Dag voor de bescherming van persoonlijke gegevens, Minsk, 2019. Organisator: mensenrechtenorganisatie Human Constanta.
Presentator (hierna te noemen B): – Arthur Khachuyan houdt zich bezig met... Kunnen we zeggen “aan de donkere kant” in de context van onze conferentie?
Arthur Khachuyan (hierna – AH): – Aan de zakelijke kant, ja.
В: – Hij verzamelt uw gegevens en verkoopt deze aan bedrijven.
OH: - Niet echt…
В: – En hij zal u vertellen hoe bedrijven uw gegevens kunnen gebruiken, wat er met de gegevens gebeurt als deze online gaan. Hij zal je waarschijnlijk niet vertellen wat je eraan moet doen. Wij zullen verder nadenken...
OH: - Ik zal het je vertellen, ik zal het je vertellen. Sterker nog, ik zal het je lange tijd niet vertellen, maar tijdens een eerder evenement werd ik voorgesteld aan een man wiens Facebook zelfs het account van zijn hond blokkeerde.
Dag Allemaal! Mijn naam is Arthur. Ik doe eigenlijk gegevensverwerking en -verzameling. Uiteraard verkoop ik aan niemand in het publieke domein persoonlijke gegevens. Een grapje. Mijn werkgebied is het extraheren van kennis uit open source data. Wanneer iets juridisch gezien geen persoonsgegevens is, maar er wel kennis uit kan worden gehaald en er dezelfde waarde van kan worden gemaakt alsof deze gegevens uit persoonsgegevens zouden zijn verkregen. Ik zal je niets echt engs vertellen. Toegegeven, dit gaat over Rusland, maar ik heb ook cijfers over Wit-Rusland.
Wat is de echte schaal?
Eergisteren was ik in Moskou in een van de leidende, regerende partijen (ik zal niet zeggen welke), en we bespraken de implementatie van een of ander project. En dat betekent dat de IT-directeur van deze partij opstaat en zegt: “Je zei, cijfers enzovoort, weet je, het 2e directoraat van de FSB heeft hier een notitie voor mij opgesteld, waarin staat dat er 24 miljoen Russen op sociale netwerken zijn . En jij zegt - 120-iets. Sterker nog, ruim dertig [miljoen] van ons gebruiken het internet niet.” Ik zeg ja? OK".
Mensen realiseren zich de omvang niet echt. Dit zijn niet per se overheidsinstanties, die waarschijnlijk niet helemaal begrijpen hoe internet werkt, maar bijvoorbeeld mijn moeder. Ze begint nu pas te begrijpen dat ze haar bij Perekrestok niet voor niets een kaart geven, niet vanwege de zielige kortingen die Perekrestok biedt, maar vanwege het feit dat haar gegevens vervolgens worden gebruikt in OFD, aankopen, voorspellingsmodellen, enzovoort.
Over het algemeen zijn er zoveel bewoners en is er informatie over zoveel inwoners in open bronnen. Van sommige mensen is alleen hun achternaam bekend, van anderen is alles bekend, tot aan de porno toe die ze leuk vinden (ik maak hier altijd grapjes over, maar het is waar); en allerlei soorten informatie: hoe vaak mensen reizen, wie ze ontmoeten, welke aankopen ze doen, met wie ze leven, hoe ze zich verplaatsen - een heleboel allerlei soorten informatie die slechte, minder slechte en goede mensen kunnen gebruiken (ik weet niet Ik weet niet eens welke schaal ik nu moet bedenken, maar toch).
Er zijn sociale netwerken, die uiteraard bestaan uit een gigantische verzameling open data, die inspelen op de zwakheden van mensen die lijken te schreeuwen om privacy. Maar in werkelijkheid is het zo: als je je een grafiek van de afgelopen vijf jaar voorstelt, groeit de hysterie over persoonlijke gegevens, maar tegelijkertijd neemt het aantal gesloten accounts op sociale netwerken van jaar tot jaar af. Het is misschien niet helemaal correct om hieruit conclusies te trekken, maar: het eerste dat elk bedrijf tegenhoudt dat gegevens verzamelt, is een dom gesloten account op sociale netwerken, omdat de mening van een persoon binnen zijn gesloten account, als hij geen 5 heeft duizend abonnees, het is voor geen enkele analyse echt interessant; maar er zijn ook dergelijke gevallen.
Waar halen ze informatie over ons?
Heb je ooit je oude schoolvrienden bij je aan de deur gehad waar je al een hele tijd niet meer mee gesproken hebt, en toen verdween dat account? Er is dit onder de slechteriken die telefoons verzamelen: ze analyseren vrienden (en de lijst met vrienden is bijna altijd open, zelfs als iemand zijn profiel sluit, of de lijst met vrienden kan “in de tegenovergestelde richting” worden hersteld door alle andere gebruikers), ze nemen een inactieve vriend van je, maken een kopie van zijn pagina, kloppen bij je vriend aan, je voegt hem toe en na twee seconden wordt het account verwijderd; maar er blijft een kopie van uw pagina over. Dit is in feite wat de jongens onlangs deden, toen 68 miljoen profielen van Facebook ergens wegvlogen - ze voegden iedereen op vrijwel dezelfde manier toe als vrienden, kopieerden deze informatie, schreven zelfs iemand in privéberichten, deden iets...
Sociale netwerken zijn een enorme bron van informatie, in bijna 80% van de gevallen wordt informatie over een specifieke persoon niet rechtstreeks, maar uit de directe omgeving gehaald - dit is allerlei indirecte kennis, tekenen (we noemen het de 'kwade ex-vriendin' ”algoritme), omdat een van mijn vrienden me dit absoluut briljante idee gaf. Ze volgde haar vriend nooit - ze volgde altijd zijn vijf vrienden en wist altijd waar hij was. Dit is eigenlijk een reden om een heel wetenschappelijk artikel te schrijven.
Er zijn enorm veel bots die ook allerlei goede en slechte dingen doen. Er zijn onschuldige mensen die zich domweg op je abonneren, zodat ze vervolgens reclame voor cosmetica voor je kunnen maken; en er zijn serieuze netwerken die hun mening proberen op te dringen, vooral vóór de verkiezingen. Ik weet niet hoe het in Wit-Rusland is, maar in Moskou had ik vóór de gemeenteraadsverkiezingen om de een of andere reden een groot aantal vreemde vrienden, die elk campagne voerden voor een andere kandidaat, dat wil zeggen dat ze absoluut niet de inhoud analyseren die Ik consumeer - ze proberen gewoon een soort onbegrijpelijke hervorming op te leggen, rekening houdend met het feit dat ik helemaal niet in Moskou ben geregistreerd en niet zal gaan stemmen.
De vuilstortplaats is een bron van gevaarlijke informatie
Bovendien is er Thor, die niet zo onderschat wordt - iedereen denkt dat je daar alleen heen hoeft te gaan om drugs te kopen of uit te vinden hoe wapens worden geassembleerd. Maar in werkelijkheid zijn er veel gegevensbronnen beschikbaar. Bijna allemaal zijn ze illegaal (zoals illegaal), omdat iemand de database van een luchtvaartmaatschappij op een hackersite had kunnen hacken en deze daar naartoe had kunnen gooien. Juridisch gezien kunt u deze gegevens niet gebruiken, maar als u er enige kennis uit haalt (zoals bij een Amerikaanse rechtbank), kunt u bijvoorbeeld geen gebruik maken van een opname van een audiogesprek dat zonder bevel is gemaakt, maar de kennis die u uit deze audio heeft verkregen opnemen, je zult het niet vergeten - en hier is het ongeveer hetzelfde.
Dit is eigenlijk heel gevaarlijk, dus ik maak altijd grapjes, maar het is waar. Ik bestel altijd eten bij het naburige huis, omdat de Delivery Club heel vaak kapot gaat en er echt zulke problemen zijn. En onlangs was ik zeer verrast: ik was boodschappen aan het bestellen, en op de doos die ik naar de prullenbak bracht, zat een sticker met de tekst "Arthur Khachuyan", telefoonnummer, appartementadres, intercomcode en e-mailadres. We hebben zelfs geprobeerd te onderhandelen met de gemeente Moskou om ons toegang te geven tot de stortplaats: kom in het algemeen naar de afvalopslagplaats en probeer, puur uit interesse, een vermelding van persoonlijke gegevens te vinden - om zoiets te doen als een mini-onderzoek. Maar ze wezen ons af toen ze erachter kwamen dat we met Roskomnadzor-medewerkers wilden komen.
Maar dit is eigenlijk waar. Heb jij de geweldige film “Hackers” gezien? Ze snuffelden in de prullenbak om een deel van het virus te vinden. Dit is ook populair: als mensen iets in open bronnen gooien, vergeten ze het. Dit zou een schoolwebsite kunnen zijn waar ze een proefschrift over blanke suprematie schreven, en toen gingen ze naar de Doema en vergaten het. Dergelijke gevallen hebben zich daadwerkelijk voorgedaan.
Wat vinden leden van Verenigd Rusland leuk?
Als je naar het bovenste gedeelte van de LifeNews-website gaat... Studenten hebben twee jaar geleden een onderzoek voor mij gedaan: ze namen alle deelnemers aan de voorverkiezingen van Verenigd Rusland mee (ze dienden allemaal officieel hun sociale media-accounts in bij de All-Russische Centrale Uitvoerend Comité), keken naar wat ze over het algemeen leuk vonden: kinderachtige porno, onzin, onbegrijpelijke advertenties van vreemde volwassen vrouwen... Over het algemeen lijken mensen het vergeten te zijn.
Vervolgens schreven ze een brief waarin stond dat de accounts van twintig mensen waren gestolen. Maar hun rekeningen zijn twee weken geleden gestolen, acht maanden geleden hebben ze ze voorgelegd aan de verkiezingscommissie, en de likes waren twee jaar geleden... Over het algemeen begrijp je het, toch? Er is echt een enorme hoeveelheid informatie die altijd kan worden gebruikt, zelfs voor onderzoeksdoeleinden.
Minioftopchik: gisteren zag ik het nieuws dat Roskomnadzor twee jaar geleden onderzoek van HSE-studenten blokkeerde. Misschien heeft iemand dit nieuws gezien, nietwaar? Het waren mijn studenten die het onderzoek deden: zij van Tor, van de Hydra-website waar medicijnen worden verkocht (sorry, van Rampa), verzamelden informatie over hoeveel het kost, in welke regio van Rusland, en deden het onderzoek. Het heette 'Het consumentenmandje van het partijvolk'. Dit is natuurlijk grappig, maar vanuit het oogpunt van data-analyse is de dataset eigenlijk interessant - daarna ging ik nog twee jaar naar allerlei 'hackathons'. Dit is echt waar - er zijn veel interessante dingen.
Hoe Get Contact “de zielen kocht” van nieuwsgierige gebruikers en waarom u de gebruikersovereenkomst moet lezen
Als je iemand vraagt voor wat voor soort datalek je bang bent (vooral als die persoon een afgedekte webcam heeft), stelt hij de prioriteitenstructuur meestal als volgt: hackers, de staat, bedrijven.
Dit is natuurlijk een grap. Maar in feite hebben actieve data-analisten en allerlei soorten dataonderzoekers veel meer gestolen dan, zo lijkt het mij, de verschrikkelijke Russische, Amerikaanse of welke andere hackers dan ook (vervang ze, afhankelijk van je politieke overtuigingen). Over het algemeen is iedereen hier bang voor. Jullie hebben toch allemaal je webcam afgedekt? Je hoeft niet eens je hand op te steken.
Maar als hackers iets illegaals doen, en de staat rechterlijke toestemming nodig heeft om gegevens te verkrijgen, dan hebben de nieuwste jongens helemaal niets nodig, omdat ze zoiets hebben als een gebruikersovereenkomst, die niemand ooit leest. En ik hoop echt dat dergelijke gebeurtenissen mensen nog steeds zullen dwingen de overeenkomsten te lezen. Ik weet niet hoe het in Wit-Rusland is, maar in Moskou was er halverwege dat jaar een golf van de applicatie “GetContact” (je wist het waarschijnlijk), toen er uit het niets een applicatie verscheen die zei: geef de applicatie toegang tot al je contacten, en we laten je zien hoe je grappig bent opgenomen.
