
Ma in realtà le priorità vanno nella direzione opposta, perché le società sono tutelate dal diritto privato e quindi nella quasi totalità dei casi è impossibile dimostrare che abbiano torto. E tenendo conto del fatto che è grande, spaventoso e molto costoso, questo è quasi impossibile. E se sei anche in Russia, con una legislazione obsoleta, allora in qualche modo tutto è completamente triste.
Sapete in cosa differisce la legge russa (ed è praticamente bielorussa), ad esempio, dal GDPR? La legge federale russa 152 protegge i dati (questa è una reliquia del passato sovietico) - un documento che protegge i dati da eventuali perdite. E il GDPR protegge i diritti degli utenti: il diritto che siano privati di alcune libertà, privilegi o qualcos'altro, perché i loro dati trapeleranno da qualche parte (hanno introdotto questo concetto direttamente nei "dati"). Ma da noi tutto ciò che possono addebitarti è una multa per il fatto che non disponi di un Excel “aperto” certificato per l'elaborazione dei dati personali. Spero che questo possa cambiare un giorno, ma penso non nel prossimo futuro.
Quali sono le reali opzioni di targeting oggi?
La prima storia, probabilmente spaventosa, a cui tutti pensavano costantemente era la lettura di messaggi personali. Sicuramente c'è qualcuno tra voi che ha mai detto qualcosa ad alta voce e poi ha ricevuto pubblicità mirata. Sì, ce n'erano? Alza le mani.
In realtà non credo alla storia secondo cui il condizionale "Yandex Navigator" riconosce l'audio diretto nello streaming per tutti gli utenti, perché chi ha avuto una piccola esperienza con il riconoscimento vocale capisce che: in primo luogo, il data center Yandex » dovrebbe essere cinque volte di più; ma, soprattutto, il costo per attirare una persona del genere costerebbe un sacco di soldi (per riconoscere l'audio in un flusso e capire di cosa sta parlando la persona). Ma! Esistono infatti degli algoritmi che ti taggano utilizzando determinate parole chiave per poi realizzare una sorta di comunicazione pubblicitaria.
Ci sono stati molti studi come questo, e 100 volte ho creato conti vuoti, scritto qualcosa a qualcuno nei messaggi e poi all'improvviso ho ricevuto una pubblicità che sembrava non avere nulla a che fare con quello. In realtà ci sono due conclusioni qui. Contro una storia del genere, si ritiene che una persona rientri semplicemente in una sorta di campione statistico; Diciamo che sei un uomo di 25 anni che, in questo preciso momento, avrebbe dovuto imbattersi in un corso di lingua inglese proprio nel momento in cui hai scritto a qualcuno. Almeno Facebook lo dice sempre in tribunale: che esiste un certo modello di comportamento che non ti mostreremo, che è costruito su dati che non ti mostreremo, abbiamo ricerche interne che sicuramente non ti mostreremo ( perché tutto è un segreto commerciale); in generale, sei stato incluso in un campione statistico, quindi te lo abbiamo mostrato.
Come la privacy di Facebook ha fatto infuriare i suoi utenti
Sfortunatamente, questo è generalmente impossibile da dimostrare a meno che non si abbia qualcuno all’interno dell’azienda che in qualche modo confermerà queste azioni. Ma nella legge americana, in questo caso, l'accordo di non divulgazione di questo dipendente è superiore al suo desiderio di aiutarti, quindi nessuno lo farà. È anche interessante - è stato circa un anno o un anno e mezzo fa - una tendenza ha iniziato a svilupparsi in America, quando le persone hanno installato un'estensione del browser in modo da crittografare i messaggi di Facebook: scrivi qualcosa a una persona, lui lo crittografa con una chiave sul dispositivo e invia i rifiuti di pubblico dominio.
Facebook ha fatto causa a questa azienda per un anno e mezzo, e non è chiaro su quali basi (perché non capisco bene la legge americana) l'ha costretta a rimuovere questa applicazione e poi ha apportato una modifica al contratto d'uso: se tu guarda, esiste una clausola del genere: che non puoi trasmettere messaggi in forma crittografata - in qualche modo è descritta in modo così intelligente che non puoi utilizzare algoritmi crittografici per modificare i messaggi - beh, esiste una cosa del genere. Cioè dicevano: o usi la nostra piattaforma, scrivi in pubblico dominio, oppure non scrivi. E questo solleva la domanda: perché hanno bisogno di messaggi personali?
I messaggi personali sono una fonte di informazioni affidabili al XNUMX%.
Questa è una cosa molto semplice. Tutti coloro che analizzano l'impronta digitale, l'attività umana, cercano in qualche modo di utilizzare questi dati per il marketing o qualcos'altro, hanno una metrica come l'affidabilità. Cioè, una certa immagine di una persona - capisci perfettamente, questa non è la persona stessa - questa immagine ha sempre un po 'più successo, un po' migliore. I messaggi personali sono conoscenze reali che si possono ottenere su una persona; sono quasi sempre affidabili al 100%. Bene, perché raramente qualcuno scriverà qualcosa a qualcuno in messaggi privati, ingannerà e tutto ciò può essere verificato molto facilmente - di conseguenza, secondo altri messaggi (capisci di cosa sto parlando). Il punto è che la conoscenza acquisita in questo modo è affidabile quasi al 100%, quindi tutti cercano sempre di ottenerla.
Tuttavia, questa è, ancora una volta, una storia molto difficile da dimostrare. E coloro che credono che il cosiddetto VKontakte abbia tale accesso per le forze dell'ordine per i messaggi personali non è del tutto vero. Se guardi solo la cronologia delle richieste del tribunale per la divulgazione di informazioni, come VKontakte molto astutamente (in questo caso Mail.ru) combatte queste richieste.
Il loro argomento principale è sempre: per legge, le forze dell’ordine devono giustificare il motivo per cui è necessario l’accesso ai messaggi personali. Di norma, se si tratta di un omicidio, l'investigatore dice sempre che molto probabilmente la persona ha detto dove ha nascosto l'arma (nei messaggi personali). Ma tu ed io capiamo che nessun singolo criminale sano di mente scriverebbe mai ai suoi complici su VKontakte dove ha nascosto un'arma da fuoco. Ma questa è una delle opzioni comuni segnalate dai funzionari.
Ed ecco un altro esempio così terribile (oggi mi è stato chiesto di fornire esempi terribili) - sulla Russia (spero che ciò non accada in Bielorussia): secondo la legge, l'investigatore deve avere ragioni sufficientemente convincenti affinché l'operatore possa divulgare queste informazioni . Naturalmente, questi parametri affidabili non sono descritti da nessuna parte (cosa dovrebbero essere, in quale forma), ma in Russia ora ci sono sempre più precedenti in cui tale base appare per la corte se esiste un certo modello che prevedeva un certo, buono o cattivo, comportamento.
Cioè, nel nostro Paese, nessuno può essere incarcerato (e questo è un bene) per essere stato incluso in qualche campione statistico di assassini di razza - e questo è un bene, perché viola la presunzione di innocenza; ma ci sono precedenti in cui i risultati di tali previsioni sono stati utilizzati per ottenere il permesso giudiziario per ottenere dati. Non solo in Russia, comunque. Esiste una cosa del genere anche in America. Lì anche "Palantir" ha ucciso tutti per molto tempo, usano cose simili. Racconto spaventoso.
Questa è la mia ricerca. Abbiamo fatto questo: abbiamo camminato per San Pietroburgo, nei luoghi con punti verdi, abbiamo scritto agli amici alcuni punti chiave da account "puliti" - come "Voglio bere un caffè", "dove posso comprare il detersivo?" e così via. E poi, di conseguenza, hanno ricevuto pubblicità geo-collegata. In che modo magico... O come si suol dire: “Coincidenza? Non pensare!" Questi sono messaggi personali su VKontakte. Possa Mail.ru perdonarmi, ma è così. Chiunque può ripetere un simile esperimento.
A proposito, quando hanno scritto una dichiarazione a sostegno, Mail ha detto che lì c'erano punti Wi-Fi e il tuo indirizzo Mac è stato catturato. Esiste anche questo.
Modalità di ottenimento e opzioni comuni di fuga dei dati personali
La storia successiva è un'estrazione di conoscenza aggiuntiva, una parte della quale ho effettivamente accennato. Infatti, il profilo completo di una persona sui social network porta in realtà il 15-20% della conoscenza reale che l’operatore dei dati memorizza su di lui. Il resto della storia esce fuori cose molto interessanti. Perché pensi che Google stia sviluppando così tanto librerie per la visione artificiale? In particolare, sono stati tra i primi a sviluppare librerie appositamente per l'analisi e la categorizzazione degli oggetti - sullo sfondo, in primo piano, non importa dove. Perché questa è un'enorme fonte di informazioni aggiuntive su che tipo di appartamento possiede una persona, un'auto, dove vive, oggetti di lusso...
Ci sono stati molti attacchi di "hacker" quando le reti neurali addestrate di Google sono state unite (non so di chi fossero, ma comunque). C'erano molte informazioni interessanti sul tema delle dimensioni del seno e della vita - che le persone non hanno cercato di scoprire su altre persone sulla base dell'analisi delle fotografie. Perché quando una persona scatta una foto non pensa sempre a quante cose interessanti può imparare da essa? Quanti passaporti neonati vengono pubblicati in Russia?... Oppure: “Evviva, il mio bambino ha ottenuto il visto”! Questo è generalmente il dolore della società moderna.
