"Hvordan selskaper spunnet ditt privatliv", Arthur Khachuyan (Tazeros Global)

Personverndagen, Minsk, 2019. Arrangør: menneskerettighetsorganisasjonen Human Constanta.

Programleder (heretter kalt B): – Arthur Khachuyan er engasjert i... Kan vi si «på den mørke siden» i sammenheng med konferansen vår?

Arthur Khachuyan (heretter – AH): – På bedriftssiden, ja.

I: – Han samler inn dataene dine, selger dem til selskaper.

ÅH: - Ikke egentlig…

I: – Og han vil fortelle deg hvordan selskaper kan bruke dataene dine, hva som skjer med dataene når de går på nett. Han vil sannsynligvis ikke fortelle deg hva du skal gjøre med det. Vi skal tenke videre...

ÅH: - Jeg skal fortelle deg, jeg skal fortelle deg. Faktisk vil jeg ikke fortelle deg det på lenge, men ved et tidligere arrangement ble jeg introdusert for en mann hvis Facebook til og med blokkerte hundens konto.
Hei alle sammen! Mitt navn er Arthur. Jeg driver faktisk med databehandling og innsamling. Jeg selger selvfølgelig ingen personopplysninger til noen i det offentlige domene. Tuller. Mitt virkefelt er å hente ut kunnskap fra åpen kildekode-data. Når noe juridisk sett ikke er personopplysninger, men kunnskap kan trekkes ut fra det og gjøres til samme verdi som om disse dataene ble hentet fra personopplysninger. Jeg vil ikke fortelle deg noe virkelig skummelt. Riktignok handler dette om Russland, men jeg har også tall om Hviterussland.

Hva er den virkelige skalaen?

Akkurat i forgårs var jeg i Moskva i et av de ledende, regjerende partiene (jeg vil ikke si hvilket), og vi diskuterte gjennomføringen av et eller annet prosjekt. Og det betyr at IT-direktøren for dette partiet reiser seg og sier: «Du sa, tall og så videre, du vet, det andre direktoratet i FSB utarbeidet et notat til meg her, som sier at det er 2 millioner russere på sosiale nettverk . Og du sier - 24-noe. Faktisk bruker mer enn tretti [millioner] av oss ikke Internett.» Jeg sier ja? OK".

Folk skjønner egentlig ikke omfanget. Dette er ikke nødvendigvis offentlige etater, som sannsynligvis ikke helt forstår hvordan Internett fungerer, men faktisk min mor, for eksempel. Hun har først nå begynt å forstå at de gir henne et kort i Perekrestok av en grunn, ikke for de ynkelige rabattene Perekrestok tilbyr, men for at dataene hennes da brukes i OFD, kjøp, prognosemodeller og så videre.

Generelt er det så mange innbyggere, og det er informasjon om så mange i åpne kilder. Om noen mennesker er bare etternavnet deres kjent, om andre er alt kjent, helt ned til pornoen de liker (jeg spøker alltid med dette, men det er sant); og all slags informasjon: hvor ofte folk reiser, hvem de møter, hvilke kjøp de gjør, hvem de bor med, hvordan de beveger seg - mye av all slags informasjon som dårlige, ikke så dårlige og flinke gutter kan bruke (jeg vet ikke vet ikke engang hvilken skala jeg skal finne akkurat nå, men likevel).

Det er sosiale nettverk, som selvfølgelig er et gigantisk sett med åpne data, som spiller på svakhetene til folk som ser ut til å skrike om personvern. Men i virkeligheten er det slik: Hvis du forestiller deg en graf over de siste 5 årene, øker nivået av hysteri om personlige data, men samtidig synker antallet lukkede kontoer på sosiale nettverk fra år til år. Det er kanskje ikke helt riktig å trekke konklusjoner fra dette, men: det første som stopper ethvert selskap som samler inn data er en dumt lukket konto på sosiale nettverk, fordi meningen til en person inne på hans lukkede konto, hvis han ikke har 100 tusen abonnenter, det er egentlig ikke veldig interessant for noen analyse; men det finnes også slike tilfeller.

Hvor får de informasjon om oss?