Het kwam niet in de media ter sprake, maar veel hooggeplaatste medewerkers klaagden bij mij dat iedereen hen de hele tijd begon te bellen. Blijkbaar hebben de beheerders besloten om het telefoonnummer van Shoigu in deze database te vinden, iemand anders… Volochkova… Een onschuldig iets. Maar degenen die de licentieovereenkomst van GetContact hebben gelezen, er staat: onbeperkt spam op een onbeperkte tijd, ongecontroleerde verkoop van uw gegevens aan derden, zonder beperking van rechten, verjaringstermijn en in het algemeen alles wat mogelijk is. En dit is eigenlijk niet zo’n superzeldzaam verhaal. Toen ik daar was, liet Facebook bijvoorbeeld vijftien keer per dag meldingen zien: "Synchroniseer je contacten, en ik zal al je vrienden vinden die je hebt!"
Het maakt bedrijven niets uit. Federale wet 152 en AVG
Maar in feite liggen de prioriteiten in de tegenovergestelde richting, omdat bedrijven beschermd worden door het privaatrecht en het daarom in bijna alle gevallen onmogelijk is om te bewijzen dat ze ongelijk hebben. En rekening houdend met het feit dat het groot, eng en erg duur is, is dit bijna onmogelijk. En als je ook in Rusland bent, met verouderde wetgeving, dan is alles op de een of andere manier volkomen triest.
Weet u hoe de Russische wet (en die is praktisch Wit-Russisch) verschilt van bijvoorbeeld de AVG? De Russische federale wet 152 beschermt gegevens (dit is een overblijfsel uit het Sovjetverleden) - een document dat gegevens ergens tegen lekkage beschermt. En de AVG beschermt de rechten van gebruikers - het recht dat hen bepaalde vrijheden, privileges of iets anders worden ontzegd, omdat hun gegevens ergens zullen lekken (ze hebben een dergelijk concept rechtstreeks in de "gegevens" geïntroduceerd). Maar bij ons kunnen ze u alleen maar een boete in rekening brengen omdat u niet beschikt over een gecertificeerde “Open” Excel voor het verwerken van persoonsgegevens. Ik hoop dat dit ooit zal veranderen, maar ik denk van niet in de nabije toekomst.
Wat zijn vandaag de dag de echte targetingopties?
Het eerste, waarschijnlijk enge verhaal waar iedereen voortdurend aan dacht, was het lezen van persoonlijke berichten. Er is vast wel iemand onder jullie die ooit iets hardop heeft gezegd en vervolgens gerichte reclame heeft ontvangen. Ja, waren er zulke? Steek je handen op.
Ik geloof eigenlijk niet in het verhaal dat de voorwaardelijke “Yandex Navigator” directe audio in de stream herkent voor alle gebruikers, omdat degenen die een beetje ervaring hebben met stemherkenning begrijpen dat: ten eerste het Yandex-datacenter » het zou moeten zijn vijf keer meer; maar het belangrijkste is dat de kosten voor het aantrekken van zo iemand veel geld zouden kosten (om audio in een stream te herkennen en te begrijpen waar de persoon het over heeft). Maar! Er zijn zelfs algoritmen die u taggen met bepaalde trefwoorden om vervolgens een soort reclamecommunicatie te maken.
Er waren veel van dit soort onderzoeken, en honderd keer maakte ik blanco rekeningen, schreef iets naar iemand in berichten en kreeg toen plotseling een advertentie die er niets mee te maken leek te hebben. Er zijn hier eigenlijk twee conclusies. Tegen zo'n verhaal wordt aangenomen dat iemand eenvoudigweg in een soort statistische steekproef valt; Stel dat u een 100-jarige man bent die op dit moment een Engelse taalcursus had moeten tegenkomen op het moment dat u iemand schreef. Althans, Facebook zegt dit altijd in de rechtbank: dat er een bepaald gedragsmodel is dat we je niet zullen laten zien, dat is gebouwd op gegevens die we je niet zullen laten zien, we hebben intern onderzoek dat we je zeker niet zullen laten zien (omdat alles is een bedrijfsgeheim); Over het algemeen was u opgenomen in een statistische steekproef, dus we hebben het u laten zien.
Hoe de privacy van Facebook zijn gebruikers woedend maakte
Helaas is dit over het algemeen onmogelijk te bewijzen, tenzij u iemand binnen het bedrijf heeft die deze acties op de een of andere manier kan bevestigen. Maar volgens de Amerikaanse wet is in dit geval de geheimhoudingsovereenkomst van deze werknemer hoger dan zijn wens om u te helpen, dus niemand zal dit doen. Het is ook interessant - het was ongeveer een jaar of anderhalf jaar geleden - dat zich in Amerika een trend begon te ontwikkelen, toen mensen een browserextensie installeerden zodat deze Facebook-berichten zou versleutelen: je schrijft iets naar iemand, hij versleutelt het met een sleutel op het apparaat en stuurt het afval naar het publieke domein.
Facebook heeft dit bedrijf anderhalf jaar lang aangeklaagd en toch, op welke gronden (want ik begrijp de Amerikaanse wet niet goed), hen gedwongen deze applicatie te verwijderen en vervolgens een wijziging aan de gebruikersovereenkomst aangebracht: als je kijkt, er is zo'n clausule: dat je geen berichten in gecodeerde vorm kunt verzenden - het wordt daar op de een of andere manier zo slim beschreven dat je geen cryptografische algoritmen kunt gebruiken om berichten te wijzigen - nou, er bestaat zoiets. Dat wil zeggen, ze zeiden: je gebruikt ons platform, schrijft in het publieke domein, of je schrijft niet. En dit roept de vraag op: waarom hebben ze überhaupt persoonlijke berichten nodig?
Persoonlijke berichten zijn een bron van XNUMX% betrouwbare informatie
Dit is heel eenvoudig. Iedereen die de digitale voetafdruk, menselijke activiteit analyseert, deze gegevens op de een of andere manier probeert te gebruiken voor marketing of iets anders, ze hebben zo'n maatstaf als betrouwbaarheid. Dat wil zeggen, een bepaald beeld van een persoon - je begrijpt het heel goed, dit is niet de persoon zelf - dit beeld is altijd een beetje succesvoller, een beetje beter. Persoonlijke berichten zijn echte kennis die over een persoon kan worden verkregen; ze zijn bijna altijd 100% betrouwbaar. Nou ja, omdat iemand zelden iets aan iemand schrijft in privéberichten, bedriegt, en dit alles kan heel gemakkelijk worden geverifieerd - dienovereenkomstig, volgens andere berichten (je begrijpt waar ik het over heb). Het punt is dat de op deze manier opgedane kennis bijna 100% betrouwbaar is, dus iedereen probeert deze altijd te krijgen.
Maar toch is dit allemaal weer een heel moeilijk verhaal om te bewijzen. En degenen die geloven dat de zogenaamde VKontakte dergelijke toegang heeft voor wetshandhavingsinstanties voor persoonlijke berichten, is niet helemaal waar. Als je alleen maar kijkt naar de geschiedenis van gerechtelijke verzoeken om openbaarmaking van informatie, hoe VKontakte deze verzoeken zeer sluw (in dit geval Mail.ru) bestrijdt.
Hun belangrijkste argument is altijd: volgens de wet moeten wetshandhavingsinstanties rechtvaardigen waarom toegang tot persoonlijke berichten nodig is. Als het om een moord gaat, zegt de onderzoeker in de regel altijd dat de persoon hoogstwaarschijnlijk heeft gezegd waar hij het wapen heeft verborgen (in persoonlijke berichten). Maar jij en ik begrijpen dat geen enkele verstandige crimineel ooit naar zijn handlangers op VKontakte zou schrijven over waar hij een vuurwapen verborg. Maar dit is een van de meest voorkomende opties die ambtenaren melden.
En hier is nog zo'n vreselijk voorbeeld (ik werd vandaag gevraagd om verschrikkelijke voorbeelden te geven) - over Rusland (ik hoop dat dit niet zal gebeuren in Wit-Rusland): volgens de wet moet de onderzoeker voldoende dwingende redenen hebben voor de exploitant om deze informatie openbaar te maken . Uiteraard worden deze betrouwbare parameters nergens beschreven (wat ze zouden moeten zijn, in welke vorm), maar in Rusland zijn er nu steeds meer precedenten wanneer een dergelijke basis voor de rechtbank verschijnt als er een bepaald model is dat een bepaald model voorspelde. goed of slecht, gedrag.
Dat wil zeggen dat in ons land niemand gevangen kan worden gezet (en dat is goed) omdat hij is opgenomen in een statistische steekproef van rasechte moordenaars - en dat is goed, omdat het het vermoeden van onschuld schendt; maar er zijn precedenten waarin de resultaten van dergelijke voorspellingen werden gebruikt om rechterlijke toestemming te verkrijgen om gegevens te verkrijgen. Niet alleen in Rusland trouwens. In Amerika bestaat zoiets ook. Daar heeft “Palantir” ook lange tijd iedereen vermoord, ze gebruiken soortgelijke dingen. Eng verhaal.
Dit is mijn onderzoek. We deden dit: we liepen door Sint-Petersburg, op plaatsen met groene stippen, we schreven enkele belangrijke punten aan vrienden van 'schone' accounts - zoals 'Ik wil koffie drinken', 'waar kan ik waspoeder kopen?' enzovoort. En vervolgens ontvingen ze dienovereenkomstig geo-gekoppelde advertenties. Op welke magische manier... Of zoals ze zeiden: “Toeval? Denk niet!" Dit zijn persoonlijke berichten op VKontakte. Moge Mail.ru mij vergeven, maar dit is zo. Iedereen kan zo’n experiment herhalen.
Trouwens, toen ze een verklaring ter ondersteuning schreven, zei Mail dat daar wifi-punten waren en dat je Mac-adres werd vastgelegd. Dit bestaat ook.
Methoden voor het verkrijgen en gebruikelijke opties voor het lekken van persoonlijke gegevens
Het volgende verhaal is een extractie van aanvullende kennis, een stukje dat ik eigenlijk heb aangestipt. In feite bevat het voltooide profiel van een persoon op sociale netwerken 15 tot 20% van de echte kennis die de data-operator over hem opslaat. De rest van het verhaal komt uit zeer interessante dingen. Waarom denkt u dat Google zo veel bibliotheken voor computervisie ontwikkelt? Ze behoorden met name tot de eersten die bibliotheken ontwikkelden die specifiek bedoeld waren voor het analyseren en categoriseren van objecten - op de achtergrond, op de voorgrond, waar dan ook. Omdat dit een enorme bron van aanvullende informatie is over wat voor soort appartement iemand heeft, een auto, waar hij woont, luxe spullen...
Er was veel ‘hacker’-gedoe toen de getrainde neurale netwerken van Google werden samengevoegd (ik weet niet van wie ze waren, maar toch). Er was veel interessante informatie over het onderwerp borstomvang en tailleomvang - die mensen niet probeerden te achterhalen over andere mensen op basis van de analyse van foto's. Omdat wanneer iemand een foto maakt, hij niet altijd nadenkt over hoeveel interessante dingen hij ervan kan leren? Hoeveel paspoorten voor pasgeborenen worden er in Rusland gepost? Of: “Hoera, mijn baby heeft een visum gekregen”! Dit is over het algemeen de pijn van de moderne samenleving.
Nog een offtopic (ik zal de feiten vandaag met u delen): in Moskou vindt het meest voorkomende lek van persoonlijke gegevens plaats bij huisvesting en gemeentelijke diensten, wanneer een lijst met debiteuren aan de deur wordt gehangen, en deze debiteuren vervolgens een rechtszaak aanspannen omdat hun persoonlijke gegevens werd openbaar gemaakt zonder hun toestemming. Wat als dit jou overkomt? Het punt is dat wanneer iemand iets doet, hij niet weet wat er op die foto stond, wat er niet was. Er zijn nu veel autonummers.
We hebben ooit een onderzoek uitgevoerd - we probeerden te begrijpen hoeveel mensen met open foto's van auto's (ze hebben dus overtredingen, enzovoort) - dit kon helaas alleen worden gedaan met behulp van de samengevoegde databases van de verkeerspolitie, waar alleen een aantal (niet erg betrouwbare informatie), maar het was ook interessant.