Un altro fuori tema (oggi condividerò i fatti con voi): a Mosca, la fuga di dati personali più comune avviene negli alloggi e nei servizi comunali, quando un elenco di debitori è appeso alla porta e questi debitori poi fanno causa perché i loro dati personali è stato reso pubblicamente disponibile senza la loro autorizzazione. E se ti succedesse questo... Il punto è che quando una persona fa qualcosa, non sa cosa c'era in quella fotografia, cosa non c'era. Adesso ci sono molti numeri di auto.
Una volta abbiamo condotto uno studio - abbiamo cercato di capire quante persone hanno foto aperte di auto (hanno, quindi, reati e così via) - questo, sfortunatamente, è stato possibile farlo solo utilizzando i database unificati della polizia stradale, dove ci sono solo un numero (informazione non molto attendibile), ma era anche interessante.
Il tuo prossimo annuncio dipende da come hai consumato quello precedente
Questa è la prima storia. La seconda storia riguarda i modelli comportamentali, il contenuto che una persona consuma, perché una delle metriche più importanti che i social network stanno cercando di costruire su di te è il modo in cui interagisci con la pubblicità. Non importa quanto accurati e “fantastici” possano essere gli algoritmi, non importa quanto meravigliosa sia l’intelligenza artificiale e tutto il resto, la vera priorità di un social network è sempre fare soldi. Pertanto, se la cosiddetta “Coca-Cola” arriva e dice: “Voglio che tutti i residenti in Bielorussia vedano il mio post”, lo vedranno, indipendentemente da ciò che gli algoritmi pensano di questa persona e da come prenderla di mira lì. Probabilmente hai ricevuto pubblicità, oltre a sciocchezze super-super-mirate e completamente indipendenti. Perché hanno pagato un sacco di soldi per queste sciocchezze non correlate.
Ma una delle metriche principali è capire con quali contenuti interagisci meglio, ovvero come reagisci ad essi, in modo da mostrarti una storia pubblicitaria simile. E di conseguenza, questa è una metrica di come interagisci con la pubblicità: chi la vieta, chi no, come una persona fa clic, se legge solo i titoli o cade completamente nel materiale; e poi, in base a ciò, continuare a mantenerti in questa, come viene ora chiamata, “bolla di filtro”, in modo che tu continui a interagire con questi contenuti.
Se mai ti interessa, puoi provare a lungo, per una settimana, magari un mese, semplicemente bandendo tutta la pubblicità dai social network: ti mostrano qualche annuncio e tu lo chiudi. Se lo analizzi e lo metti su un grafico, ci sarà una storia interessante: se vieti la pubblicità per una settimana, la settimana successiva ti mostrerà una versione migliorata e generalmente di diverse categorie; cioè, condizionatamente, ami i cani e ti vengono mostrate pubblicità con cani: hai bandito tutti i cani e poi inizieranno a mostrarti ogni sorta di varie sciocchezze da diverse opzioni per cercare di capire di cosa hai bisogno.
E poi, alla fine, ti sputeranno addosso, ti contrassegneranno come una persona che non interagisce con la pubblicità, ti metteranno una croce e in quel momento inizieranno a mostrarti annunci esclusivamente di marchi ricchi. Cioè, in questo momento vedrai solo pubblicità di Coca-Cola, Kit-Kit, Unilever e tutte le persone che stanno guadagnando un sacco di soldi perché hai bisogno di aumentare le visualizzazioni. Conduci un esperimento per un mese: vieta tutta la pubblicità per una o due settimane, quindi guarda tutto di seguito e vietalo: alla fine vedrai solo pubblicità, come si scopre in seguito (e dicono le agenzie pubblicitarie), solo clienti che pagano per le visualizzazioni, perché è impossibile capire come interagisci con questi annunci.
Il porno viene guardato più spesso da coloro che tendono ad immergersi profondamente nel contenuto.
Di conseguenza, ecco una storia su tutti i tipi di monitoraggio del comportamento. Ho un esempio interessante: i visitatori di un sito web governativo. La cosa divertente è che quanto più profonda è la visione delle persone, tanto più queste persone preferiscono guardare il porno alle relazioni tradizionali. “Scusa” se continuo a parlare di questo argomento, ma in realtà ho un ottimo rapporto con Pornhub, e questa è sempre una ricerca molto interessante, perché questo è un argomento che sembra essere tabù, ma racconta molto di una persona. E i seguenti punti che ne conseguono riguardo al ritorno del traffico... Ricorderemo anche “Pornohub”!
Cosa sono considerati dati personali ed è possibile sbloccare un iPhone con un modello di volto 3D?
Il mio preferito è aggirare la legge sulla privacy. Se leggete la documentazione tecnica dello stesso Facebook, che ha fornito alcuni documenti interni (ad esempio, al tribunale), non troverete alcuna menzione del riconoscimento facciale o dell'analisi vocale. Ci saranno formulazioni molto complesse che nessun avvocato qualificato troverà all'interno della legislazione. Qui in Russia funziona più o meno allo stesso modo: ora ti mostrerò questa cosa.
cosa vedi qui? Qualsiasi persona normale dirà quella faccia. Questo, tra l'altro, secondo me è Sasha Grey. Ma legalmente questa è una matrice di alcuni punti tridimensionali, di cui ce ne sono 300mila. Nel bene e nel male, questi non sono considerati dati personali per legge. In generale, l'RKN russo non considera una fotografia un dato personale: la considera tale se c'è qualcos'altro nelle vicinanze (ad esempio, nome completo o numero di telefono), e questa fotografia in sé non è assolutamente nulla. Non appena è stata introdotta la legge sulla biometria e i dati biometrici sono stati equiparati ai dati personali (in modo molto approssimativo), tutti hanno subito iniziato a dire: questi non sono dati biometrici, questa è una serie di punti! Soprattutto se si prende una trasformata di Fourier diretta o inversa da questa serie di punti, sembra che non sia possibile rendere anonima una persona da questa trasformazione, ma è possibile identificarla. In teoria, questa cosa non viola la legge.
Ho fatto anche un altro studio: si tratta di un algoritmo che costruisce una ricostruzione tridimensionale di un volto utilizzando fonti aperte: prendiamo un account Instagram e poi possiamo stampare il volto su una stampante 3D. A proposito, per chi fosse interessato, ho un link di pubblico dominio; se all'improvviso qualcuno vuole sbloccare l'iPhone di qualcuno... Sto scherzando: l'iPhone non può essere sbloccato, la qualità è ridotta.
Un profilo chiuso è un vantaggio per la sicurezza
Questa è la prima cosa, la seconda... ho già accennato al fatto che le informazioni si ottengono principalmente dall'ambiente dell'utente. Ho disegnato questa immagine nel 17: l'utente medio dei social network russi è all'interno, ha una media di 200-300 amici, i suoi amici di amici e i suoi amici di amici di amici.
Grazie ai social network per aver introdotto algoritmi per feed elettronici "intelligenti", anni integrali, presumibilmente per aumentare la probabilità di incontrare contenuti interessanti. Questo è il numero di persone che possono vedere i contenuti che produci in qualsiasi momento, anche se il tuo account è limitato solo ai livelli superiori di privacy (solo per gli amici di amici e così via). Questi sono amici di amici:
Se qualcuno pensa che quando sceglie di vedere "amici di amici" in "I miei post" su VK, allora tre strette di mano equivalgono a circa 800mila persone, il che in linea di principio non è così poco, ma dipende dal tuo contenuto. Forse stai facendo degli streaming indecenti e tutti questi amici di amici possono interagire con questo contenuto. Uno di loro potrebbe ripubblicare qualcosa da qualche parte, tutte le persone hanno un feed di Mi piace, che in effetti molto probabilmente verrà cancellato, perché non è una cosa molto gradevole. Pertanto, in qualsiasi momento il contenuto può finire da qualche parte.
Quell'anno VK ha lanciato profili super chiusi, ma finora solo un numero molto limitato di persone li ha utilizzati (non dirò quante, ma è piccola!). Forse un giorno la gente lo capirà, lo spero davvero. Tutta la ricerca è costantemente finalizzata a far comprendere la portata dei problemi. Perché finché qualcuno non viene colpito da qualcosa di terribile, non ci penserà mai. Andare avanti.
Le agenzie governative non sanno cosa siano i dati personali e non hanno fretta di definirli
Qualsiasi specialista in diritto dei dati personali dice sempre quanto segue: non è mai necessario combinare diverse fonti di dati, perché qui ci sono le e-mail (si tratta solo di dati personali con alcuni identificatori anonimizzati), ecco il tuo nome completo... Se questo combina tutto, sembra che diventeranno dati personali. In generale sarebbe corretto toccare prima questo argomento, ma penso che tu ne sia già immerso e che tu sia consapevole, forse, di come funziona la legge.
Nessuno, infatti, sa cosa siano i dati personali. Concetto importante! Quando mi rivolgo agli enti pubblici dico: “Una bottiglia di cognac per chiunque sappia dirvi cosa sono i dati personali”. E nessuno può dirlo. Perché? Non perché siano stupidi, ma perché nessuno vuole assumersi la responsabilità. Perché se Roskomnadzor dice che si tratta di dati personali, domani qualcuno farà qualcosa e sarà colpa sua; e sono autorità esecutive e non dovrebbero essere responsabili di nulla.
Il punto è che la legge afferma chiaramente che i dati personali sono dati mediante i quali una persona può essere identificata. E c'è un esempio: nome completo, indirizzo di casa, numero di telefono. Ma tu ed io sappiamo che puoi identificare una persona dal modo in cui preme i pulsanti, da come interagisce con l'interfaccia e da altri parametri indiretti. Se qualcuno è interessato: in quasi ogni area ci sono un numero enorme di lacune.