Har de gamle skolevennene dine banket på døren som du ikke har snakket med på lenge, og så forsvant den kontoen? Det er dette blant de slemme gutta som samler på telefoner: de analyserer venner (og vennelisten er nesten alltid åpen, selv om en person stenger profilen sin, eller vennelisten kan gjenopprettes "i motsatt retning" ved å samle alle andre brukere), tar de noen inaktive vennen din, lager en kopi av siden hans, banker på døren til vennen din, du legger til ham og etter to sekunder blir kontoen slettet; men en kopi av siden din gjenstår. Dette er faktisk hva gutta gjorde nylig, da 68 millioner profiler fra Facebook fløy bort et sted - de la til alle som venner på omtrent samme måte, kopierte denne informasjonen, skrev til noen i private meldinger, gjorde noe...

Sosiale nettverk er en stor kilde til informasjon, i nesten 80% av tilfellene hentes informasjon om en spesifikk person ikke direkte, men fra det umiddelbare miljøet - dette er all slags indirekte kunnskap, tegn (vi kaller det "den onde eks-kjæresten" ”-algoritmen), fordi en av mine venner ga meg denne helt geniale ideen. Hun fulgte aldri kjæresten sin – hun fulgte alltid etter de fem vennene hans og visste alltid hvor han var. Dette er faktisk en grunn til å skrive en hel vitenskapelig artikkel.

Det er et stort antall roboter som også gjør alle slags gode og dårlige ting. Det er ufarlige som dumt abonnerer på deg slik at de kan reklamere for kosmetikk for deg; og det er seriøse nettverk som prøver å påtvinge sine meninger, spesielt før valget. Jeg vet ikke hvordan det er i Hviterussland, men i Moskva, før kommunevalget, hadde jeg av en eller annen grunn et stort antall rare venner, som hver aksjonerte for en annen kandidat, det vil si at de absolutt ikke analyserer innholdet som Jeg forbruker - de prøver bare å pålegge en slags uforståelig reform, med tanke på det faktum at jeg ikke er registrert i Moskva i det hele tatt og ikke vil gå for å stemme.

Søppelplassen er en kilde til farlig informasjon

I tillegg er det Thor, som ikke er så undervurdert - alle tror at du bare trenger å gå dit for å kjøpe narkotika eller finne ut hvordan våpen er satt sammen. Men i virkeligheten er det mange datakilder der ute. Nesten alle av dem er ulovlige (som ulovlige), fordi noen kunne ha hacket seg inn i en flyselskapsdatabase på en hackerside og kastet den der. Juridisk kan du ikke bruke disse dataene, men hvis du får noe kunnskap fra dem (som i en amerikansk domstol), for eksempel, kan du ikke bruke et opptak av en lydsamtale som er gjort uten en garanti, men kunnskapen du mottok fra denne lyden opptak, du vil ikke glemme - og her er det omtrent det samme.

Dette er faktisk en veldig farlig ting, så jeg tuller alltid, men det er sant. Jeg bestiller alltid mat fra nabohuset, fordi Leveringsklubben går i stykker veldig ofte, og den har virkelig slike problemer. Og nylig ble jeg veldig overrasket: Jeg bestilte dagligvarer, og på esken som jeg tok med til søpla, var det et klistremerke som sa "Arthur Khachuyan", telefonnummer, leilighetsadresse, intercom-kode og e-post. Vi prøvde til og med å forhandle med Moskva-kommunen for å gi oss tilgang til søppelfyllingen: generelt sett, kom til avfallslageret og prøv, rent for interessens skyld, å prøve å finne noen omtale av personopplysninger - å gjøre noe sånt som en mini-forskning. Men de takket nei til oss da de fant ut at vi ville komme med Roskomnadzor-ansatte.

Men dette er faktisk sant. Har du sett den fantastiske filmen "Hackers"? De kikket rundt i søpla for å finne en del av viruset. Dette er også en populær ting – når folk kaster noe inn i åpne kilder, glemmer de det. Dette kan være et skolenettsted hvor de skrev en avhandling om hvit overherredømme, og så gikk de til statsdumaen og glemte det. Slike tilfeller skjedde faktisk.

Hva liker medlemmer av United Russia?

Hvis du går til den øverste delen på LifeNews-nettstedet... Studentene gjorde en studie for meg for to år siden: de tok alle deltakerne i primærvalgene til United Russia (de sendte alle offisielt inn sine sosiale mediekontoer til All-Russian Central Executive Committee), så på hva de generelt likte - porno barnslig, søppel, uforståelige reklamer fra fremmede voksne kvinner... Generelt ser det ut til at folk har glemt det.