Uw volgende advertentie hangt af van hoe u de vorige heeft geconsumeerd
Dit is het eerste verhaal. Het tweede verhaal gaat over gedragspatronen, de inhoud die een persoon consumeert, omdat een van de belangrijkste maatstaven die sociale netwerken over u proberen op te bouwen, de manier is waarop u met advertenties omgaat. Hoe nauwkeurig en ‘geweldig’ de algoritmen ook mogen zijn, hoe geweldig de kunstmatige intelligentie en al het andere ook mag zijn, de echte prioriteit van een sociaal netwerk is altijd geld verdienen. Daarom, als de zogenaamde ‘Coca-Cola’ komt en zegt: ‘Ik wil dat alle inwoners van Wit-Rusland mijn bericht zien’, zullen ze het zien, ongeacht wat de algoritmen over deze persoon denken en hoe ze hem daar kunnen targeten. Je hebt waarschijnlijk advertenties ontvangen, naast super-supergerichte, totaal niet-gerelateerde onzin. Omdat ze veel geld hebben betaald voor deze niet-gerelateerde onzin.
Maar een van de belangrijkste statistieken is om te begrijpen met welke inhoud u het beste communiceert, namelijk hoe u erop reageert, om u een soortgelijk advertentieverhaal te laten zien. En dienovereenkomstig is dit een maatstaf voor hoe u omgaat met reclame: wie het verbiedt, wie niet, hoe iemand klikt, of hij alleen de krantenkoppen leest of volledig in het materiaal opgaat; en je vervolgens, op basis hiervan, in deze, zoals het nu heet, “filterbubbel” te houden, zodat je met deze inhoud blijft interacteren.
Als je ooit geïnteresseerd bent, kun je het een hele tijd, een week, misschien een maand, proberen door simpelweg alle advertenties van sociale netwerken te verbieden: ze laten je een advertentie zien en je sluit deze. Als je dit analyseert en in een grafiek zet, ontstaat er een interessant verhaal: als je advertenties een week lang verbiedt, krijg je de week daarop een verbeterde versie te zien, meestal uit verschillende categorieën; dat wil zeggen, voorwaardelijk, je houdt van honden, en je krijgt advertenties met honden te zien - je hebt alle honden verbannen, en dan zullen ze je allerlei verschillende onzin uit verschillende opties gaan laten zien om te proberen te begrijpen wat je nodig hebt.
En dan zullen ze uiteindelijk op je spuwen, je markeren als een persoon die geen interactie heeft met advertenties, een kruis op je zetten en op dat moment zullen ze je advertenties gaan tonen van uitsluitend rijke merken. Dat wil zeggen, op dit moment zie je alleen advertenties voor Coca-Cola, Kit-Kit, Unilever en alle mensen die enorm veel geld verdienen omdat je het aantal views moet vergroten. Voer een maand lang een experiment uit: verbied alle advertenties voor een of twee weken, bekijk dan alles op een rij en verbied het - uiteindelijk zie je alleen maar advertenties, zo blijkt later (en reclamebureaus zeggen), alleen klanten die betalen voor weergaven, omdat het onmogelijk is om te begrijpen hoe u met deze advertenties omgaat.
Porno wordt vaker bekeken door degenen die de neiging hebben zich diep in de inhoud te verdiepen.
Daarom is hier een verhaal over allerlei soorten gedragsregistratie. Ik heb een interessant voorbeeld: bezoekers van een overheidswebsite. Het grappige is dat hoe dieper mensen kijken, hoe meer van deze mensen de voorkeur geven aan porno boven traditionele relaties. “Sorry” dat ik over dit onderwerp blijf praten, maar ik heb eigenlijk een heel goede relatie met Pornhub, en dit is altijd heel interessant onderzoek, omdat dit een onderwerp is dat taboe lijkt, maar het vertelt veel over een persoon. En de volgende punten die hieruit volgen over de terugkeer van het verkeer... We zullen ons ook herinneren aan "Pornohub"!
Wat worden beschouwd als persoonlijke gegevens en is het mogelijk om een iPhone te ontgrendelen met een 3D-gezichtsmodel?
Mijn favoriet is het omzeilen van de privacywet. Als je de technische documentatie van hetzelfde Facebook leest, die enkele interne documenten heeft verstrekt (bijvoorbeeld aan de rechtbank), zul je daar geen enkele melding vinden van gezichtsherkenning of stemanalyse. Er zullen zeer complexe formuleringen zijn die geen enkele gekwalificeerde advocaat in de wetgeving zal vinden. Hier in Rusland werkt het ongeveer op dezelfde manier: ik zal je dit ding nu laten zien.
Wat zie je hier? Ieder normaal mens zal dat gezicht zeggen. Dit is trouwens Sasha Grey, naar mijn mening. Maar juridisch gezien is dit een matrix van bepaalde driedimensionale punten, waarvan er 300 duizend zijn. Hoe het ook zij, dit wordt door de wet niet als persoonlijke gegevens beschouwd. Over het algemeen beschouwt de Russische RKN één foto niet als persoonlijke gegevens; zij beschouwt het als persoonlijke gegevens als er iets anders in de buurt is (bijvoorbeeld volledige naam of telefoonnummer), en deze foto op zichzelf is helemaal niets. Zodra de wet op de biometrie werd ingevoerd en biometrische gegevens werden gelijkgesteld met persoonlijke gegevens (dus heel grofweg), begon iedereen meteen te zeggen: dit zijn geen biometrische gegevens, dit is een reeks punten! Vooral als je een directe of inverse Fourier-transformatie uit deze reeks punten neemt, lijkt het erop dat je een persoon niet kunt de-anonimiseren van deze transformatie, maar dat je hem wel kunt identificeren. Puur theoretisch gezien is dit ding niet in strijd met de wet.
Ik heb ook nog een onderzoek gedaan: dit is een algoritme dat met behulp van open bronnen een driedimensionale reconstructie van een gezicht bouwt - we nemen een Instagram-account en dan kunnen we het gezicht op een 3D-printer afdrukken. Trouwens, voor degenen die geïnteresseerd zijn, ik heb een link in het publieke domein; als iemand plotseling iemands iPhone wil ontgrendelen... Grapje: de iPhone kan niet worden ontgrendeld, de kwaliteit is verminderd.
Een gesloten profiel is een pluspunt voor de veiligheid
Dit is het eerste, en het tweede... Ik heb al aangestipt dat informatie voornamelijk uit de omgeving van de gebruiker wordt verkregen. Ik heb dit beeld in 17 getekend: de gemiddelde gebruiker van Russische sociale netwerken is binnen, hij heeft gemiddeld 200 à 300 vrienden, zijn vrienden van vrienden en zijn vrienden van vrienden van vrienden.
Dank aan sociale netwerken voor het introduceren van algoritmen voor ‘slimme’ e-feeds, integrale jaren, zogenaamd om de kans te vergroten dat je interessante inhoud tegenkomt. Dit is het aantal mensen dat de inhoud die u produceert op elk willekeurig moment kan zien, zelfs als uw account alleen beperkt is tot de hogere privacyniveaus (alleen voor vrienden van vrienden, enzovoort). Dit zijn vrienden van vrienden:
Als iemand denkt dat wanneer hij ervoor kiest om 'vrienden van vrienden' te zien in 'Mijn berichten' op VK, drie handdrukken ongeveer 800 duizend mensen zijn, wat in principe niet zo weinig is, maar afhankelijk is van je inhoud. Misschien doe je een aantal onfatsoenlijke streams en kunnen al deze vrienden van vrienden met deze inhoud communiceren. Het kan zijn dat een van hen ergens iets opnieuw plaatst, alle mensen hebben een like-feed, die in feite hoogstwaarschijnlijk zal worden geannuleerd, omdat het niet erg persoonlijk is. Daarom kan de inhoud op elk moment ergens terechtkomen.
VK lanceerde dat jaar supergesloten profielen, maar tot nu toe heeft slechts een heel klein aantal mensen er gebruik van gemaakt (ik zal niet zeggen hoeveel, maar het is klein!). Misschien zullen mensen hier ooit achter komen - ik hoop het echt oprecht. Al het onderzoek is er voortdurend op gericht om mensen de omvang van de problemen te laten begrijpen. Want totdat iemand specifiek door iets vreselijks wordt getroffen, zullen ze er nooit over nadenken. Doe Maar.
Overheidsinstanties weten niet wat persoonlijke gegevens zijn en hebben geen haast om deze te definiëren
Elke specialist op het gebied van het persoonsgegevensrecht zegt altijd het volgende: je hoeft nooit verschillende gegevensbronnen te combineren, want hier heb je e-mails (dit zijn slechts persoonsgegevens met enkele geanonimiseerde identificatiegegevens), hier is je volledige naam... Als dit wordt gecombineerd alles, het lijkt erop dat het persoonlijke gegevens zullen worden. Over het algemeen zou het goed zijn om dit onderwerp eerst aan te pakken, maar ik denk dat u er al in verdiept bent en misschien weet hoe de wet werkt.
Eigenlijk weet niemand wat persoonlijke gegevens zijn. Belangrijk begrip! Als ik bij overheidsinstanties kom, zeg ik: “Een fles cognac voor iedereen die kan vertellen wat persoonsgegevens zijn.” En niemand kan het zeggen. Waarom? Niet omdat ze dom zijn, maar omdat niemand verantwoordelijkheid wil nemen. Want als Roskomnadzor zegt dat dit persoonlijke gegevens zijn, zal iemand morgen iets doen, en dat zal aan hem de schuld zijn; en zij zijn uitvoerende autoriteiten en mogen nergens verantwoordelijk voor zijn.
Het punt is dat de wet duidelijk stelt dat persoonlijke gegevens gegevens zijn waarmee een persoon kan worden geïdentificeerd. En er is een voorbeeld: volledige naam, woonadres, telefoonnummer. Maar jij en ik weten dat je een persoon kunt identificeren aan de hand van de manier waarop hij op de knoppen drukt, de manier waarop hij met de interface omgaat, en aan de hand van andere indirecte parameters. Als iemand geïnteresseerd is: op bijna elk gebied zijn er een groot aantal mazen in de wet.
Identificatiegegevens die ons onthullen
Iedereen begon bijvoorbeeld punten in te stellen voor het vastleggen van mac-adressen (je bent dit toch al eerder tegengekomen?) - slimme (of ik weet het niet, hebzuchtige) fabrikanten van mobiele apparatuur, zoals Apple en Google, introduceerden snel algoritmen die een willekeurig mac-adres uit, zodat u zich niet kunt identificeren wanneer u door de stad loopt en iedereen uw MAC-adres kunt sturen. Maar de slimme jongens kwamen nog verder met het volgende verhaal.
U kunt bijvoorbeeld een mobiele operatorlicentie verkrijgen; Nadat u een licentie voor een mobiele operator heeft ontvangen, krijgt u toegang tot dit ding - het SS7-protocol wordt aangeroepen, waardoor u wat lucht van mobiele operators zult zien; er zijn allerlei soorten identificatiegegevens die geen persoonlijke gegevens zijn. Daarvoor was het IMEI, maar nu heeft iemand het letterlijk van de tong gehaald en besloten om één database van deze "IMEI's" in Rusland bij te houden (zo'n initiatief). Het bestaat wel een beetje, maar toch.
Er zijn bijvoorbeeld ook een aantal identificatiegegevens - bijvoorbeeld IMCI (identificatiecode voor mobiele apparatuur), die geen persoonlijke gegevens zijn en ook niet aan andere dingen zijn gekoppeld en dienovereenkomstig kunnen worden opgeslagen zonder enige juridische vervolging, en dan met wie Wissel deze identificatiegegevens op de een of andere manier uit om later met de persoon te communiceren.
De cultuur van het werken met persoonsgegevens is laag
Over het geheel genomen is het punt dat iedereen zich nu grote zorgen maakt over het combineren van data met elkaar, en de meeste bedrijven die deze combinatie doen, denken er soms niet eens over na. Er kwam bijvoorbeeld een bank, sloot een geheimhoudingsovereenkomst met een bedrijf dat aan scoring doet, en droeg 100 van zijn klanten daaraan over...
En deze bank heeft niet altijd een clausule in haar overeenkomst over het doorgeven van gegevens aan derden. Deze klanten hebben daar iets door elkaar gegooid, en het is niet duidelijk waar deze database later naartoe is gegaan. Het is niet gegaan - de meeste bedrijven in Rusland hebben geen cultuur van het verwijderen van gegevens... - dit "Excel" zal zeker ergens op terechtkomen de computer van de secretaresse en hang dan op.