Identificatori che ci rivelano
Ad esempio, tutti hanno iniziato a stabilire punti per l'acquisizione di indirizzi Mac (sicuramente l'hai già incontrato prima?) - i produttori intelligenti (o non so, avidi) di apparecchiature mobili, come Apple e Google, hanno rapidamente introdotto algoritmi che danno crea un indirizzo Mac casuale in modo che tu non possa identificarlo quando cammini per la città e invia a tutti il tuo indirizzo MAC. Ma i ragazzi intelligenti hanno inventato la storia successiva ancora più in là.
Ad esempio, puoi ottenere una licenza di operatore di telefonia mobile; Dopo aver ricevuto una licenza di operatore di telefonia mobile, avrai accesso a questa cosa: si chiama il protocollo SS7, attraverso il quale vedrai un po' di aria dagli operatori di telefonia mobile; ci sono un sacco di tutti i tipi di identificatori che non sono dati personali. Prima era l'IMEI, ma ora qualcuno lo ha letteralmente tolto dalla lingua e ha deciso di mantenere un unico database di questi "IMEI" in Russia (un'iniziativa del genere). In un certo senso esiste, ma comunque.
Ci sono anche, ad esempio, una serie di identificatori - ad esempio IMCI (identificatore di apparecchiatura mobile), che non è né dati personali né legato ad altre cose e, di conseguenza, può essere salvato senza alcun procedimento legale, e poi con chi Scambiare in qualche modo questi identificatori per poter comunicare con la persona in seguito.
La cultura di lavorare con i dati personali è bassa
Nel complesso, il punto è che ora tutti sono molto preoccupati di combinare i dati tra loro, e la maggior parte delle aziende che fanno questa combinazione a volte non ci pensano nemmeno. Ad esempio, è venuta una banca, ha stipulato un accordo di riservatezza con una società che fa scoring e le ha trasferito 100mila dei suoi clienti...
E questa banca non ha sempre una clausola nel suo accordo sul trasferimento dei dati a terzi. Questi clienti hanno codificato qualcosa lì, e non è chiaro dove sia finito questo database in seguito, non è andato - la maggior parte delle aziende in Russia non ha la cultura della cancellazione dei dati... - questo "Excel" finirà sicuramente da qualche parte computer della segretaria e poi riagganciare.
I nostri dati potrebbero essere venduti con ogni acquisto in negozio
Esistono molti schemi che sembrano quasi legali (cioè legali). Ad esempio, la storia è la seguente: delle 15 maggiori banche russe, solo due sono effettivamente gateway SMS: Tinkoff e Alfa, ovvero inviano i propri messaggi SMS. Altre banche utilizzano gateway SMS per inviare SMS ai clienti finali. Questi gateway SMS hanno quasi sempre il diritto di analizzare i contenuti (ad esempio, per motivi di sicurezza e alcune delle loro conclusioni) per poi vendere statistiche aggregate. Questi gateway SMS sono “amici” degli operatori di dati fiscali che elaborano gli assegni.
E risulta questo: sei venuto alla cassa, l'operatore dei dati fiscali (ti hanno dato, non ti hanno dato il numero di telefono - è in qualche modo collegato lì) ... ricevi un SMS al tuo numero di telefono, il il gateway di questi SMS vede le ultime 4 cifre della carta ed il numero di telefono. Sappiamo a che punto hai effettuato una transazione dall'operatore dei dati fiscali, e tramite SMS sappiamo (ora) a quale numero le informazioni sull'addebito di questa o quella somma di denaro con queste e quelle ultime quattro cifre della carta è stato ricevuto. Le ultime quattro cifre della carta non sono i tuoi identificatori, non violano la legge, perché non possono renderti anonimo, e nemmeno l'importo della transazione.
Ma se ti sei accordato con l'operatore dei dati fiscali, sai in quale finestra temporale (più o meno 5 minuti) dovrebbe arrivarti questo SMS. Pertanto, nell'OFS sei stato rapidamente collegato al tuo numero di telefono e il tuo numero di telefono è collegato a identificatori pubblicitari, in generale a tutto, tutto, tutto. Pertanto, possono raggiungerti più tardi: sono venuti al negozio e poi ti hanno inviato altre sciocchezze senza permesso. Penso che non ci sia quasi nessuno in questa stanza che abbia mai scritto un reclamo alla FAS sullo spam. Non ce ne sono quasi nessuno... tranne me, probabilmente.
I documenti sono un modo arcaico ma efficace per lottare per i propri diritti
Funziona molto bene. È vero, bisognerà aspettare un anno e mezzo, ma il FAS effettivamente controllerà: chi, come, a chi ha trasferito i dati, perché dove e così via.
Domanda del pubblico (di seguito – XNUMX): – Non esiste FAS in Bielorussia. Questo è un paese diverso.
OH: - Si, capisco. Sicuramente c'è qualche analogo...
Dal pubblico arrivano le obiezioni
OH: - Ok, cattivo esempio, scusa. Non importa. Tra i miei amici, non conosco nessuno che sappia in linea di principio dell'esistenza di una storia del genere: puoi scriverla e poi lavoreranno per un altro anno.
La seconda storia, che si sta sviluppando molto anche in Russia, ma penso che troverai un analogo nel tuo paese. Mi piace molto farlo, quando un'agenzia governativa, una banca o qualcos'altro comunica male con te, dici: "Dammi un pezzo di carta". E scrivi su un pezzo di carta: "Conformemente al paragrafo 14 della 152a legge federale, ti chiedo di trattare i dati personali in formato cartaceo". Non so esattamente come ciò avvenga in Bielorussia, ma certamente è fatto. Secondo le leggi russe, non hai il diritto di rifiutare un servizio su questa base.
Conosco anche molte persone che hanno inviato cose simili a Mail.ru e hanno chiesto di conservare un registro dei loro dati personali in formato cartaceo. Mail.ru ha combattuto questo problema per molto tempo. Conosco anche uno sviluppatore Yandex di cui hanno scherzato: hanno cancellato il suo account VK e gli hanno inviato un sacco di screenshot stampati e hanno detto che gli avrebbero inviato screenshot ogni volta che avesse voluto aggiornare la sua pagina.
È divertente, ma questa è comunque una vera alternativa se qualcuno ha davvero a cuore i dati, da un lato... E dall'altro, lo stesso RKN mi ha detto che questo accordo sul trattamento dei dati personali è formale, e il la legge prevede diverse altre opzioni per dare questo consenso. E che, ad esempio, sono stato invitato qui a un evento, e se, ad esempio, Human Constanta non può stipulare con me un accordo sul trattamento dei dati personali nell'ambito delle leggi russe (perché il fatto stesso che sono venuto e l'accordo di parlare è consenso al trattamento dei dati personali) - tutti prendono comunque queste autorizzazioni cartacee. Ma l'RKN mi ha detto qualcosa di simile, che questo non è affatto un dato di fatto, che molto probabilmente un giorno scompariranno.
Spero che in Russia non creeranno mai un unico operatore, Dio mi perdoni, dei dati personali, perché l'unica cosa peggiore che mettere tutti i dati personali nello stesso paniere è metterli nel paniere dello Stato. Perché chissà cosa accadrà più tardi con tutto questo.
Le aziende condividono i dati personali e le leggi sono deboli nel regolamentare questo aspetto
La maggior parte delle aziende scambia tra loro alcuni tipi di dati e identificatori. Potrebbe essere un negozio con una banca, e poi una banca con un social network, un social network con qualcos'altro... E alla fine, queste persone hanno una certa massa critica di conoscenza che può essere utilizzata in qualche modo, e tutta questa conoscenza è vera, ora stanno cercando di mantenerla dalla loro parte. Tuttavia, finisce comunque nel traffico pubblicitario o da qualche altra parte.
Il trasferimento dei dati a terzi è la cosa più divertente che possa accadere, perché le leggi non descrivono che tipo di terzi sono, per chi dovrebbero essere considerati “terzi”. Questa, tra l'altro, è una frase molto comune tra gli avvocati americani - ce l'hanno Terzi - chi, chi consideri terzi: nonna, bisnonna?.. C'era un precedente del genere anche in America, quando sono stati divulgati i dati di qualcuno, la persona ha intentato una causa, e hanno dimostrato che questa persona conosceva il proprietario dei dati attraverso diversi amici - un certo numero di strette di mano, hanno citato strani studi sociologici - quindi hanno dimostrato che queste persone non possono essere considerate terze parti tra loro. Divertente. Ma il fatto di trasferire tali dati è molto comune.
Anche se visiti un sito dove è presente un contatore per l'identificazione, questo contatore ha il diritto di trasferire i dati di questo traffico da qualche parte (a Clickstream, proprietari di piattaforme pubblicitarie per qualsiasi cosa, Pornhub, per esempio). Pornhub, se qualcuno di voi è uno sviluppatore web, andate a vedere quanti pixel di tracciamento ci sono sul sito di Pornhub. Basta entrare e lì viene caricata un'enorme quantità di script Java, utili per migliorare il funzionamento del sito. In effetti, lì vengono installati anche "cookie" interdominio, cosa che non c'è, perché queste informazioni sono sempre molto apprezzate nel mercato "clickstream".
Facebook vacilla e non si toglierà la maschera
Naturalmente, nessuno dei principali attori dice mai a nessuno a chi e come vendono i dati. Per questo motivo, ad esempio, l’Europa sta ora cercando di fare causa a Facebook. Subito dopo l’introduzione del GDPR, l’Unione Europea sta cercando di scuotere la divulgazione da parte di Facebook degli algoritmi per la rivendita dei dati a terzi.