Så skrev de et brev der de sa at tjue personers kontoer var stjålet. Men kontoene deres ble stjålet for to uker siden, for 8 måneder siden sendte de dem til valgkommisjonen, og likes var for to år siden... Generelt forstår du, ikke sant? Det er virkelig en enorm mengde informasjon der som alltid kan brukes selv til forskningsformål.

Minioftopchik: i går så jeg nyheten om at Roskomnadzor blokkerte forskning fra HMS-studenter for to år siden. Kanskje noen så denne nyheten, ikke sant? Det var studentene mine som gjorde forskningen: de fra Tor, fra Hydra-nettstedet hvor medisiner selges (beklager, fra Rampa), samlet informasjon om hvor mye det koster, i hvilken region i Russland, og gjorde forskningen. Den ble kalt «Partifolkets forbrukerkurv». Dette er selvfølgelig en morsom ting, men fra et dataanalysesynspunkt er datasettet faktisk interessant - så i ytterligere to år dro jeg til alle slags "hackathons". Dette er en ekte ting - det er mange interessante ting der.

Hvordan få kontakt "kjøpte sjelene" til nysgjerrige brukere og hvorfor du trenger å lese brukeravtalen

Vanligvis, når du spør en person hva slags datalekkasje du er redd for (spesielt hvis personen har et dekket webkamera), setter han alltid strukturen til prioriteringer slik: hackere, staten, selskaper.

Dette er selvfølgelig en spøk. Men faktisk, aktive dataanalytikere, alle slags dataforskere har stjålet mye mer enn, det virker for meg, de forferdelige russiske, amerikanske eller andre hackere (erstatt noen, avhengig av din politiske overbevisning). Generelt er alle som regel redde for dette – dere har vel alle dekket webkameraet? Du trenger ikke engang å rekke opp hendene.

Men hvis hackere gjør noe ulovlig, og staten trenger rettslig tillatelse for å skaffe data, trenger ikke de siste gutta [bedrifter] noe i det hele tatt, fordi de har en brukeravtale, som ingen noen gang leser. Og jeg håper virkelig at slike hendelser fortsatt vil tvinge folk til å lese avtalene. Jeg vet ikke hvordan det er i Hviterussland, men i Moskva i midten av det året var det en bølge av "GetContact"-applikasjonen (du var sikkert klar over), da det dukket opp en søknad fra ingensteds som sa: gi søknaden tilgang til alle kontaktene dine, og vi vil vise deg hvordan du ble spilt inn morsomt.

Det kom ikke opp i media, men mange høytstående ansatte klaget til meg over at alle begynte å ringe dem hele tiden. Tilsynelatende bestemte administratorene seg for å finne Shoigus telefonnummer i denne databasen, noen andre... Volochkova... En harmløs ting. Men de som har lest GetContact-lisensavtalen – den sier: ubegrenset spam på ubegrenset tid, ukontrollert salg av dataene dine til tredjeparter, uten rettighetsbegrensninger, foreldelsesregler, og generelt alt som er mulig. Og dette er faktisk ikke en så supersjelden historie. For eksempel viste Facebook, mens jeg var der, varsler 15 ganger om dagen: "Synkroniser kontaktene dine, så finner jeg alle vennene dine du har!"

Bedrifter bryr seg ikke. Føderal lov 152 og GDPR

Men faktisk er prioriteringene i motsatt retning, fordi selskaper er beskyttet av privatrett og derfor i nesten alle tilfeller er det umulig å bevise at de tar feil. Og tatt i betraktning at det er stort, skummelt og veldig dyrt, er dette nesten umulig. Og hvis du også er i Russland, med utdatert lovgivning, så er alt på en eller annen måte helt trist.

Vet du hvordan russisk lov (og den er praktisk talt hviterussisk) skiller seg fra for eksempel GDPR? Russisk føderal lov 152 beskytter data (dette er en relikvie fra den sovjetiske fortiden) - et dokument som beskytter data mot lekkasje et sted. Og GDPR beskytter brukernes rettigheter - retten til at de vil bli fratatt noen friheter, privilegier eller noe annet, fordi dataene deres vil lekke et sted (de introduserte et slikt konsept rett inn i "dataene"). Men hos oss er alt de kan belaste deg med en bot for at du ikke har en sertifisert «Åpen» Excel for behandling av personopplysninger. Jeg håper at dette vil endre seg en dag, men jeg tror ikke i nær fremtid.