Onze gegevens kunnen bij elke aankoop in de winkel worden verkocht
Er zijn veel regelingen die bijna legaal (dat wil zeggen legaal) lijken te zijn. Het verhaal is bijvoorbeeld als volgt: van de vijftien grootste Russische banken zijn er slechts twee daadwerkelijk sms-gateways: Tinkoff en Alfa, dat wil zeggen dat ze hun eigen sms-berichten verzenden. Andere banken gebruiken sms-gateways om sms-berichten naar eindklanten te sturen. Deze SMS-gateways hebben vrijwel altijd het recht om inhoud te analyseren (bijvoorbeeld op het gebied van de veiligheid en enkele van hun conclusies) om vervolgens geaggregeerde statistieken te verkopen. Deze sms-gateways zijn ‘vrienden’ van fiscale data-operatoren die cheques verwerken.
En het blijkt het volgende: je kwam naar de kassa, de fiscale gegevensoperator (ze gaven je, ze gaven je niet je telefoonnummer - het is daar op de een of andere manier aan gekoppeld) ... je ontvangt een sms op je telefoonnummer, de gateway van deze sms ziet de laatste 4 cijfers van de kaart en het telefoonnummer. Wij weten op welk moment u een transactie heeft gedaan bij de fiscale data operator, en in SMS weten wij (nu) op welk nummer de informatie over het afschrijven van dat en dat geldbedrag met die en die de laatste vier cijfers van de kaart is ontvangen. De laatste vier cijfers van de kaart zijn niet uw identificatiegegevens, ze zijn niet in strijd met de wet, omdat ze u niet kunnen de-anonimiseren, en het transactiebedrag ook niet.
Maar als u met de fiscale gegevensbeheerder heeft afgesproken, weet u binnen welk tijdsbestek (plus of min 5 minuten) dit sms-bericht bij u moet aankomen. Zo werd u in het OFD snel gekoppeld aan uw telefoonnummer, en uw telefoonnummer is gekoppeld aan advertentie-identificatoren, in het algemeen aan alles, alles, alles. Daarom kunnen ze je later inhalen: ze kwamen naar de winkel en stuurden je vervolgens zonder toestemming nog wat andere onzin. Ik denk dat er vrijwel niemand in deze zaal is die ooit een klacht over spam bij de FAS heeft geschreven. Er zijn er nauwelijks... Behalve ik waarschijnlijk.
Papieren zijn een archaïsche maar effectieve manier om voor uw rechten te vechten
Dit werkt heel cool. Het is waar dat je anderhalf jaar moet wachten, maar de FAS zal daadwerkelijk controleren: wie, hoe, aan wie de gegevens heeft doorgegeven, waarom waar, enzovoort.
Vraag uit het publiek (hierna – XNUMX): – Er bestaat geen FAS in Wit-Rusland. Dit is een ander land.
OH: - Ja ik begrijp het. Er is vast wel iets analoogs...
Er komen bezwaren uit het publiek
OH: - Oké, slecht voorbeeld, sorry. Het maakt niet uit. Onder mijn vrienden ken ik niemand die in principe zelfs maar weet van het bestaan van zo'n verhaal - dat je het kunt gaan schrijven, en dan zullen ze nog een jaar werken.
Het tweede verhaal, dat zich ook in Rusland sterk ontwikkelt, maar ik denk dat je in je eigen land een analoog zult vinden. Ik doe dit heel graag, als een overheidsinstantie slecht met je communiceert, een bank of iets anders, zeg je: "Geef me een vel papier." En u schrijft op een stuk papier: "In overeenstemming met paragraaf 14 van de 152e federale wet vraag ik u om persoonlijke gegevens in papieren vorm te verwerken." Ik weet niet hoe dit precies in Wit-Rusland gebeurt, maar het gebeurt zeker. Volgens de Russische wetgeving heeft u niet het recht om op deze basis een dienst te weigeren.
Ik ken zelfs veel mensen die soortgelijke dingen naar Mail.ru hebben gestuurd en hebben gevraagd hun persoonlijke gegevens op papier bij te houden. Mail.ru heeft hier heel lang tegen gevochten. Ik ken zelfs een Yandex-ontwikkelaar waar grapjes over werden gemaakt: ze verwijderden zijn VK-account en stuurden hem een aantal afgedrukte screenshots, en zeiden dat ze hem elke keer dat hij zijn pagina wilde updaten screenshots zouden sturen.
Het is grappig, maar toch is dit enerzijds een reëel alternatief als iemand echt om de gegevens geeft... En anderzijds vertelde diezelfde RKN mij dat deze overeenkomst over de verwerking van persoonsgegevens formeel is, en de De wet voorziet in nog een aantal mogelijkheden om deze toestemming te geven. En dat ik hier bijvoorbeeld werd uitgenodigd voor een evenement, en dat Human Constanta bijvoorbeeld geen overeenkomst met mij mag sluiten over de verwerking van persoonsgegevens in het kader van de Russische wetgeving (omdat juist het feit dat ik kwam en afgesproken om te spreken is toestemming voor de verwerking van persoonlijke gegevens) - iedereen neemt nog steeds deze papieren toestemmingen. Maar de RKN vertelde mij iets soortgelijks, dat het helemaal geen feit is, dat ze hoogstwaarschijnlijk ooit zullen verdwijnen.
Ik hoop dat ze in Rusland nooit één enkele exploitant van persoonlijke gegevens zullen creëren, God vergeef me, want het enige dat erger is dan alle persoonlijke gegevens in één mandje stoppen, is dat ze in het staatsmandje terechtkomen. Want wie weet wat er later allemaal mee gebeurt.
Bedrijven delen persoonlijke gegevens en de wetten zijn zwak om dit te reguleren
De meeste bedrijven wisselen een soort gegevens en identificatiegegevens met elkaar uit. Het kan een winkel bij een bank zijn, en dan een bank met een sociaal netwerk, een sociaal netwerk met iets anders... En uiteindelijk hebben deze mensen een bepaalde kritische massa aan kennis die op de een of andere manier gebruikt kan worden, en al deze kennis is waar, ze proberen het nu aan hun kant te houden. Maar toch, dan komt het toch in een bepaald advertentieverkeer of ergens anders terecht.
Het overdragen van gegevens aan derde partijen is het leukste wat er kan gebeuren, omdat de wetten niet beschrijven wat voor soort derde partijen zij zijn, voor wie zij als “derde” moeten worden beschouwd. Dit is trouwens een veel voorkomende uitdrukking van Amerikaanse advocaten - ze hebben het. Derden - wie, wie beschouw jij als derde partijen: grootmoeder, overgrootmoeder? Er was zelfs zo'n precedent in Amerika, toen iemands gegevens werden openbaar gemaakt, de persoon spande een rechtszaak aan, en ze bewezen dat deze persoon de eigenaar van de gegevens kende via verschillende vrienden - een bepaald aantal handdrukken, ze haalden een aantal vreemde sociologische onderzoeken aan - dus bewezen ze dat deze mensen niet als derde kunnen worden beschouwd partijen met elkaar. Grappig. Maar het feit dat dergelijke gegevens worden overgedragen, is heel gebruikelijk.
Zelfs als u naar een site gaat waar een loket voor identificatie is, heeft dit loket het recht om de gegevens van dit verkeer ergens heen te sturen (naar Clickstream, eigenaren van advertentieplatforms voor wat dan ook, Pornhub bijvoorbeeld). Pornhub, als iemand van jullie een webontwikkelaar is, kijk dan eens hoeveel trackingpixels er op de Pornhub-website staan. Je gaat gewoon naar binnen en er wordt een enorme hoeveelheid Java-script geladen, om de werking van de site te verbeteren. Sterker nog, daar worden ook cross-domein “cookies” geïnstalleerd, die er niet zijn, omdat deze informatie in de “clickstream”-markt altijd zeer gewaardeerd wordt.
Facebook wiebelt en gaat zijn masker niet afzetten
Uiteraard vertelt geen van de grote spelers ooit aan wie en hoe ze gegevens verkopen. Hierdoor probeert Europa nu bijvoorbeeld Facebook aan te klagen. Net na de introductie van de AVG probeert de Europese Unie Facebook’s eigen openbaarmaking van algoritmen voor de doorverkoop van gegevens aan derden op te schudden.
Facebook doet dit niet en stelt publiekelijk dat het dit niet doet omdat ze een “vredesorganisatie” zijn (ik citeer uit een e-mail die ze mij hebben gestuurd) en ze zijn “tegen het schadelijke gebruik van technologie” (vooral als je gezichtsherkenning naar het Kremlin). Over het algemeen gaat het erom dat Facebook dit niet helemaal eerlijk doet: het belangrijkste doel en het belangrijkste dat zal gebeuren zodra een dergelijk mechanisme wordt onthuld, is dat het mogelijk zal zijn om de marginaliteit van adverteren echt te berekenen. mogelijk om de werkelijke kosten van adverteren te begrijpen.
Conventioneel, als Facebook u nu vertelt dat de kosten van een advertentievertoning 5 roebel bedragen, en wij deze voor 3 aan u verkopen (en we hebben bijvoorbeeld nog twee roebel over), en zij voorwaardelijk 5% van de winst ontvangen van deze reclame-impressies. Sterker nog: dit is geen 5%, maar 505, want als dit algoritme aan het licht komt (aan wie en hoe heeft Facebook hoeveel keer ‘clickstream’, bezoekgegevens, pixeldata doorgestuurd naar allerlei advertentienetwerken), blijkt dat ze veel meer geld verdienen dan erover wordt gezegd. En het punt hier is niet het geld zelf, maar het feit dat de kosten van een klik een roebel zijn, maar in feite honderdsten van kopeken.
Over het algemeen is het punt dat iedereen dergelijke transmissie probeert te verbergen. Het maakt niet uit of het om reclame- of niet-reclameverkeer gaat, maar het bestaat. Helaas is er geen manier om dit juridisch te weten, omdat de bedrijven privé zijn en alles wat ze binnenin hebben hun privaatrecht en hun bedrijfsgeheim is. Maar soortgelijke verhalen doken daar heel vaak op.
Drugsdealers zijn voorspelbaar en “verzengend” op Avito
De laatste foto van deze presentatie. Het is grappig, en de essentie ervan is dat er bepaalde categorieën mensen zijn die zich grote zorgen maken over hun persoonlijke gegevens. En dat is eigenlijk maar goed ook! Dit voorbeeld gaat over een dergelijke categorie mensen als drugsdealers. Het lijkt erop dat mensen die zich grote zorgen zouden moeten maken over hun persoonlijke gegevens...
Het gaat om een onderzoek dat begin dit jaar is uitgevoerd onder toezicht van het bevoegd gezag. Ja, dit is een script dat geld kreeg om drugs te kopen op Telegram en Thor, maar alleen van die mensen die konden worden geïdentificeerd.
In feite vertrouwen bijna alle drugsdealers in Moskou erop dat hun telefoonnummer niet in open bronnen staat, maar vroeg of laat zullen ze iets op Avito verkopen, van waaruit het mogelijk zal zijn om de geschatte locatie van deze mensen te begrijpen. Het punt is dat de rode stippen zijn waar mensen wonen, en de groene stippen zijn waar ze naartoe gaan om achter te laten, weet je wat. Dit was een van de onderdelen van het algoritme dat de plaatsing van patrouillediensten voorspelde, maar deze jongens uit Moskou proberen altijd op de een of andere manier diagonaal, verder weg, te gaan.
Ze zijn van mening dat als ze linksboven wonen, ze rechtsboven moeten gaan en dat ze daar absoluut nooit zullen worden gevonden. Wat ik je vertel is dat als je je probeert te verbergen voor de alomtegenwoordige algoritmen, de echt coolste optie is om je gedragsmodel te veranderen: installeer een soort ‘Goster’ om bezoeken, bezittingen, enzovoort, willekeurig te verdelen. Oh mijn God, er zijn zelfs algoritmen en plug-ins die de grootte van de browser met een paar pixels veranderen, zodat de handtekening, de ‘vingerafdruk’ van de browser, niet kan worden berekend en je op de een of andere manier kan identificeren.