Facebook non lo fa e dichiara pubblicamente di non farlo perché è una “società di pace” (cito da una email che mi hanno inviato) e è “contro l’uso dannoso della tecnologia” (soprattutto se vendi riconoscimento facciale al Cremlino). In generale, il punto è che Facebook non lo fa in tutta onestà: il suo obiettivo principale e la cosa principale che accadrà non appena verrà rivelato un tale meccanismo è che sarà possibile calcolare realmente la marginalità della pubblicità, lo sarà possibile comprendere il costo reale della pubblicità.
Convenzionalmente, se Facebook ora ti dice che il costo di un'impressione pubblicitaria è di 5 rubli e te lo vendiamo per 3 (e, ad esempio, ci restano due rubli), e loro, condizionatamente, ricevono il 5% del profitto da queste impressioni pubblicitarie. In realtà, questo non è il 5%, ma 505, perché se questo algoritmo viene alla luce (a chi e come Facebook ha trasferito quante volte "clickstream", dati sulle visite, dati sui pixel a tutti i tipi di reti pubblicitarie), risulta che stanno guadagnando molto più di quanto si dice al riguardo. E il punto qui non è il denaro in sé, ma il fatto che il costo di un clic è un rublo, ma in realtà centinaia di centesimi.
In generale, il punto è che tutti cercano di nascondere tale trasmissione, non importa se si tratta di traffico pubblicitario o non pubblicitario, ma esiste. Purtroppo non c’è modo di saperlo legalmente, perché le aziende sono private e tutto ciò che hanno al loro interno è il loro diritto privato e il loro segreto commerciale. Ma storie simili sono emerse lì molto spesso.
Gli spacciatori sono prevedibili e “cocenti” su Avito
L'ultima immagine di questa presentazione. È divertente, e la sua essenza è che ci sono alcune categorie di persone che sono molto preoccupate per i propri dati personali. E questo è un bene, in realtà! Questo esempio riguarda una categoria di persone come gli spacciatori di droga. Sembrerebbe che le persone che dovrebbero essere molto preoccupate per i propri dati personali...
Si tratta di uno studio condotto all'inizio di quest'anno sotto la supervisione delle autorità competenti. Sì, si tratta di uno script a cui sono stati dati soldi per acquistare droga su Telegram e Thor, ma solo da persone che potevano essere identificate.
In effetti, quasi tutti gli spacciatori di Mosca fanno affidamento sul fatto che il loro numero di telefono non è in nessuna fonte aperta, ma prima o poi venderanno qualcosa su Avito, da cui sarà possibile capire la posizione approssimativa di queste persone. Il punto è che i punti rossi sono dove vivono le persone, e i punti verdi sono dove vanno per lasciare, sai cosa. Questa era una delle parti dell'algoritmo che prevedeva il posizionamento dei servizi di pattuglia, ma questi ragazzi di Mosca cercano sempre di andare in qualche modo in diagonale, più lontano.
Credono che se vivono in alto a sinistra, allora dovrebbero andare in alto a destra e sicuramente non verranno mai trovati lì. Quello che ti sto dicendo è che se stai cercando di nasconderti dagli algoritmi onnipresenti, la vera opzione più interessante è cambiare il tuo modello di comportamento: installare una sorta di “Goster” per randomizzare visite, possedimenti e così via. Oh mio Dio, ci sono persino algoritmi e plugin che modificano la dimensione del browser di un paio di pixel in modo che la firma, l'"impronta digitale" del browser non possa essere calcolata e in qualche modo identificarti.
Questo è tutto quello che volevo dire. Se avete domande, fatecelo sapere. Ecco il link alla presentazione.
Domanda dal pubblico (Z): – Per favore dimmi, dal punto di vista dell'utilizzo di Thor, dal punto di vista del monitoraggio del traffico... Lo consigli?
È difficile da nascondere, ma è possibile
OH: - "Thor"? “Thor” no, per niente in nessuna forma. È vero, non so come sia in Bielorussia: in Russia non dovresti mai andarci, perché quasi la maggior parte dei "gracenodi" verificati aggiunge improvvisamente determinati pacchetti al tuo traffico. Non so quali, ma se guardi: ci sono dei “nodi” che segnano il traffico, non è chiaro chi lo fa, a che scopo, ma qualcuno lo segna nell'intestazione in modo che si capisca poi. In Russia, ora tutto il traffico viene archiviato, anche se è archiviato in forma crittografata, e tutti trollano il pacchetto Yarovaya sul fatto che il traffico crittografato viene archiviato, ma rimane contrassegnato, cioè non può essere utilizzato o decrittografato. .
Z: – È stato conservato in Europa per molto tempo, probabilmente dieci anni.
OH: - Si, capisco. Tutti ridono di questo, ad esempio se memorizzi https che non possono essere letti. Il contenuto non può essere letto, ma puoi capire da dove provengono i pacchetti utilizzando determinati algoritmi: in base al peso dei pacchetti, alla lunghezza e così via. E quando hai tutti i fornitori sotto il tuo controllo, hai, di conseguenza, tutta l’attrezzatura dorsale e tutti i passaporti… In generale, capisci di cosa sto parlando?
Z: – Che browser consigliate di utilizzare?
OH: – Per “Thor”?
Z: - Affatto.
OH: - Beh non lo so. In realtà utilizzo Chrome, ma solo perché il pannello degli sviluppatori è il più conveniente. Se all'improvviso ho bisogno di andare da qualche parte, andrò in qualche bar. È vero, non è necessario accedere con una vera carta SIM.
Z: – Stavi parlando di alcuni studenti. Insegni da qualche parte o conduci qualche corso?
OH: – Sì, abbiamo un master in giornalismo dei dati. Formiamo i giornalisti a raccogliere dati e ad analizzarli: periodicamente eseguono ricerche simili.
Nessuna applicazione sicura
Z: – Non è sicuro comunicare con gli amici su Facebook, Vkontakte, per non ricevere successivamente pubblicità contestuale. Come puoi migliorare la sicurezza?
OH: – La domanda è: cosa consideri un livello di sicurezza accettabile? In linea di principio non esiste la parola “sicuro”. La domanda è: cosa consideri accettabile? Alcuni ritengono accettabile lo scambio di fotografie intime tramite Facebook e alcuni funzionari dell'intelligence ritengono che tutto ciò che viene detto attraverso la bocca, anche alla persona più vicina, in realtà non sia sicuro. Se non vuoi che il social network scopra qualcosa a riguardo, allora sì, è meglio non scriverne. Non conosco app sicure. Temo che non ce ne siano. E questo è normale dal punto di vista che qualsiasi proprietario di qualsiasi applicazione deve in qualche modo monetizzarla, anche se questa applicazione è gratuita o si tratta di una sorta di media. Sembra essere gratuito, ma ha ancora bisogno di vivere di qualcosa. Pertanto, nulla è sicuro. Devi solo decidere tu stesso, per così dire, cosa ti si addice.
Z: - Cosa usi?
OH: - Social networks?
Z: - Dai messaggeri.
OH: – Per quanto riguarda i messenger, utilizzo il principale messenger statale della Federazione Russa – Telegram.
Z: - “Viber”. È sicuro?
OH: – Senti, non sono molto esperto di messaggeri. Sinceramente non credo nella sicurezza, non credo in niente, perché probabilmente sarebbe molto strano. Sebbene Telegram sia una sorta di open source e i suoi algoritmi di crittografia siano stati divulgati. Ma anche questa è una cosa così complicata, perché esiste un client “open source”, ma nessuno ha visto i server. Penso di no: su Viber c'è molto spam, bot e così via. Chi lo sa. Non penso che tutto questo funzioni molto bene.
Chi è più pericoloso: le multinazionali o lo Stato?
Presentatore (B): – E ho questa domanda per te. Senta, l'ha menzionato di sfuggita un paio di volte, che lo Stato... Troppi dati non sono una cosa buona... L'azienda ha troppi dati. Beh, questa è semplicemente la vita, giusto? Quindi di chi dovremmo avere più paura: le multinazionali o lo Stato? Dove sono le insidie?
OH: - Questa è una domanda molto difficile. Confina. Barriera etica complessa. Una persona, se non ha nulla da temere, se non ha infranto la legge, in linea di principio, perché ha bisogno della privacy? Anche se non la penso così, lo Stato la pensa così. Forse c'è un fondo di verità in questo. Ascolta, ciò di cui ho più paura sono gli hacker, qualcosa del genere. In effetti, la più grande crudeltà che ho visto in vita mia (da tutto questo argomento): circa un anno e mezzo o due anni fa, un pedofilo è stato catturato nella regione di Mosca e durante le azioni investigative sono stati trovati diversi tutorial Python e script sul suo computer, API VK. Ha raccolto i resoconti delle ragazze, ha analizzato quali di loro si trovavano nelle vicinanze, ha raccolto il contenuto che loro... In breve, hai capito. Questa è la merda più grande che abbia mai visto. Ed è proprio questo che temo, che un giorno qualcuno faccia qualcosa di simile.
Un altro piccolo “fuori tema”: quell’anno l’Organizzazione europea per la sicurezza dello Stato ha redatto un rapporto secondo cui il numero di furti da conti bancari è aumentato di circa il 20, 25% quando una domanda segreta è stata violata. Pensa ora alla tua domanda segreta in banca e pensa se posso trovare la risposta da fonti aperte. Se lì hai il nome da nubile di tua madre o il tuo piatto preferito... In generale, le persone analizzavano i conti, in base a ciò capivano il nome del loro animale domestico preferito - qualcosa del genere...
Z: – Hai detto che le aziende e le multinazionali raccolgono le informazioni necessarie utilizzando algoritmi? Sicuramente sai come?
OH: – C’era un movimento di persone che un tempo facevano passare le fotografie attraverso un filtro speciale, in modo che questo filtro interrompesse l’analisi delle immagini, in modo che fosse impossibile identificare in qualche modo queste persone in seguito. Qui ti ho fatto un esempio: Facebook ha avuto problemi con la crittografia dei messaggi. E se questa cosa dovesse apparire e diffondersi, probabilmente i social network la combatteranno. Inoltre, il riconoscimento delle immagini ora funziona molto bene, e questo rasenta il fatto che il livello sufficiente per "rompere" questa foto (per "rompere" l'algoritmo che riconosce queste immagini) - molto probabilmente, non sarà più chiaro nulla al riguardo non essere.
Tutti i tipi di filtri glitch funzionano bene se c'è un forte spostamento diretto nella metà della foto. Il tuo account assumerà quindi tutti i colori dell'LSD. A livello puramente teorico, non penso che sia molto spaventoso se Facebook, ad esempio, scopre che tipo di macchina ho, probabilmente se non accedo all'auto tramite Facebook.
La legge dell'oblio funziona, ma non su Internet
Z: – Hai incontrato un utente che ti ha costretto a rispettarlo, eliminarlo, ottenere l'accesso. Operi con grandi quantità di dati, probabilmente lo comunichi. Le persone possono contattarti. Quale percentuale?
OH: – Te lo dico adesso. Ora è qui che la cosa diventa davvero interessante. Adesso conterò quante persone verranno, perché dopo l'evento entra sempre il 15-20%, compila un modulo per cancellare i dati: esiste una cosa del genere. In realtà si tratta di circa il 7-8% dei conti chiusi che non analizziamo, e di circa 5 persone su mille che chiedono di cancellare i propri dati. Questo è davvero poco, anche a mio modesto parere.
Il problema qui è questo: esiste una cosa come la legge dell'oblio. Ma la legge sull’oblio, almeno in Russia, si applica legalmente solo ai motori di ricerca. Dice proprio lì: motori di ricerca. Ciò significa eliminare solo i collegamenti ai materiali e non i materiali stessi. In realtà, per rimuovere qualcosa da Internet, dovrai bypassare tutte queste fonti, quindi sostanzialmente non ci credo. Cerchiamo di avvisare gli utenti che devono pensare prima di pubblicare.
Finora questa percentuale è molto piccola: 5-7 persone su migliaia. A proposito, riguardo alla legge sull'oblio: tutti conoscono il caso così interessante "Sechin contro RBC". La legge dell'oblio ha funzionato, l'articolo è stato cancellato, ma è ovunque. Capisci che se qualcosa arriva una volta su Internet, non scomparirà mai da lì.
Gli utenti vengono eliminati, ma vengono identificati in base al comportamento tipico
Z: – Non pensi che le persone che cancellano i propri account e cercano di diventare un “buco nero” si troveranno in una posizione di svantaggio rispetto ad altri agenti economici?
OH: - Molto probabilmente sì, questa situazione sarà loro sfavorevole. Ci sono molti sconti e offerte che dipendono da loro. Ma, in teoria, se una persona cancella un account adesso... È popolare tra tutti i tipi di estremisti, quando cancellano un account e ne creano uno falso, ma continuano a interagire con lo stesso contenuto - questa persona, ancora una volta, può essere identificata (specialmente se è all'interno dello stesso social network, da un computer - questa è generalmente una domanda); Semplicemente in base al modello di consumo dei contenuti, sarà possibile trovare questa persona se esiste un compito del genere.
Spero che nei prossimi 5 anni appaia una sorta di tecnologia per monetizzare questi dati, quando sarà effettivamente possibile pagare una persona in denaro: pagherai te stesso e noi non utilizzeremo i tuoi dati. Ma penso che se qualche Instagram introducesse un abbonamento a pagamento, nessuno lo utilizzerebbe, quindi l’alternativa è pagare gli utenti per i loro dati. Ma questo non accadrà molto presto, perché la lobby delle temibili aziende non permetterà l’approvazione di una legge del genere, anche se sarebbe bello. Ma il punto qui è che è impossibile stimare il valore reale dei dati di una persona in un determinato momento.
Facebook - ragazzi che perdono
Z: - Buon pomeriggio. Di recente è apparsa la notizia che Facebook intende integrare tutti i suoi progetti, inclusi Instagram e Facebook, WhatsApp e così via. Cosa ne pensi, dal punto di vista dei dati personali, quando ora sul mio smartphone questi programmi sembrano appesi separatamente, ma appartengono ancora a Facebook?.. Cosa succederà dopo?
OH: - Capisco. Legalmente appartengono già a Facebook, che può unirli in modo incontrollabile al suo interno, quindi penso che non cambierà nulla. L'unica cosa è che ora è sufficiente hackerare un'applicazione per ottenere tutto in una volta. E Facebook... spero che stiano guardando. Ragazzi terribilmente che perdono in tutti i posti.
Recentemente sono apparse molte informazioni al riguardo, sulle fughe di dati da Facebook. Ciò non è avvenuto perché Facebook abbia improvvisamente iniziato a perdere questi dati, ma perché il GDPR ora costringe l’azienda ad avvisare in anticipo. E la multa più grande si paga se si è verificata una fuga di notizie, ma l'azienda ha taciuto, ed è per questo che Facebook ora ne parla. Ciò non significa che queste fughe di dati non si siano verificate prima.
Z: - Ciao. Ho una domanda sull'archiviazione dei dati. Ora ogni stato sta introducendo una legge per garantire che i dati dei cittadini siano archiviati nel territorio di quello stato. Quale condizione è sufficiente soddisfare per conformarsi a questa legge per alcune applicazioni internazionali?... Ad esempio, Facebook: esiste un solo database...
Come rispettare queste condizioni?
OH: – Ascolta, legalmente devi solo affittare un server in questo paese e metterci qualcosa. Il problema è che non esiste un organismo di regolamentazione competente. I dati di Facebook non esistono in Russia. Roskomnadzor sta combattendo e combattendo con loro, combattendo e combattendo... Facebook ha parte dei server dove si trova l'interfaccia di questo stesso Facebook, ed è impossibile verificare dove si trovano effettivamente i dati e come sono sincronizzati.
Z: – Controllare il traffico?
OH: – Controllare il traffico? SÌ. Ma il traffico può poi dirigersi verso un punto principale. Inoltre, potrebbe esserci qualcosa come una VPN o qualcos'altro tra i server. In teoria, non c'è modo di controllare che, ad esempio, un amministratore di sistema non vada un giorno su questo server e prenda qualcosa da lì. Cioè, questa legge non è stata adottata per motivi di protezione dei dati, ma per garantire che le aziende aprano uffici di rappresentanza, paghino le tasse e immagazzinino merci nel paese. Ma secondo me, a dire il vero, questa è una specie di iniziativa molto strana.
Z: – Quindi è sufficiente controllare effettivamente l’interfaccia?
OH: Qualcuno potrebbe venire da te e verificare che i tuoi dati siano presenti. Ma puoi mostrare una sorta di Excel e nessuno sarà in grado di controllarlo, quasi nessuno lo controllerà. Ora guardano semplicemente gli indirizzi IP: se l'indirizzo IP associato al dominio si trova nel territorio del paese, non controllano ulteriormente. Ora, probabilmente, verranno a controllarmi.
Non esistono servizi di cui ti puoi fidare al 100%, ma le persone perbene non hanno nulla da temere
Z: - Questa è una notizia, ristampata in più posti: l'ha postata un ragazzo della Microsoft, ha fatto un servizio per verificare il suo...
OH: – Qualcosa del tipo: le tue password sono state divulgate? In effetti, dopo le stesse fughe di notizie su Facebook, lo stesso Facebook avvia sempre una sorta di siti di backup in cui è possibile verificare che non sia incluso in questo database - ancora una volta, il GDPR lo richiede. Cioè, se non fai questa cosa, non ti sentirai molto bene. Pertanto ormai tutti presentano questi progetti come “questa è la nostra iniziativa”; infatti la legge lo richiede. Questa è in realtà una cosa molto interessante, ma non mi fiderei davvero di tali servizi di verifica se avessi bisogno di inviare qualcosa di più complesso della tua password, perché molte persone hanno le stesse password.
Z: – Basta inserire la tua email e ti dicono già quante volte è stata compromessa...
OH: – In realtà non mi fido di queste cose, perché è molto facile collegarti a questo browser, a un account reale. Soprattutto se utilizzi i servizi delle stesse persone che hanno lanciato questo sito. È come quell’anno in cui Facebook ha inviato: se le tue foto intime sono trapelate su Facebook, ce le invii e noi controlleremo dove sono state menzionate.
Non so che tipo di incubo di pubbliche relazioni sia questo e chi su Facebook lo abbia inventato, ma è successo davvero. Volevano vedere se qualcuno aveva inviato i tuoi nudi in messaggi privati. In linea di principio, questo serve a buoni scopi, ma è il più strano possibile. Non mi fiderei.
Z: - E un'altra domanda. Per l'utente medio, quanto sono alti i rischi di perdite? Rischi di danni dovuti a perdite.
OH: - Ti ho capito. Dipende dal tipo di dati da archiviare. Penso che non sia molto alto. La cosa peggiore è se le tue e-mail e le tue password perdono da qualche parte e hai questa password ovunque, allora sì. In generale, penso che gli utenti abbiano poco da temere. Ma a meno che, ovviamente, non memorizzino qualche smembramento nella posta di Google. C'erano molti esempi.