Dat is alles wat ik wilde zeggen. Heeft u vragen, laat het ons weten. Hier is een link naar de presentatie.
Vraag van het publiek (Z): – Vertel me alsjeblieft, vanuit het oogpunt van het gebruik van Thor, vanuit het oogpunt van het volgen van verkeer... Raad je het aan?
Het is moeilijk te verbergen, maar het is mogelijk
OH: - "Thor"? “Thor” nee, helemaal niet in welke vorm dan ook. Toegegeven, ik weet niet hoe het in Wit-Rusland is - in Rusland zou je daar helemaal nooit heen moeten gaan, omdat bijna de meerderheid van de geverifieerde "gracenoden" plotseling bepaalde pakketten aan je verkeer toevoegt. Ik weet niet welke, maar als je kijkt: er zijn "knooppunten" die verkeer markeren, het is niet duidelijk wie dit doet, voor welke doeleinden, maar iemand markeert het in de header zodat het later kan worden begrepen. In Rusland wordt nu al het verkeer opgeslagen, zelfs als het in gecodeerde vorm wordt opgeslagen, en iedereen maakt zich druk over het Yarovaya-pakket over het feit dat gecodeerd verkeer wordt opgeslagen, maar het blijft gemarkeerd, dat wil zeggen dat het niet kan worden gebruikt of gedecodeerd. .
Z: – Het ligt al heel lang in Europa opgeslagen, waarschijnlijk tien jaar.
OH: - Ja ik begrijp het. Iedereen lacht hierom, je slaat bijvoorbeeld https op die niet gelezen kan worden. De inhoud kan niet worden gelezen, maar je kunt wel begrijpen waar de pakketten vandaan komen met behulp van bepaalde algoritmen - aan de hand van het gewicht van de pakketten, de lengte, enzovoort. En als je alle providers onder je controle hebt, heb je dus ook alle backbone-apparatuur en alle paspoorten... Begrijp je in het algemeen waar ik het over heb?
Z: – Welke browser raadt u aan?
OH: – Voor “Thor”?
Z: - Helemaal niet.
OH: - Nou, ik weet het niet. Ik gebruik eigenlijk Chrome, maar alleen omdat het ontwikkelaarspaneel daar het handigst is. Als ik plotseling ergens heen moet, ga ik naar een café. Toegegeven, het is niet nodig om in te loggen met een echte simkaart.
Z: – Je had het over een paar studenten. Geeft u ergens les of geeft u cursussen?
OH: – Ja, we hebben een masterdiploma in datajournalistiek. We trainen journalisten om data te verzamelen en te analyseren – zij doen periodiek soortgelijk onderzoek.
Geen veilige toepassingen
Z: – Het is niet veilig om met vrienden te communiceren op Facebook, Vkontakte, om later geen contextuele advertenties te ontvangen. Hoe kunt u de veiligheid verbeteren?
OH: – De vraag is wat u een aanvaardbaar beveiligingsniveau vindt. In principe bestaat er geen woord ‘veilig’. De vraag is wat jij acceptabel vindt. Sommigen vinden het acceptabel om intieme foto's uit te wisselen via Facebook, en sommige inlichtingenofficieren zijn van mening dat alles wat via de mond wordt gezegd, zelfs tegen de dichtstbijzijnde persoon, in feite onveilig is. Als je niet wilt dat het sociale netwerk er iets over te weten komt, dan kun je er beter niet over schrijven. Ik ken geen veilige apps. Ik ben bang dat die er niet zijn. En dit is normaal vanuit het oogpunt dat elke eigenaar van een applicatie er op de een of andere manier geld mee moet verdienen, zelfs als deze applicatie gratis is of een soort media is. Het lijkt gratis, maar hij moet toch ergens van leven. Daarom is niets veilig. Je hoeft alleen maar voor jezelf te beslissen, om zo te zeggen, wat bij je past.
Z: - Wat gebruik je?
OH: - Sociale netwerken?
Z: - Van boodschappers.
OH: – Wat boodschappers betreft, ik gebruik de belangrijkste staatsboodschapper van de Russische Federatie – Telegram.
Z: - "Viber". Is het veilig?
OH: – Luister, ik ben niet zo thuis in boodschappers. Eerlijk gezegd geloof ik niet in veiligheid, ik geloof nergens in, want dat zou waarschijnlijk heel vreemd zijn. Hoewel Telegram een soort open source is en de versleutelingsalgoritmen zijn bekendgemaakt. Maar dit is ook zo lastig, want er is een ‘open source’-client, maar niemand heeft de servers gezien. Ik denk van niet: er is veel spam, bots, enzovoort op Viber. Wie weet. Ik denk niet dat dit allemaal zo goed werkt.
Wie is gevaarlijker: bedrijven of de staat?
Gastheer (B): – En ik heb deze vraag voor je. Kijk, je hebt dit een paar keer terloops gezegd: dat de staat... Te veel data is niet erg goed... Het bedrijf heeft te veel data. Nou, dat is gewoon het leven, toch? Voor wie moeten we dus meer bang zijn: bedrijven of de staat? Waar liggen de valkuilen?
OH: - Dat is een hele moeilijke vraag. Grenst aan. Complexe ethische barrière. Als een persoon niets te vrezen heeft, als hij de wet niet heeft overtreden, waarom heeft hij dan in principe privacy nodig? Ook al denk ik van niet, de staat denkt van wel. Misschien zit hier een kern van waarheid in. Luister, waar ik het meest bang voor ben, zijn hackers – zoiets als dit. Sterker nog, de grootste wreedheid die ik in mijn leven heb gezien (uit dit hele onderwerp): ongeveer anderhalf tot twee jaar geleden werd een pedofiel opgepakt in de regio Moskou en tijdens de onderzoeksacties vonden ze verschillende Python-tutorials en scripts op zijn computer, API VK. Hij verzamelde de accounts van de meisjes, analyseerde wie van hen in de buurt was, verzamelde de inhoud die ze... Kortom, je snapt het idee. Dit is de grootste shit die ik ooit heb gezien. En dit is waar ik echt bang voor ben, dat iemand op een dag iets soortgelijks zal doen.
Nog een beetje ‘offtopic’: de Europese Organisatie voor Staatsveiligheid maakte dat jaar een rapport dat het aantal diefstallen van bankrekeningen met zo’n 20, 25 procent toenam toen een geheime vraag werd gehackt. Denk nu eens na over uw geheime vraag bij de bank, en bedenk of ik het antwoord daarop uit open bronnen kan achterhalen. Als je de meisjesnaam van je moeder of je favoriete gerecht daar hebt... Over het algemeen analyseerden mensen de accounts, op basis hiervan begrepen ze de naam van hun favoriete huisdier - zoiets als dit...
Z: – U zei dat bedrijven en bedrijven de benodigde informatie verzamelen met behulp van algoritmen? Weet je zeker hoe?
OH: – Er was een beweging van mensen die ooit foto's door een speciaal filter lieten gaan, zodat dit filter de analyse van de beelden zou verbreken, zodat het onmogelijk zou zijn om deze mensen later op de een of andere manier te identificeren. Hier gaf ik je een voorbeeld: Facebook worstelde met berichtencryptografie. En als dit ding verschijnt en wijdverspreid wordt, zullen sociale netwerken het waarschijnlijk bestrijden. Bovendien werkt beeldherkenning nu heel goed, en dit grenst aan het feit dat het niveau dat voldoende is om deze foto te “breken” (om het algoritme dat deze afbeeldingen herkent te “breken”) - hoogstwaarschijnlijk zal er niets meer duidelijk over zijn niet zijn.
Allerlei glitchfilters werken goed als er sprake is van een sterke directe verplaatsing in de helft van de foto. Je account zal dan alle kleuren van LSD aannemen. Puur theoretisch vind ik het niet zo heel eng als bijvoorbeeld Facebook erachter komt wat voor auto ik heb – waarschijnlijk als ik niet via Facebook inlog op de auto.
De wet van de vergetelheid werkt, maar niet op internet
Z: – Bent u een gebruiker tegengekomen die u dwong hem te respecteren, te verwijderen en toegang te krijgen. U werkt met grote hoeveelheden data, u informeert daar waarschijnlijk over. Mensen kunnen contact met u opnemen. Welk percentage?
OH: – Ik zal het je nu vertellen. Dit is waar het echt interessant wordt. Nu ga ik tellen hoeveel mensen er zullen komen, want na het evenement komt altijd 15-20% binnen, vult een formulier in om gegevens te verwijderen - er bestaat zoiets. In werkelijkheid gaat het om ongeveer 7-8% van de gesloten accounts die we niet analyseren, en om ongeveer 5 op de duizend mensen die vragen om hun gegevens te verwijderen. Dit is zeer weinig, zelfs naar mijn bescheiden mening.
Het probleem hier is dit: er bestaat zoiets als de wet van vergetelheid. Maar de wet op de vergetelheid is, althans in Rusland, juridisch alleen van toepassing op zoekmachines. Daar staat: zoekmachines. En dat betekent dat alleen links naar materialen worden verwijderd, en niet de materialen zelf. Om iets van internet te verwijderen, zul je in werkelijkheid al deze bronnen moeten omzeilen, dus ik geloof hier eigenlijk niet in. We proberen gebruikers te waarschuwen dat ze eerst moeten nadenken voordat ze publiceren.
Tot nu toe is dit percentage erg klein: 5-7 mensen op duizenden. Trouwens, over de wet op de vergetelheid: iedereen kent zo'n coole zaak “Sechin tegen RBC”. De wet van de vergetelheid werkte, het artikel werd verwijderd, maar het is overal. Je begrijpt dat als iets eenmaal op internet komt, het daar nooit meer zal verdwijnen.
Gebruikers worden verwijderd, maar worden geïdentificeerd aan de hand van typisch gedrag
Z: – Denkt u niet dat mensen die hun accounts verwijderen en proberen een “zwart gat” te worden, benadeeld zullen worden ten opzichte van andere economische actoren?
OH: - Hoogstwaarschijnlijk, ja - deze situatie zal voor hen ongunstig zijn. Er zijn veel kortingen en aanbiedingen die hiervan afhankelijk zijn. Maar puur theoretisch: als iemand nu een account verwijdert... Het is populair onder allerlei extremisten: als ze een account verwijderen en een nepaccount maken, maar doorgaan met interactie met dezelfde inhoud, kan deze persoon opnieuw worden geïdentificeerd. (vooral als het zich binnen hetzelfde sociale netwerk bevindt, vanaf één computer - dit is over het algemeen een vraag); Simpelweg op basis van het contentconsumptiemodel zal het mogelijk zijn om deze persoon te vinden als er een dergelijke taak bestaat.
Ik hoop dat er in de komende vijf jaar een soort technologie zal verschijnen om inkomsten te genereren uit deze gegevens, terwijl het daadwerkelijk mogelijk zal zijn om iemand geld te betalen - u betaalt uzelf en wij zullen uw gegevens niet gebruiken. Maar ik denk dat als Instagram een betaald abonnement introduceert, niemand daar gebruik van zal maken, dus het alternatief is om gebruikers te betalen voor hun gegevens. Maar dit zal niet zo snel gebeuren, omdat de lobby van enge bedrijven uit het bedrijfsleven niet zal toestaan dat zo'n wet wordt aangenomen, ook al zou het cool zijn. Maar het punt hier is dat het onmogelijk is om de werkelijke waarde van de gegevens van één persoon op een specifiek tijdstip in te schatten.
Facebook - lekkende jongens
Z: - Goedemiddag. Vrij recent verscheen het nieuws dat Facebook van plan is al zijn projecten te integreren, inclusief Instagram en Facebook, WhatsApp, enzovoort. Wat denk je, vanuit het oogpunt van persoonlijke gegevens, als deze programma's nu op mijn smartphone afzonderlijk lijken te hangen, maar ze nog steeds bij Facebook horen?.. Wat gaat er daarna gebeuren?
OH: - Ik begrijp. Juridisch gezien behoren ze al toe aan Facebook, en het kan ze op ongecontroleerde wijze in zichzelf verenigen, dus ik denk dat er niets zal veranderen. Het enige is dat het nu voldoende is om één applicatie te hacken om alles in één keer te krijgen. En Facebook... ik hoop dat ze meekijken. Vreselijk lekkende jongens overal.