La storia più famosa è su Google, quando una ragazza è stata rapita nello Utah, non sono riusciti a trovarla e ad un certo punto i rapitori hanno inviato le sue foto in un allegato archiviato. E Google, scansionando questo allegato, ha trovato segni di pornografia infantile. Hanno trovato tutti. E sono anche riusciti a denunciare Google per aver violato la riservatezza della corrispondenza. Questo processo è durato parecchio tempo. Ciononostante ritengo che l'utente medio non abbia nulla da temere se non rende pubblico il suo passaporto. Questa è una doppia storia: dipende dal tipo di dati e dal tipo di utente. Forse adesso va bene, ma tra 15 anni, quando diventerà una sorta di funzionario, alcuni dei suoi materiali verranno alla luce.
Come funziona con il governo?
Z: - Grazie. Hai parlato un po' di fare ricerca per lo stato, agenzie governative, servizi e di lavorare con loro. Forse puoi dirci qualcosa in più su alcuni progetti attuali. Ancora di più, se potete, su... Due domande: la prima riguarda i progetti in corso, la seconda è se ci fossero proposte del genere da parte dei servizi governativi...
OH: - Indecente!
Z: - SÌ. Quando hai pensato: forse non dovresti farlo.
OH: - Ti dirò. Lo dico a tutti. Questa persona e io abbiamo discusso a lungo su Twitter. Una volta ho ricevuto una domanda dal team Twitter di Milonov sulla ricerca di insegnanti che guardassero il porno gay. Abbiamo subito detto di no. Ma ce ne sono alcune, le lettere arrivano spesso e molto spesso sono collegate ad alcuni oppositori, manifestazioni. Non ci occupiamo di queste sciocchezze, comunque tutti ci lanciano merda. Non mi vergogno di questo.
Abbiamo la seguente politica riguardo agli “stati”: sviluppiamo software, software per la ricostruzione tridimensionale, riconoscimento facciale e analisi dei dati. È molto difficile dire cosa facciano esattamente, ma i modelli includono la previsione della criminalità, aspetti legati alla sicurezza dello stato all’interno della città, i movimenti delle persone, il geomarketing e così via. Dal posizionamento di oggetti nell'ambiente urbano all'identificazione di pedofili, stupratori, maniaci e ogni sorta di cattivi.
Onestamente non abbiamo intrapreso alcuna attività di opposizione. Forse non ce lo dicono in faccia. In realtà, questo è un grosso problema: la cooperazione con i “governi”, perché non sempre spiegano quale sia il compito. Ti dicono: crea un software per identificare le casalinghe, ma in realtà ne faranno qualcos'altro: tutto si rompe.
Inoltre, lo Stato è un cliente molto interessante e strano che cerca costantemente di inserire tre centesimi nella tua ricerca, e spesso i loro approcci e la loro comprensione dell'apprendimento automatico sono molto superficiali. Ad esempio, ho una lezione separata sugli errori di apprendimento automatico. Faccio sempre un esempio lì: quando stavamo realizzando un sistema di previsione della criminalità nella regione di Mosca, il cliente ha detto: dove vendono angurie, per favore aumenta il coefficiente di quattro volte. E poi, infatti, si è scoperto che i luoghi in cui si vendono le angurie non sono affatto criminali. Questi sono semplicemente errori di una persona che contribuisce con i suoi pensieri.
In breve, lo Stato è un ottimo cliente, ci sono molti compiti interessanti lì. La maggior parte si riduce a modelli simili di previsione di qualcosa. Molto spesso si tratta di una sorta di infrastruttura urbana.
Z: – Ci sono fonti dove puoi seguire la tua ricerca? Molte informazioni. A quanto ho capito, molto è ancora lasciato in mare. Le tue pagine, qualcos'altro...
OH: – Non ho pagine personali.
Z: – Probabilmente Facebook è già stato chiuso?
OH: – Circa quattro mesi fa c’era una storia: hanno inviato a tutti noi lettere così grandi che “siete dei mostri, state vendendo tutto al Cremlino, state infrangendo tutte le regole di Facebook”. Hanno persino inviato una lettera al mio cane: "Ciao, Mars blue corgi, stai raccogliendo dati!" e così via. Ascolta, stiamo cambiando il marchio adesso. Tra due o tre settimane il nostro sito web sarà attivo e tutto sarà aggiornato. Questo sarà qualcosa da guardare. Ma siamo molto pigri semplicemente a questo riguardo.
Come puoi determinare l’affidabilità di una VPN?
Z: – Quando hai detto che saresti andato in un bar senza identificarti con il tuo numero di telefono? E sotto cosa?
OH: – Non si può dire “sotto nome altrui”, perché questo è un invito a violare le norme sull’identificazione. No, no, no. Sto scherzando. Ora quasi tutti i bar identificano tutto - non c'è solo un numero di telefono, ci sono un mucchio di pixel, c'è l'identificazione del dispositivo, l'indirizzo MAC e quant'altro, per poterlo utilizzare in seguito - dagli scopi pubblicitari alle attività di ricerca operativa. Pertanto, devi stare molto attento con queste cose. Non solo puoi scrivere qualcosa, ma loro possono scrivere dal tuo dispositivo e poi succede qualcosa.
Forse avete visto la storia su come ora stanno conducendo un'indagine su come (anche in Bielorussia, tra l'altro) affittano account Facebook, ad esempio, per la pubblicità dei casinò. Ma in realtà, non si sa perché, danno accesso anche a un computer. Questi sono i tipi di cose che devi evitare il più possibile. Se decidi di scrivere qualcosa in modo anonimo da qualche parte... verrei in un bar e attiverei qualche bella VPN. Ma in realtà (ancora una volta, non sto puntando il dito contro nessuno), quando hai un account con una VPN, controlli chi possiede questa VPN, quale azienda, chi possiede questa azienda e così via. Perché la maggior parte dei giocatori nel mercato delle VPN non sono esattamente bravi ragazzi.
Bene, va bene, in Bielorussia non importa. In Russia, una buona VPN viene verificata se azino777 è bloccato o meno. Perché in caso contrario, c'è un'alta probabilità che questo servizio VPN venga chiuso entro una settimana. In generale, controlla tutto.
Informazioni sull'eliminazione automatica dei messaggi
Z: – Hai parlato così tanto di messaggi personali che i social network li leggono... Ma, ad esempio, Facebook ha messaggi personali segreti che possono essere impostati (tranne per il fatto che sono anche crittografati) per la distruzione. Come puoi commentare questo?
OH: - Non c'è modo. In primo luogo, non sono un super professionista della crittografia e, in secondo luogo, il problema qui è che nessuno ha visto il server di Facebook, nessuno sa come funziona tutto lì. Convenzionalmente, alcune specifiche dicono che si tratta di crittografia end-to-end, ma potrebbe non essere così, oppure è end-to-end, ma con alcuni errori o qualcos'altro. Ha senso usare una cosa del genere se hai paura che la persona a cui l'hai inviata ad un certo punto provi a fare qualcosa.
Telegram ha una comoda funzione per inviare foto intime che si cancellano automaticamente: quando provi a fare uno screenshot, questo viene automaticamente cancellato. L'iPhone ora ha una funzione per registrare video dallo schermo, e puoi registrare video dallo schermo e così via... Molto spesso mi inviano materiali con questa funzione (eliminazione automatica) - non capisco mai perché. Posso scaricarlo subito! È tutto a tua discrezione.
Il rating sociale in Cina: miti, realtà, prospettive
A: – In realtà ne abuso un po’, anche se non ho bisogno di una VPN (a proposito, abbiamo una VPN collaudata). E la questione riguarda l’etica. Abbiamo un meraviglioso amico dal Kazakistan, lo abbiamo anche portato a tenere una conferenza. Una volta ci siamo seduti con lui a una conferenza, dove hanno parlato di varie cose, e lui ha detto (e si occupa di sicurezza informatica, cioè nella sua forma pura, sicurezza ingegneristica, una persona interessata a soluzioni tecniche): “Ecco, Sono tornato dalla Cina. Fanno una cosa davvero interessante lì: la valutazione sociale. A proposito, hai fatto qualche ricerca su questo problema, come funziona per loro?
OH: – Vendiamo gol in Russia, ne so molto.
A: – Quindi ho una domanda: cosa ci direbbe di più a riguardo – su ciò che forse ci aspetta tutti in futuro. Ma un’altra questione sull’etica. Lo ha detto con gioia: "Una soluzione ingegneristica interessante!" Hai un tuo codice etico?
OH: - Sì, a proposito, c'è. Due anni fa l'abbiamo introdotto: subito dopo la storia con Milonov, abbiamo deciso di classificare in qualche modo questi progetti. Tornando alla valutazione: questa è una delle domande più popolari, perché i media demonizzano moltissimo tutta questa storia: alle persone non è permesso andare all'estero, vengono uccise con un laser lunare. Ti porto, ancora una volta, materiale di ingegneria...
Se inizi a scavare in questa storia, guarda quali parametri sono inclusi in questa valutazione sociale, capirai: include alimenti chiusi, precedenti penali, storia creditizia, cioè una cosa davvero fantastica dal punto di vista ingegneristico. Vivi senza infrangere la legge, vivi bene: ti danno un prestito basso. Hai un lavoro sociale importante (ad esempio insegnante): ti viene assegnato un alloggio adeguato. All'inizio questo ha confuso tutti, perché all'inizio è trapelata una storia secondo cui se scrivi male del presidente, la tua valutazione verrà abbassata. Anche se non c'erano prove. A difesa della valutazione, dirò contro la valutazione che nessuno ha visto l'algoritmo, quali parametri vengono effettivamente utilizzati lì.
Poi è apparsa la storia secondo cui a più di un milione di persone non era permesso andare all'estero e gli era stato vietato di partire. In realtà, questa non è una formulazione del tutto accurata. Quando ricevi un visto (ad esempio per l'Europa), ti viene concesso un visto al prezzo di “70 euro al giorno” (qualcosa del genere); Se non fornisci una prova del reddito, non ti verrà concesso il visto. In Cina, il Ministero degli Esteri locale ha deciso di andare un po’ oltre: ha semplicemente avvertito immediatamente le persone che non hanno abbastanza soldi che se vogliono andare all’estero, non avranno abbastanza soldi. Di conseguenza, tutto ciò è stato successivamente incanalato nel concetto che ai poveri non è consentito andare all’estero. Questa è una cosa etica complessa, rasenta una certa presunzione di colpa o di innocenza, ma di fatto non posso dare una valutazione.
Le persone uccidono, non le armi
La cosa principale che devi capire è che tutti questi algoritmi che la società condanna non sono il problema degli algoritmi. Gli algoritmi hanno semplicemente permesso di analizzare molto rapidamente un grande “volume” di persone, e questo problema sociale è stato portato in primo piano. Cioè, un bot di Microsoft che ha imparato dai tweet ed è diventato razzista: la colpa non è del bot, ma dei tweet che legge. Oppure un'azienda che decide di costruire un modello di dipendente ideale analizzando quelli attuali, e si scopre che si tratta di un maschio bianco, di genere con un'istruzione superiore.
Questo non è un modello razzista, sessista o qualsiasi altra cosa; queste sono le persone che hanno assunto queste persone (che avessero ragione o torto, non importa). Tutto confina semplicemente con il fatto che l'intelligenza artificiale è malvagia, cattiva e distruggerà il mondo, ma in realtà... Se, a determinate condizioni, ora, per esempio, il governo russo approvasse una legge secondo la quale gli oppositori non saranno lasciati liberi istruzione, e scriveranno software che li identifichi e li privi di questa istruzione gratuita: la colpa non sarà dell’algoritmo. Anche se nessuno sostiene questo mio concetto, perché quando dico che non sono le armi ad uccidere la gente, ma la gente, “sei fascista” e così via.
In generale, questa è una soluzione ingegneristica davvero interessante. Devi capire perché ciò non accadrà, ad esempio, in Russia. Tu [in Bielorussia] non lo avrai, perché sei uno stato europeo, per te va tutto bene. Ciò non accadrà in Russia per molte ragioni: in primo luogo, non abbiamo lo stesso livello di fiducia nel sistema di applicazione della legge che abbiamo in Cina; Non abbiamo lo stesso livello di digitalizzazione. Perché tutto ha funzionato in Cina? Perché il governo: ha la medicina digitale, l’assicurazione digitale, la polizia digitale. E qualcuno intelligente ha avuto l'idea: mettiamo tutto insieme e realizziamolo: essenzialmente è un programma fedeltà. Ci sono più chicche che “non chicche”.
Pertanto sì, penso che questo non verrà introdotto in Russia. Dobbiamo prima digitalizzare l'intero Ministero della Salute (e questo è un compito per 50 anni): qualcuno dovrà sacrificare la propria vita per questo, ma nessuno, naturalmente, lo farà. D’altra parte, le banche russe sono le prime al mondo nel segnare le persone, non fanno nulla: “Sì, amico? Ti piacciono le ragazze giovani? Ecco una carta di credito per la tua amante. Lì è tutto molto avanzato. Ad esempio, in America questo tipo di punteggio è vietato quasi ovunque, perché esistono leggi secondo le quali la banca è obbligata a spiegarti il motivo: “Aha! Perché la società Social Data Hub conserva la storia per 10 anni e così e così ha rivelato qualcosa su di te! E denunciamo entrambi! Ma non abbiamo storie del genere.
Perché le statistiche tacciono?
In linea di principio, sono favorevole al punteggio, se non si tratta di una sorta di storia “totalitaria”. Ma l’intera questione è che è impossibile prevederlo e valutarlo. Questa è la storia più difficile nell’etica dei big data: prevedere l’impatto sociale che ci sarà tra 15 anni. Ad esempio, chiedo da molto tempo alla procura di rendere pubbliche le informazioni sul crimine. Le statistiche sulla criminalità sono uno dei capisaldi di qualsiasi statistica; tutti lo vogliono davvero. Ma, ad esempio, in Russia non pubblicano le statistiche sulla criminalità per un motivo molto semplice: hanno paura di sconvolgere la demografia all’interno delle città. Credono che in alcune città le persone smetteranno di vivere e che anche all’interno delle città tutto verrà in qualche modo ridistribuito. Per lo stesso motivo, non divulgano le statistiche dell'esame di stato unificato: capisci che le persone andranno in alcune scuole e non in altre.
Forse è corretto, forse no, ma ci sono stati molti progetti... Ad esempio, Yandex una volta (di nuovo, secondo le voci "gialle", non l'ho visto, non lo so) ha deciso di aggiungere il numero di attacchi ai tassisti al modello di previsione immobiliare , cioè una sorta di approccio al livello di criminalità, contando il numero di denunce dei tassisti secondo cui qualcuno li ha molestati, minacciati e così via. All'interno dell'azienda hanno subito rifiutato per non fare queste cose.
Z: – Comunichi con gli studenti, comunichi con il pubblico nel tuo paese, nel nostro paese. Avete notato dal numero di domande del pubblico che siamo ancora in quella fase di sviluppo in cui pensiamo che abbiamo bisogno di riservatezza, che possiamo nasconderci a qualcuno, proteggere i nostri dati non fornendoli, nascondendoli, crittografandoli. Se l'Unione Europea è già passata alla fase successiva, quella della privacy, che implica il controllo sui dati - per obbligare chiunque raccolga i tuoi dati a darti un controllo effettivo su di essi... Basato su campioni per regione, per strati sociali - quale categoria di cittadini, persone, è di più È già passata alla seconda fase o chi altro è per lo più seduto alla prima?
Chi è più preoccupato per la sicurezza dei dati personali?
OH: – Maggioranza totale... direi: non frega niente a nessuno! Questo ora preoccupa i top manager. Per città in Russia questi sono Mosca e San Pietroburgo. Il centro attivo sono specialisti IT, designer, professioni creative, chiunque sappia filtrare i contenuti, acquisire nuove conoscenze, con un alto livello di interesse per le questioni internazionali. Si tratta principalmente di top manager; sì, specialisti IT (senza contare gli specialisti della sicurezza); banchieri, cioè tutte le persone che potrebbero essere in qualche modo colpite da una fuga di dati.
Se, ad esempio, i dati di un capofamiglia vengono rubati da qualche Kaluga, è improbabile che qualcosa cambi seriamente nella sua vita se qualcuno gli ruba, ad esempio, l'accesso a Gmail, dove memorizza l'accesso alle serie TV. La questione è che la legge tutela tutti allo stesso modo, ed è giusto così, perché... dal punto di vista della legge tutti sono uguali - ahah... ma la cosa più importante è che è impossibile capire di chi sono i dati varrà quanto finché questi dati non scompariranno - sfortunatamente, è molto difficile da prevedere. Ma fondamentalmente questa categoria di cittadini.
Telefono - in pellicola!
Per l'unica volta nella mia vita ho visto lo stoccaggio completo di tutto e di tutto in due aziende. Uno è il più grande integratore di sicurezza informatica: lì tutto, anche USB, è sigillato con colla all'interno dell'ufficio; e le persone sono le stesse: lì ho incontrato un uomo che aveva il telefono in una borsa di alluminio. Ho scoperto che ci sono aziende che vendono borse speciali come questa. E la seconda volta che ho visto una storia simile su Bloomberg tra i dipendenti: eravamo nella sala fumatori e qualcuno stava scattando delle foto da qualche parte, e una di loro - "In modo che non potessimo essere visti lì sullo sfondo!" Ho pensato: "Oh, wow"!
“Siamo migliori dell’FSB”
Non vorrei dire che si tratti di meno dell’XNUMX% della popolazione, ma sfortunatamente, nella massa generale, quasi a tutti non importa. Ma d'altra parte, ho un servizio scandaloso per monitorare le azioni dei minori (lo abbiamo lanciato molto tempo fa con lo slogan "Siamo migliori dell'FSB"), per avvisare i genitori che un minore sta creando spazzatura , prima del nostro algoritmo, installato dove qualcuno gli verrà inviato.
Quando si verifica un bambino, è necessario inviare una scansione del passaporto (questa è, in linea di principio, una pratica normale), ma abbiamo scritto che puoi eliminare il numero del passaporto perché non ci interessa; Ci interessano solo la tua foto, l'ologramma, il nome e il cognome. E per quasi il 100% delle persone - beh, circa 95 passaporti su 100 - le persone hanno ritagliato con cura questi numeri in Photoshop e hanno inviato solo la parte necessaria. Cioè, hanno capito: sì, poiché non ne hanno bisogno, non hanno bisogno di inviarlo. Secondo me, questo è un vero progresso, causato dalla loro mancanza di fiducia in noi.
Z: – Il campione è così specifico. Ci sono persone che fanno domanda, sono già in fase avanzata.