Daarover is de laatste tijd veel informatie verschenen: over datalekken van Facebook. Dit bleek niet omdat Facebook plotseling deze gegevens begon te verliezen, maar omdat de AVG het bedrijf nu dwingt vooraf te waarschuwen. En de grootste boete is als er een lek optreedt, maar het bedrijf zwijgt erover, en daarom praat Facebook er nu zelf over. Dit betekent niet dat deze datalekken niet eerder hebben plaatsgevonden.
Z: - Hallo. Ik heb een vraag over gegevensopslag. Nu introduceert elke staat een wet om ervoor te zorgen dat de gegevens van burgers op het grondgebied van die staat worden opgeslagen. Aan welke voorwaarde moet worden voldaan om aan deze wet te voldoen voor een internationale toepassing? Facebook bijvoorbeeld: er is maar één database...
Hoe kunt u aan deze voorwaarden voldoen?
OH: – Luister, juridisch gezien hoef je alleen maar een server in dit land te huren en er iets op te zetten. Het probleem is dat er geen bevoegde toezichthoudende instantie bestaat. Facebook-gegevens bestaan niet in Rusland. Roskomnadzor vecht en vecht met hen, vecht en vecht... Facebook heeft een deel van de servers waar de interface van juist Facebook zich bevindt, en het is onmogelijk om te controleren waar de gegevens zich daadwerkelijk bevinden en hoe deze worden gesynchroniseerd.
Z: – Controleer het verkeer?
OH: – Controleer het verkeer? Ja. Maar het verkeer kan dan naar een bepaald hoofdpunt gaan. Bovendien kan er tussen de servers zoiets als een VPN of iets anders zijn. Puur theoretisch is er geen manier om te controleren of een systeembeheerder bijvoorbeeld niet op een dag op deze server zal inloggen en daar iets van zal nemen. Dat wil zeggen dat deze wet niet is gemaakt ter wille van de gegevensbescherming, maar om ervoor te zorgen dat bedrijven vertegenwoordigingskantoren openen, belastingen betalen en goederen in het land opslaan. Maar eerlijk gezegd vind ik dit een heel vreemd initiatief.
Z: – Dus het is voldoende om de interface daadwerkelijk te controleren?
OH: Het kan zijn dat iemand naar u toe komt om te controleren of uw gegevens aanwezig zijn. Maar je kunt een soort Excel laten zien, en niemand zal het kunnen controleren, bijna niemand zal het controleren. Nu kijken ze simpelweg naar IP-adressen: dat het IP-adres dat aan het domein is gekoppeld zich op het grondgebied van het land bevindt - ze controleren niet verder. Nu komen ze waarschijnlijk bij mij kijken.
Er zijn geen diensten waar je 100% op kunt vertrouwen, maar fatsoenlijke mensen hebben niets te vrezen
Z: - Dit is nieuws, op veel plaatsen herdrukt: een man heeft het van Microsoft gepost, heeft een dienst gemaakt om zijn...
OH: – Zoiets als: zijn je wachtwoorden gelekt? Sterker nog, na dezelfde lekken op Facebook lanceert dezelfde Facebook altijd een soort back-upsites waar je kunt controleren of deze niet in deze database is opgenomen - nogmaals, de AVG vereist dit. Dat wil zeggen: als je dit niet doet, zul je je niet zo goed voelen. Daarom presenteert iedereen deze projecten nu als “dit is ons initiatief”; in feite vereist de wet dit. Dit is eigenlijk heel cool, maar ik zou dergelijke verificatiediensten niet echt vertrouwen als je iets complexer moet sturen dan je wachtwoord, omdat veel mensen dezelfde wachtwoorden hebben.
Z: – U voert gewoon uw e-mailadres in en zij vertellen u al hoe vaak deze is gecompromitteerd...
OH: – Ik vertrouw zulke dingen eigenlijk niet, omdat het heel gemakkelijk is om je aan deze browser te koppelen, aan een echt account. Vooral als u gebruik maakt van de diensten van dezelfde mensen die deze site hebben gelanceerd. Het is net als dat jaar waarin Facebook stuurde: als je intieme foto’s op Facebook gelekt zijn, stuur je ze naar ons en kijken wij waar ze vermeld staan.
Ik weet niet wat voor PR-nachtmerrie dit is en wie dit op Facebook heeft bedacht, maar het is echt gebeurd. Ze wilden zien of iemand je naaktfoto's in privéberichten had gestuurd. Dit dient in principe goede doelen, maar is zo vreemd mogelijk. Ik zou het niet vertrouwen.
Z: - En nog een vraag. Hoe groot zijn voor de gemiddelde gebruiker de risico's op lekkage? Risico's op schade door lekkages.
OH: - Ik begreep je. Het hangt af van het soort gegevens dat moet worden opgeslagen. Ik denk niet heel hoog. Het ergste is als je e-mails en wachtwoorden ergens lekken en je dit wachtwoord overal hebt – ja. Over het algemeen denk ik dat gebruikers weinig te vrezen hebben. Maar tenzij ze natuurlijk wat stukjes in de mail van Google opslaan. Er waren veel voorbeelden.
Het bekendste verhaal staat op Google: toen een meisje werd ontvoerd in Utah, konden ze haar niet vinden, en op een gegeven moment stuurden de ontvoerders haar foto's in een gearchiveerde bijlage. En Google vond bij het scannen van deze bijlage tekenen van kinderporno. Ze hebben iedereen gevonden. En ze slaagden er ook in Google aan te klagen wegens schending van de vertrouwelijkheid van correspondentie. Deze proef heeft behoorlijk lang geduurd. Maar toch ben ik van mening dat de gemiddelde gebruiker niets te vrezen heeft als hij bijvoorbeeld zijn paspoort niet openbaar maakt. Dit is een dubbel verhaal - afhankelijk van wat voor soort gegevens en wat voor soort gebruiker. Misschien is het nu oké, maar over vijftien jaar, als hij een soort ambtenaar wordt, zullen sommige van zijn materialen aan het licht komen.
Hoe werkt het bij de overheid?
Z: - Bedankt. U had het even over het doen van onderzoek voor de staat, overheidsinstanties en diensten, en over de samenwerking met hen. Misschien kunt u ons iets meer vertellen over enkele lopende projecten. Nog meer, als je kunt, over... Twee vragen: de eerste betreft lopende projecten, en de tweede is of er dergelijke voorstellen zijn geweest van overheidsdiensten...
OH: - Onfatsoenlijk!
Z: - Ja. Toen je dacht: misschien moet je dit niet doen.
OH: - Ik zal het je vertellen. Ik vertel dit aan iedereen. Deze persoon en ik hebben lang ruzie gemaakt op Twitter. Ik kreeg ooit een vraag van het Twitter-team van Milonov over het vinden van leraren die naar homoporno kijken. Wij zeiden meteen nee. Maar er zijn er een paar, er komen vaak brieven, en heel vaak houdt het verband met bepaalde oppositionele bijeenkomsten. Wij houden ons niet bezig met zulke onzin, iedereen gooit toch stront naar ons. Ik schaam me hier niet voor.
We hebben het volgende beleid ten aanzien van ‘staten’: we ontwikkelen software, software voor driedimensionale reconstructie, gezichtsherkenning en data-analyse. Het is heel moeilijk om te zeggen wat ze precies doen, maar de modellen omvatten misdaadvoorspellingen, zaken die verband houden met de staatsveiligheid in de stad, de bewegingen van mensen, geomarketing, enzovoort. Van het plaatsen van objecten in de binnenstedelijke omgeving tot het identificeren van pedofielen, verkrachters, maniakken en allerlei slechteriken.
Eerlijk gezegd hebben we ons niet beziggehouden met oppositieactiviteiten. Misschien vertellen ze ons dit niet in ons gezicht. In feite is dit een heel groot probleem: samenwerking met de “regeringen”, omdat ze niet altijd uitleggen wat de taak is. Ze vertellen je: maak software om huisvrouwen te identificeren, maar ze gaan er eigenlijk iets anders mee doen - alles gaat kapot.
Bovendien is de staat een zeer interessante en vreemde klant die voortdurend probeert drie cent in uw onderzoek te steken, en vaak zijn hun benaderingen en begrip van machinaal leren erg oppervlakkig. Ik heb bijvoorbeeld een aparte lezing over machine learning-fouten. Ik geef daar altijd een voorbeeld: toen we een misdaadvoorspellingssysteem aan het maken waren in de regio Moskou, zei de klant: waar ze watermeloenen verkopen, verhoog de coëfficiënt dan met vier keer. En toen bleek dat de plaatsen waar watermeloenen worden verkocht helemaal niet crimineel zijn. Dit zijn eenvoudigweg fouten van iemand die zijn gedachten inbrengt.
Kortom, de staat is een coole klant, er zijn veel interessante taken. De meeste komen neer op vergelijkbare modellen om iets te voorspellen. Meestal is dit een soort stedelijke infrastructuur.
Z: – Zijn er bronnen waar u uw onderzoek kunt volgen? Veel informatie. Zoals ik het begrijp, blijft een groot deel ervan nog steeds overboord. Jouw pagina's, iets anders...
OH: – Ik heb geen persoonlijke pagina’s.
Z: – Waarschijnlijk is Facebook al gesloten?
OH: – Ongeveer vier maanden geleden was er een verhaal: ze stuurden ons allemaal zulke grote brieven dat “jullie freaks zijn, jullie verkopen alles aan het Kremlin, jullie overtreden alle regels van Facebook.” Ze stuurden mijn hond zelfs een brief: “Hallo Marsblauwe corgi, je verzamelt gegevens!” enzovoort. Luister, we zijn nu aan het rebranden. Over twee à drie weken zal onze website in de lucht zijn en zal alles vernieuwd zijn. Dit zal iets zijn om naar te kijken. Maar in dit opzicht zijn we gewoon erg lui.
Hoe kun je de betrouwbaarheid van een VPN bepalen?
Z: – Wanneer zei u dat u naar een café zou gaan zonder u te identificeren met uw telefoonnummer? En waaronder?
OH: – Je kunt niet zeggen “onder de naam van iemand anders”, omdat dit een oproep is om de identificatieregels te overtreden. Nee nee nee. Grapje. Nu identificeren bijna alle cafés alles - er is niet alleen een telefoonnummer, er zijn een heleboel pixels, er is apparaatidentificatie, MAC-adres en dergelijke, om het later te gebruiken - van reclamedoeleinden tot operationele zoekactiviteiten. Daarom moet je heel voorzichtig zijn met zulke dingen. U kunt niet alleen iets schrijven, maar zij kunnen ook vanaf uw apparaat schrijven, en dan gebeurt er iets.
Wellicht heb je het verhaal gezien over hoe ze nu onderzoek doen naar hoe ze (in Wit-Rusland overigens ook) Facebook-accounts verhuren voor bijvoorbeeld casinoreclame. Maar eigenlijk is niet bekend waarom, ze geven ook toegang tot een computer. Dit zijn het soort dingen die je zoveel mogelijk moet vermijden. Als je ergens anoniem iets wilt schrijven... zou ik naar een café gaan en een coole VPN inschakelen. Maar in feite (nogmaals, ik wijs niemand met de vingers), als je een account bij een VPN hebt, controleer je wie de eigenaar is van deze VPN, welk bedrijf, wie de eigenaar is van dit bedrijf, enzovoort. Omdat de meeste spelers op de VPN-markt niet bepaald goede jongens zijn.
Nou ja, in Wit-Rusland maakt het niet uit. In Rusland wordt een goede VPN gecontroleerd door of azino777 daar geblokkeerd is of niet. Want zo niet, dan is de kans groot dat deze VPN-dienst binnen een week wordt gesloten. Controleer in het algemeen alles.
Over het automatisch verwijderen van berichten
Z: – Je praatte zoveel over persoonlijke berichten dat sociale netwerken ze lezen... Maar Facebook heeft bijvoorbeeld geheime persoonlijke berichten die kunnen worden ingesteld (behalve dat ze ook gecodeerd zijn) voor vernietiging. Hoe kunt u hier commentaar op geven?
OH: - Echt niet. Ten eerste ben ik geen superprofessional op het gebied van cryptografie, en ten tweede is het probleem hier dat niemand de Facebook-server heeft gezien, niemand weet hoe het daar allemaal werkt. Conventioneel zegt een bepaalde specificatie dat dit end-to-end-codering is, maar het kan zijn dat dit niet zo is, of dat het end-to-end is, maar met enkele fouten of iets anders. Het is zinvol om zoiets te gebruiken als je bang bent dat de persoon aan wie je het hebt gestuurd op een gegeven moment iets zal proberen te doen.