Le persone non vogliono essere tracciate, ma non leggono gli accordi
OH: - SÌ. E la seconda cosa è la stessa: abbiamo lanciato un'applicazione di appuntamenti per un test alla fine di quell'anno (la rilanceremo presto). C'era un gruppo di controllo di 100mila persone. E lì, secondo gli approcci GDPR, c'erano 15 caselle di controllo nel mio account personale: do il permesso di analizzare l'interazione con l'interfaccia, di accedere ai miei dati demografici, di accedere alla ricostruzione facciale tridimensionale, di accedere ai miei messaggi personali e così via . Abbiamo descritto il più possibile tutti gli accessi possibili. Ci sono anche statistiche da qualche parte su chi ha spuntato quali caselle. Il 98% ha lasciato tutte le caselle selezionate per impostazione predefinita (nonostante siano andati su questa pagina e abbiano visto tutto, ma non gli importava), ma è stato interessante analizzare questo 2% per quella che era una priorità per le persone.
Tutti hanno rimosso il permesso di accedere ai messaggi personali e quasi tutti hanno rimosso il permesso di accedere ai dati dei test sessuali (cosa gli piace lì, cosa hanno compilato lì, le loro perversioni - sto scherzando). Ma le persone sono state prese a calci in questo, colpite: l'interfaccia dice loro: leggilo attentamente, ti dà l'opportunità di scorrere questo accordo fino alla fine. Ma questo è stato fatto unicamente perché si trattava di un progetto di ricerca e tutti erano avvisati. Nessuna azienda, noi compresi, quando rilascerà questa applicazione nel pubblico dominio, costringerà una persona a leggere questo messaggio fino alla fine, perché... beh, scusa, è così che funziona.
A condizione che siano venuti da noi, sapendo cosa fa l'azienda, sapendo che si sono rivolti a un servizio che ti offrirà candidati in base al tipo di porno che ti piace - anche in base a questo, solo il 2% ha letto queste caselle di controllo e in generale ha fatto qualcosa . E quasi nessuno di loro ha deselezionato la casella “Accesso al traffico e dati sulle visite ad altre pagine web”. Per lo più tutti erano preoccupati per i messaggi personali.
Nudità e reclusione per piacere sono leggi interessanti delle repubbliche fraterne
Z: – Ho una domanda sulla protezione dei dati. Puoi portare il tuo telefono in un foglio di alluminio, far finta che non ci sia... Poi si scopre che in un certo senso lo salvi, lo conservi, ma poi devi fornire i tuoi dati allo stato, perché te lo chiede, e semplicemente non puoi... E poi si scopre che gli appaltatori governativi sono tutti pieni di buchi. E in Bielorussia esiste anche una norma del genere: se controllo la sicurezza dei miei dati personali (correggo qualcosa e accedo ad essi), allora sono immediatamente un criminale. Lo stesso articolo è stato utilizzato per accusare i giornalisti nel “caso BelT” di aver ottenuto un accesso non autorizzato ai dati (potete leggerlo voi stessi). Quindi la mia domanda è: tali restrizioni sono una misura efficace per la privacy e in generale per la sicurezza dei dati privati?
OH: - Capisco. Ci sono molte leggi molto interessanti in Bielorussia. L'ho scoperto solo di recente... Continuo a scherzare sulla trasmissione di nudità, ma a quanto pare qui è proibito.
Z: – La dimostrazione è vietata!
OH: - In effetti è un po' strano.
Z: – Puoi guardare, non puoi trasferire, non puoi mettere mi piace. Non potete guardarlo insieme!
OH: – Risponderò alla tua domanda. Vorrei tornare al tema dell'"essere imprigionati per i Mi piace" a Mosca. In Russia questo è l’argomento numero uno. Non so come sia in Bielorussia, ma francamente lo Stato... Se si analizzano le statistiche, a Mosca 95 arresti su 100 per like avvengono quando la gente si lamenta della gente, qualcuno scrive alla procura per un altro persona. Lo Stato molto raramente avvia tali casi. Mi sembra che questa legge sia assolutamente assurda. Non conosco un solo vero criminale che sia stato incarcerato per questo. Ma questa misura serve per imputare almeno qualcosa a una persona. Mi sembra che questo sia il più strano possibile. Penso che un giorno verrà cancellato.
Z: - Questo si chiama tenere il coperchio.
OH: - Beh, va bene... non posso dirlo. Non sono esattamente un mostro pro-Stato, ma la mia percezione è leggermente cambiata, sai, dalle persone che vengono da noi e dicono: “Mio figlio è scomparso, aiutami a ritrovarlo”. Dico: "Non posso fare nulla senza il permesso del tribunale". Guardi questi genitori che darebbero tutto nella loro vita, darebbero qualsiasi accesso a qualsiasi dato, solo per risolvere il loro problema. Pertanto, è molto difficile per me avere una discussione del genere: da un lato, credo che lo Stato faccia la cosa giusta quando cattura persone reali, ma dall'altro, concedere un accesso incontrollato è una storia generalmente terribile.
Torno al tuo pezzo, "scusa" per essermi distratto. Non credo affatto ai sacchetti di alluminio. Avere un telefono cellulare e avvolgerlo nella pellicola è un po' stupido. Perché farlo? In modo che il telefono non si connetta al Wi-Fi? È più facile spegnerlo. In modo che l'operatore di telefonia mobile non ti identifichi? Possono ancora trilaterare il segnale e in qualche modo calcolarlo. Per me, l'unica misura di sicurezza efficace è l'archiviazione sicura, come una rete locale, magari in un appartamento, dove puoi conservare qualcosa.
Z: - C'è una questione sulla legislazione. La normativa è repressiva nei confronti di una persona che vuole controllare i propri dati?
OH: - Capisco, sì. Non sapevo nemmeno di questa cosa quindi non posso dirtelo con certezza. In Russia non esiste una cosa del genere, anche se lì tutto è molto complicato. Probabilmente puoi consultare avvocati qualificati e, forse, c'è una sorta di scappatoia - forse puoi rivolgerti a qualche tribunale europeo... No? Non posso parlarti di questo. La mia conoscenza del diritto è superficiale, al livello di un dirigente d'azienda. So cosa non fare senza che nessuno ti dica nulla. Questo è, ovviamente, molto triste.
Z: – Ciò che intendo è che in altri paesi (ad esempio negli Stati Uniti) è prassi normale testare qualche tipo di vulnerabilità e poi segnalarla, ma non divulgarla.
OH: - Sì, "ricompensa degli insetti". Ho capito che esiste una cosa del genere.
Z: "E le aziende non hanno un meccanismo per rimuoverti perché è più economico."
OH: – Questa cosa rasenta anche il livello della legge. Dipende da come trovi questa vulnerabilità. Mi sembra che gran parte del denaro pagato per questa vulnerabilità in America sia stato pagato in base ad accordi di non divulgazione e minacce di denuncia alla persona. È anche come se non avesse in mano una candela. Rischiamo sempre questo genere di cose. I miei dipendenti hanno riscontrato vulnerabilità simili in tutti i tipi di applicazioni governative un paio di volte - dico sempre: "È meglio inviare una lettera anonima che dire loro che il buco è lì". E poi arriverà qualche istituto di ricerca e fornirà questo servizio... In generale non continuo.
È impossibile verificare l’integrità di un’azienda: se non ti piace, non usarla
Z: - Una domanda. Hai detto di aver condotto un esperimento: dovevano essere selezionate 15 caselle di controllo... Supponiamo che l'utente cancelli tutte le caselle di controllo. Chi controllerà tutto questo e come? Come posso verificarlo?
OH: – Te lo dico onestamente: nessuno e in nessun modo. Sul serio. Il fatto che tu abbia selezionato e deselezionato la casella "Proibisci tracciamento annunci" su Google non significa nulla. Sfortunatamente, anche quando imposti un divieto di indicizzazione dei motori di ricerca su VKontakte, i motori di ricerca lo indicizzano comunque e quindi semplicemente non forniscono questi risultati a determinate persone. Tutto ciò è dovuto alla mancanza di autorità competenti che non possano verificarlo. Inoltre, le aziende che lo fanno sono private. Che Facebook abbia una posizione giusta o sbagliata, ne ha una: se non ti piace, non usarlo.
Sulla regolazione
Z: – Ho solo una semplice domanda. Come valuta la questione della regolamentazione del trattamento dei dati e dell'autoregolamentazione?
OH: – In qualità di rappresentante dell’azienda, ritengo che il mercato e le imprese necessitino di autoregolamentazione. Credo che la Big Data Association possa regolare tutto da sola, senza lo Stato. Non mi fido davvero della regolamentazione governativa e non mi fido davvero di tutte le storie in cui lo stato vuole tenere qualcosa per sé, perché ogni caso ha dimostrato che questo è pessimo. Qualcuno metterà sicuramente il login e la password su un adesivo giallo sul monitor e così via.
In generale, credo nell’autoregolamentazione. Inoltre, credo che nei prossimi 5 anni arriveremo a una sorta di apertura. Anche adesso si può già vedere dai feed di notizie che è molto difficile per lo Stato mentire agli utenti, ed è molto difficile per gli utenti mentire al sistema. E questo, in linea di principio, probabilmente è positivo. Poiché i nostri ufficiali dell'intelligence vengono identificati dalle fotografie pubbliche
Tutto ciò probabilmente porta ad una diminuzione del tasso di criminalità. Beh, puramente matematicamente. Se qualcuno è interessato a parlare di riduzione del tasso di criminalità, si possono trarre molte conclusioni diverse. In generale, sono favorevole all’autoregolamentazione del mercato. Grazie!
Alcuni annunci 🙂
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, , un analogo unico dei server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico nel data center Equinix Tier IV ad Amsterdam? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com