Telegram heeft een handige functie voor het verzenden van intieme foto's die zichzelf verwijderen: wanneer u een screenshot probeert te maken, wordt deze automatisch verwijderd. De iPhone heeft nu een functie voor het opnemen van video vanaf het scherm, en je kunt video opnemen vanaf het scherm, enzovoort... Ze sturen me heel vaak materiaal met deze functie (automatisch verwijderen) - ik begrijp nooit waarom. Ik kan het meteen downloaden! Het is allemaal naar eigen goeddunken.
Sociale beoordeling in China: mythen, realiteit, vooruitzichten
В: – Ik maak er eigenlijk een beetje misbruik van, hoewel ik geen VPN nodig heb (we hebben trouwens een bewezen VPN). En de vraag gaat over ethiek. We hebben een geweldige vriend uit Kazachstan, we hebben hem ook meegenomen om een lezing te geven. We zaten eens met hem op een conferentie, waar ze over verschillende dingen spraken, en hij zei (en hij houdt zich bezig met cyberbeveiliging, dat wil zeggen, in zijn pure vorm, technische beveiliging, iemand die geïnteresseerd is in technische oplossingen): “Hier, Ik ben teruggekomen uit China. Ze doen daar zoiets cools: sociale beoordeling.” Heb je trouwens enig onderzoek naar dit onderwerp gedaan, hoe werkt het voor hen?
OH: – We verkopen partituren in Rusland, ik weet er veel van.
В: – Dus ik heb een vraag: wat zou u ons hierover meer willen vertellen – over wat ons misschien allemaal te wachten staat in de toekomst. Maar nog een vraag over ethiek. Hij zei zo blij: “Een interessante technische oplossing!” Heeft u een eigen ethische code?
OH: - Ja, dat is er trouwens wel. Twee jaar geleden hebben we het geïntroduceerd - net na het verhaal met Milonov besloten we deze projecten op de een of andere manier te rangschikken. Terugkomend op de beoordeling: dit is een van de superpopulaire vragen, omdat de media dit hele verhaal zeer demoniseren - dat mensen niet naar het buitenland mogen, ze worden gedood met een laser van de maan. Ik breng je nogmaals technische dingen...
Als je in deze geschiedenis begint te graven, kijk dan welke parameters in deze sociale beoordeling zijn opgenomen, je zult het begrijpen: het omvat gesloten alimentatie, strafregisters, kredietgeschiedenis, dat wil zeggen, vanuit technisch oogpunt echt iets geweldigs. Je leeft zonder de wet te overtreden, je leeft goed - ze geven je een lage leenrente. Je hebt een belangrijke sociale baan (bijvoorbeeld leraar) - je krijgt passende huisvesting. In eerste instantie bracht dit iedereen in verwarring, omdat er eerst een verhaal uitlekte dat als je slecht over de president schrijft, je beoordeling wordt verlaagd. Hoewel er geen bewijs was. Ter verdediging van de beoordeling zal ik tegen de beoordeling zeggen dat niemand het algoritme heeft gezien, welke parameters daar daadwerkelijk worden gebruikt.
Toen verscheen er een verhaal dat ruim een miljoen mensen niet naar het buitenland mochten en niet mochten vertrekken. In feite is dit geen volledig nauwkeurige formulering. Wanneer u een visum ontvangt (bijvoorbeeld voor Europa), krijgt u een visum tegen een tarief van “70 euro per dag” (zoiets); Als u geen bewijs van inkomen overlegt, krijgt u geen visum. In China besloot het plaatselijke ministerie van Buitenlandse Zaken nog een stap verder te gaan: het waarschuwde mensen die niet genoeg geld hebben eenvoudigweg onmiddellijk dat als je naar het buitenland wilt, je niet genoeg geld zult hebben. Dienovereenkomstig werd dit alles later gekanaliseerd in het concept dat de armen niet naar het buitenland mogen gaan. Dit is een complexe ethische kwestie, het grenst aan een zeker vermoeden van schuld of onschuld, maar in feite kan ik er geen oordeel over geven.
Mensen doden, geen wapens
Het belangrijkste dat je moet begrijpen is dat al deze algoritmen die de samenleving veroordeelt niet het probleem met de algoritmen zijn. Algoritmen maakten het eenvoudigweg mogelijk om heel snel een groot ‘volume’ mensen te analyseren, en dit sociale probleem werd naar de top gebracht. Dat wil zeggen, een Microsoft-bot die van tweets heeft geleerd en een racist is geworden. Het is niet de schuld van de bot, maar van de tweets die hij leest. Of een bedrijf dat besluit een model van een ideale werknemer te bouwen door de huidige te analyseren, en het blijkt dat dit een blanke, gendergender man is met een hogere opleiding.
Dit is geen model dat racistisch, seksistisch of iets anders is; dit zijn de mensen die deze mensen hebben aangenomen (of ze nu gelijk hadden of ongelijk, het maakt niet uit). Alles grenst eenvoudigweg aan het feit dat kunstmatige intelligentie slecht en slecht is en de wereld zal vernietigen, maar in feite... Als de Russische regering nu bijvoorbeeld voorwaardelijk een wet aanneemt die de oppositionisten niet vrij zal laten onderwijs, en ze zullen software schrijven die hen dit gratis onderwijs identificeert en berooft - het is niet het algoritme dat de schuld zal krijgen. Hoewel niemand dit concept van mij ondersteunt, want als ik zeg dat het geen wapens zijn die mensen doden, maar mensen, “jij bent een fascist” enzovoort.
Over het algemeen is dit een hele coole technische oplossing. Je moet begrijpen waarom dit bijvoorbeeld niet in Rusland zal gebeuren. Jij [in Wit-Rusland] zult dit niet hebben, omdat je een Europese staat bent, alles is goed met jou. Dit zal om vele redenen in Rusland niet gebeuren: ten eerste hebben we niet hetzelfde vertrouwen in het wetshandhavingssysteem als in China; We hebben niet hetzelfde niveau van digitalisering. Waarom is alles in China gelukt? Omdat de overheid: ze hebben digitale geneeskunde, digitale verzekeringen, digitale politie. En een slim iemand kwam op het idee: laten we het allemaal samenbrengen en er iets van maken – in wezen is het een loyaliteitsprogramma. Er zijn meer goodies dan ‘non-goodies’.
Daarom, ja, ik denk dat dit niet in Rusland zal worden geïntroduceerd. We moeten eerst het hele ministerie van Volksgezondheid digitaliseren (en dit is een taak voor 50 jaar) - iemand zal hiervoor zijn leven moeten geven, maar niemand zal dit uiteraard doen. Aan de andere kant zijn Russische banken de leiders in de wereld als het gaat om het scoren van mensen, ze doen niets: “Ja, man? Hou je van jonge meisjes? Hier is een creditcard voor je minnares.’ Alles is daar zeer geavanceerd. In Amerika is dit soort scoring bijvoorbeeld bijna overal verboden, omdat er wetten zijn volgens welke de bank verplicht is je uit te leggen waarom: “Aha! Omdat het bedrijf Social Data Hub de geschiedenis 10 jaar lang bijhoudt, en zo-en-zo iets over jou heeft onthuld! En laten we ze allebei aanklagen! Maar zulke verhalen kennen wij niet.
Waarom worden statistieken stil gehouden?
In principe ben ik voorstander van scoren, als het niet een soort ‘totalitair’ verhaal is. Maar de hele vraag is dat het onmogelijk is om te voorspellen en te evalueren. Dit is het moeilijkste verhaal in de big data-ethiek: het voorspellen van de sociale impact die er over vijftien jaar zal zijn. Ik smeek het parket bijvoorbeeld al heel lang om informatie over misdaad te openen. Misdaadstatistieken vormen een van de hoekstenen van alle statistieken; iedereen wil dit heel graag. Maar in Rusland openen ze bijvoorbeeld geen misdaadstatistieken om een heel eenvoudige reden: ze zijn bang om de demografische ontwikkelingen binnen steden te ontwrichten. Ze geloven dat mensen niet meer in sommige steden zullen wonen, en zelfs binnen de stad zal alles op de een of andere manier herverdeeld worden. Om dezelfde reden maken ze de Unified State Exam-statistieken niet openbaar - je begrijpt dat mensen naar sommige scholen zullen gaan, en niet naar andere.
Misschien is dit correct, misschien niet, maar er zijn veel projecten geweest... Yandex besloot bijvoorbeeld ooit (opnieuw, volgens de "gele" geruchten, ik heb het niet gezien, ik weet het niet) om voeg het aantal aanvallen op taxichauffeurs toe aan het vastgoedvoorspellingsmodel, dat wil zeggen een soort benadering van het misdaadniveau, waarbij het aantal klachten van taxichauffeurs wordt geteld dat iemand hen heeft lastiggevallen, bedreigd, enzovoort. Binnen het bedrijf wezen ze het snel af om zulke dingen niet te doen.
Z: – Je communiceert met studenten, communiceert met het publiek in jouw land, in ons land. Je merkte aan het aantal vragen uit het publiek dat we nog steeds in dat ontwikkelingsstadium zitten waarin we denken dat we vertrouwelijkheid nodig hebben, dat we ons voor iemand kunnen verbergen, onze gegevens kunnen beschermen door ze niet te verstrekken, door ze te verbergen, door ze te versleutelen. Als de Europese Unie al naar de volgende fase is gegaan, de fase van privacy, die controle over gegevens impliceert – om iedereen die uw gegevens verzamelt te dwingen u er effectieve controle over te geven… Gebaseerd op steekproeven per regio, per sociale strata – welke categorie burgers, mensen, is meer. Is ze al naar de tweede fase verhuisd, of wie zit er nog meer vooral op de eerste?
Wie maakt zich het meest zorgen over de veiligheid van persoonsgegevens?
OH: – Totale meerderheid... Ik zou zeggen: het kan niemand iets schelen! Dit baart topmanagers nu zorgen. Per stad in Rusland zijn dit Moskou en Sint-Petersburg. Het actieve centrum bestaat uit IT-specialisten, ontwerpers, creatieve beroepen, iedereen die inhoud kan filteren, nieuwe kennis kan opdoen, met een hoge mate van interesse in internationale kwesties. Dit zijn vooral topmanagers; ja, IT-specialisten (beveiligingsspecialisten niet meegerekend); bankiers – dat wil zeggen: alle mensen die op de een of andere manier getroffen kunnen worden door een datalek.
Als bijvoorbeeld de gegevens van een huisbewoner uit een of andere Kaluga worden gestolen, is het onwaarschijnlijk dat er iets ernstigs in zijn leven zal veranderen als iemand van hem steelt, bijvoorbeeld de toegang tot Gmail, waar hij de toegang tot tv-series opslaat. De vraag is dat de wet iedereen gelijk beschermt, en dat klopt, want... vanuit het oogpunt van de wet is iedereen gelijk - haha... maar het belangrijkste is dat het onmogelijk is om te begrijpen wiens gegevens hoeveel waard zal zijn totdat deze gegevens verdwijnen - helaas is dit erg moeilijk te voorspellen. Maar eigenlijk deze categorie burgers.
Telefoon - in folie!
Voor de enige keer in mijn leven zag ik de volledige opslag van alles en nog wat in twee bedrijven. Eén daarvan is de grootste informatiebeveiligingsintegrator: alles daar, zelfs USB, wordt in het kantoor met lijm verzegeld; en de mensen daar zijn dezelfde - ik ontmoette daar een man die zijn telefoon in een foliezak had. Ik kwam erachter dat er bedrijven zijn die dit soort speciale tassen verkopen. En de tweede keer zag ik een soortgelijk verhaal in Bloomberg onder de medewerkers: we stonden in de rookkamer en iemand was ergens foto's aan het maken, en een van hen - "Zodat we daar op de achtergrond niet te zien waren!" Ik dacht: "Oh, wauw"!
“Wij zijn beter dan de FSB”
Ik zou niet willen zeggen dat dit minder dan één procent van de bevolking is, maar helaas kan het in de algemene massa bijna iedereen niets schelen. Maar aan de andere kant heb ik een schandalige dienst voor het monitoren van de acties van minderjarigen (we hebben deze lang geleden gelanceerd onder de slogan “Wij zijn beter dan de FSB”), om de ouder te waarschuwen dat een minderjarige afval creëert , vóór ons eigen algoritme, geïnstalleerd waar iemand naar hem wordt gestuurd.
Bij de verificatie van een kind dient u een scan van uw paspoort mee te sturen (dit is in principe gebruikelijk), maar wij schreven dat u het paspoortnummer kunt afknippen omdat wij daar geen interesse in hebben; Wij zijn alleen geïnteresseerd in uw foto, hologram en voor- en achternaam. En voor bijna 100% van de mensen - nou ja, ongeveer 95 van de 100 paspoorten - hebben mensen deze nummers zorgvuldig uitgeknipt in Photoshop en alleen het noodzakelijke deel opgestuurd. Dat wil zeggen, ze begrepen het - ja, aangezien ze het niet nodig hebben, hoeven ze het niet te verzenden. Naar mijn mening is dit een echte vooruitgang, die werd ingegeven door hun gebrek aan vertrouwen in ons.
Z: – Het monster is zo specifiek. Er zijn mensen die zich aanmelden, zij zijn al gevorderd.
Mensen willen niet gevolgd worden, maar lezen geen overeenkomsten
OH: - Ja. En het tweede is hetzelfde: we hebben eind dat jaar een datingapplicatie gelanceerd voor een test (we zullen deze binnenkort opnieuw lanceren). Er was een controlegroep van 100 duizend mensen. En daar waren er, volgens de AVG-benaderingen, 15 selectievakjes in mijn persoonlijke account - ik geef toestemming om de interactie met de interface te analyseren, om toegang te krijgen tot mijn demografische gegevens, om toegang te krijgen tot driedimensionale gezichtsreconstructie, om toegang te krijgen tot mijn persoonlijke berichten, enzovoort . We hebben alle mogelijke toegangen zoveel mogelijk beschreven. Er zijn zelfs ergens statistieken over wie welke vakjes heeft aangevinkt. 98% liet alle vakjes standaard aangevinkt (ondanks het feit dat ze naar deze pagina gingen en alles zagen, maar het kon ze niets schelen), maar het was interessant om deze 2% te analyseren op wat voor mensen een prioriteit was.
Iedereen verwijderde de toestemming om toegang te krijgen tot persoonlijke berichten en bijna iedereen verwijderde de toestemming om toegang te krijgen tot seksuele testgegevens (wat ze daar leuk vinden, wat ze daar hebben ingevuld, hun perversies - grapje). Maar mensen werden erin geschopt, gepord: de interface vertelt hen - lees dit aandachtig, het geeft je de mogelijkheid om tot het einde door deze overeenkomst te bladeren. Maar dit werd uitsluitend gedaan omdat het een onderzoeksproject was en iedereen gewaarschuwd was. Geen enkel bedrijf, inclusief wij, zal, wanneer ze deze applicatie vrijgeven in het publieke domein, iemand dwingen dit bericht tot het einde te lezen, omdat... nou ja, sorry, zo werkt het allemaal.
Op voorwaarde dat ze naar ons toe kwamen, wetende wat het bedrijf doet, wetende dat ze naar een dienst zijn gegaan die je kandidaten aanbiedt op basis van wat voor soort porno je leuk vindt - zelfs op basis hiervan heeft slechts 2% deze selectievakjes gelezen en in het algemeen iets gedaan . En bijna geen van hen schakelde de optie ‘Toegang tot verkeer en gegevens over bezoeken aan andere webpagina’s’ uit. Meestal maakte iedereen zich zorgen over persoonlijke berichten.
Naaktheid en gevangenisstraf voor likes - interessante wetten van de broederlijke republieken
Z: – Ik heb een vraag over gegevensbescherming. Je kunt je telefoon in folie dragen, doen alsof ze er niet zijn... Dan blijkt dat je hem een beetje bewaart, bewaar hem, maar dan moet je je gegevens aan de staat geven, omdat die van je eist, en dat kun je gewoon niet... En dan blijkt dat overheidsaannemers allemaal vol gaten zitten. En in Wit-Rusland bestaat ook zo'n norm: als ik de veiligheid van mijn persoonlijke gegevens controleer (ik corrigeer iets en krijg er toegang toe), dan ben ik meteen een crimineel. Hetzelfde artikel werd gebruikt om journalisten in de ‘BelT-zaak’ te beschuldigen van het verkrijgen van ongeoorloofde toegang tot gegevens (je kunt het zelf lezen). Mijn eigen vraag is dus: zijn dergelijke beperkingen een effectieve maatregel voor de privacy, en in het algemeen voor de beveiliging van privégegevens?
OH: - Ik begrijp. Er zijn veel zeer interessante wetten in Wit-Rusland. Ik kwam er onlangs achter... Ik maak steeds grapjes over het uitzenden van naaktheid, maar het blijkt dat dit hier verboden is.
Z: – Demonstratie is verboden!
OH: - Dit is eigenlijk een beetje vreemd.
Z: – Je kunt kijken, je kunt niet overdragen, je kunt niet leuk vinden. Je kunt er niet samen naar kijken!
OH: – Ik zal je vraag beantwoorden. Laat ik terugkeren naar het onderwerp “gevangen zitten vanwege likes” in Moskou. In Rusland is dit onderwerp nummer één. Ik weet niet hoe het in Wit-Rusland is, maar eerlijk gezegd de staat... Als je de statistieken analyseert: in Moskou zijn 95 van de 100 arrestaties wegens likes wanneer mensen over mensen klaagden, iemand naar het parket schrijft over een ander persoon. De staat initieert dergelijke gevallen zeer zelden. Het lijkt mij dat deze wet absoluut absurd is. Ik ken geen enkele echte crimineel die hiervoor gevangen is gezet. Maar deze maatstaf wordt gebruikt om tenminste iets aan een persoon toe te schrijven. Het lijkt mij dat dit zo vreemd mogelijk is. Ik denk dat het ooit zal worden geannuleerd.
Z: - Dit heet een deksel bewaren.
OH: - Nou, oké... dat kan ik niet zeggen. Ik ben niet bepaald een pro-staatsmonster, maar mijn perceptie is enigszins veranderd, weet je, door mensen die naar ons toe komen en zeggen: “Mijn kind is vermist, help me het te vinden.” Ik zeg: “Ik kan niets doen zonder toestemming van de rechtbank.” Je kijkt naar deze ouders die alles in hun leven zouden geven, elke toegang zouden geven tot alle gegevens, alleen maar om hun probleem op te lossen. Daarom is het voor mij erg moeilijk om zo’n discussie te voeren: aan de ene kant geloof ik dat de staat het juiste doet als hij echte mensen betrapt, maar aan de andere kant is het geven van ongecontroleerde toegang over het algemeen een verschrikkelijk verhaal.
Ik keer terug naar je stuk, "sorry" voor mijn afleiding. Ik geloof helemaal niet in foliezakjes. Een mobiele telefoon hebben en deze in folie wikkelen is nogal stom. Waarom doe je dit? Zodat de telefoon geen verbinding maakt met wifi? Het is gemakkelijker om het uit te schakelen. Zodat de mobiele operator u niet identificeert? Ze kunnen het signaal nog steeds trilatereren en op de een of andere manier berekenen. Voor mij zijn de enige effectieve beveiligingsmaatregelen veilige opslag, zoals een lokaal netwerk - misschien in een appartement, waar je iets kunt opslaan.
Z: - Er is een vraag over wetgeving. Is de wetgeving repressief tegenover iemand die zijn gegevens wil controleren?
OH: - Ik begrijp het, ja. Ik wist er niet eens van, dus ik kan het je niet met zekerheid vertellen. In Rusland bestaat zoiets niet, hoewel alles daar erg ingewikkeld is. Waarschijnlijk kunt u gekwalificeerde advocaten raadplegen en misschien is er een maas in de wet - misschien kunt u zich tot een Europese rechtbank wenden... Nee? Ik kan je hier niets over vertellen. Mijn kennis van het recht is oppervlakkig, op het niveau van een bedrijfsleider. Ik weet wat ik niet moet doen zonder dat iemand je iets vertelt. Dit is natuurlijk heel triest.
Z: – Wat ik bedoel is dat het in andere landen (bijvoorbeeld in de Verenigde Staten) de normale praktijk is dat je een bepaalde kwetsbaarheid kunt testen en deze vervolgens kunt melden, maar niet openbaar kunt maken.
OH: - Ja, “bugbounty”. Ik besefte dat er zoiets bestaat.
Z: “En de bedrijven hebben geen mechanisme om je te verwijderen, omdat het goedkoper is.”
OH: – Dit ding grenst ook aan het niveau van de wet. Het hangt ervan af hoe u deze kwetsbaarheid vindt. Het lijkt mij dat een groot deel van het geld dat in Amerika voor deze kwetsbaarheid is betaald, is betaald op grond van geheimhoudingsovereenkomsten en dreigementen om de persoon te vervolgen. Het is ook alsof hij geen kaars vasthoudt. Dit soort dingen riskeren we altijd. Mijn medewerkers hebben al een paar keer vergelijkbare kwetsbaarheden gevonden in allerlei overheidsapplicaties. Ik zeg altijd: “Stuur liever een anonieme brief dan dat je zegt dat het gat daar zit.” En dan komt er een onderzoeksinstituut langs dat deze dienst levert... Over het algemeen ga ik niet verder.
Het is onmogelijk om de integriteit van een bedrijf te controleren: als het je niet bevalt, gebruik het dan niet
Z: - Een vraag. Je zei dat je een experiment hebt uitgevoerd - er moesten 15 selectievakjes worden aangevinkt... Laten we zeggen dat de gebruiker alle selectievakjes annuleert. Wie gaat dit controleren en hoe? Hoe kan ik dit controleren?
OH: – Ik zal je eerlijk zeggen: niemand en op geen enkele manier. Ernstig. Het feit dat u bij Google het vakje ‘Advertentietracking verbieden’ hebt aangevinkt en uitgeschakeld, betekent helemaal niets. Helaas, zelfs als u een verbod op zoekmachine-indexering op VKontakte instelt, indexeren zoekmachines deze nog steeds en verstrekken deze resultaten vervolgens eenvoudigweg niet aan bepaalde mensen. Dit is allemaal te wijten aan het gebrek aan bevoegde autoriteiten die dit niet kunnen verifiëren. Bovendien zijn de bedrijven die dit doen privé. Of Facebook nu een goed of fout standpunt heeft, zij hebben er één: als je het niet leuk vindt, gebruik het dan niet.
Over regelgeving
Z: – Ik heb slechts één simpele vraag. Hoe denkt u over de kwestie van regulering op het gebied van gegevensverwerking en zelfregulering?
OH: – Als bedrijfsvertegenwoordiger ben ik van mening dat de markt en het bedrijfsleven zelfregulering nodig hebben. Ik geloof dat de Big Data Association alles zelf kan regelen, zonder de staat. Ik heb echt geen vertrouwen in het toezicht van de overheid en ik vertrouw ook echt niet alle verhalen als de staat iets voor zichzelf wil houden, omdat uit elke zaak bleek dat dit heel erg is. Iemand zal zeker de login en het wachtwoord op een gele sticker op de monitor zetten, enzovoort.
Over het algemeen geloof ik in zelfregulering. Bovendien geloof ik dat we in de komende vijf jaar tot een vorm van openheid zullen komen. Zelfs nu kun je al aan de nieuwsfeeds zien dat het voor de staat heel moeilijk is om tegen gebruikers te liegen, en dat het voor gebruikers heel moeilijk is om tegen het systeem te liegen. En dit is in principe waarschijnlijk goed. Omdat onze inlichtingenofficieren worden geïdentificeerd op openbare foto's
Dit alles leidt waarschijnlijk tot een daling van de criminaliteit. Nou ja, puur wiskundig. Als iemand geïnteresseerd is om te praten over het terugdringen van de criminaliteit, zijn er veel verschillende conclusies die kunnen worden getrokken. Over het algemeen ben ik voor zelfregulering van de markt. Bedankt!
Sommige advertenties 🙂
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, , een unieke analoog van servers op instapniveau, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2x goedkoper in Equinix Tier IV datacenter in Amsterdam? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com