Hva er de reelle målrettingsalternativene i dag?

Den første, sannsynligvis skumle historien som alle hele tiden tenkte på, var å lese personlige meldinger. Det er sikkert en person blant dere som noen gang har sagt noe høyt og deretter mottatt målrettet reklame. Ja, fantes det slike? Løft opp hendene.

Jeg tror faktisk ikke på historien om at den betingede "Yandex Navigator" gjenkjenner direkte lyd i strømmen for alle brukere, fordi de som har hatt litt erfaring med stemmegjenkjenning forstår at: for det første, Yandex-datasenteret » det burde være fem ganger mer; men viktigst av alt, kostnadene ved å tiltrekke seg en slik person vil koste mye penger (å gjenkjenne lyd i en strøm og forstå hva personen snakker om). Men! Faktisk er det algoritmer som merker deg ved å bruke bestemte søkeord for deretter å lage en slags reklamekommunikasjon.

Det var mange slike studier, og 100 ganger har jeg laget tomme kontoer, skrevet noe til noen i meldinger, og så plutselig fått en annonse som ikke så ut til å ha noe med saken å gjøre. Det er faktisk to konklusjoner her. Mot en slik historie tror man at en person rett og slett faller inn i en slags statistisk utvalg; La oss si at du er en 25 år gammel mann som akkurat i dette øyeblikket burde ha møtt et engelsk språkkurs i det øyeblikket du skrev til noen. I det minste sier Facebook alltid dette i retten: at det er en viss oppførselsmodell som vi ikke vil vise deg, som ble bygget på data som vi ikke vil vise deg, vi har intern forskning som vi definitivt ikke vil vise deg ( fordi alt er en forretningshemmelighet); generelt ble du inkludert i et statistisk utvalg, så vi viste det til deg.

Hvordan Facebooks personvern gjorde brukerne rasende

Dessverre er dette generelt umulig å bevise med mindre du har noen i selskapet som på en eller annen måte vil bekrefte disse handlingene. Men i amerikansk lov, i dette tilfellet, er taushetserklæringen til denne ansatte høyere enn hans ønske om å hjelpe deg, så ingen vil gjøre dette. Det er også interessant - det var for et år eller et og et halvt år siden - en trend begynte å utvikle seg i Amerika, da folk installerte en nettleserutvidelse slik at den ville kryptere Facebook-meldinger: du skriver noe til en person, han krypterer det med en nøkkel på enheten og sender søppel til det offentlige.

Facebook har saksøkt dette selskapet i halvannet år, og det er uklart på hvilket grunnlag (fordi jeg ikke forstår amerikansk lov godt) det tvang dem til å fjerne denne applikasjonen og foretok deretter en endring i brukeravtalen: hvis du se, det er en slik klausul: at du ikke kan overføre meldinger i kryptert form - det er på en eller annen måte beskrevet så smart at du ikke kan bruke kryptografiske algoritmer for å endre meldinger - vel, det er noe slikt. Det vil si, sa de: enten bruker du plattformen vår, skriver i det offentlige, eller så skriver du ikke. Og dette reiser spørsmålet: hvorfor trenger de i det hele tatt personlige meldinger?

Personlige meldinger er en kilde til XNUMX % pålitelig informasjon

Dette er en veldig enkel ting. Alle som analyserer det digitale fotavtrykket, menneskelig aktivitet, prøver på en eller annen måte å bruke disse dataene til markedsføring eller noe annet, de har en slik metrikk som pålitelighet. Det vil si et visst bilde av en person - du forstår utmerket godt, dette er ikke personen selv - dette bildet er alltid litt mer vellykket, litt bedre. Personlige meldinger er ekte kunnskap som kan fås om en person; de er nesten alltid 100 % pålitelige. Vel, for sjelden vil noen skrive noe til noen i private meldinger, lure, og alt dette kan verifiseres veldig enkelt - følgelig, ifølge andre meldinger (du forstår hva jeg snakker om). Poenget er at kunnskapen oppnådd på denne måten er nesten 100 % pålitelig, så alle prøver alltid å få den.

Men ikke desto mindre er dette alt, igjen, en veldig vanskelig historie å bevise. Og de som tror at den såkalte VKontakte har slik tilgang for rettshåndhevelsesbyråer for personlige meldinger, er ikke helt sant. Hvis du bare ser på historien til rettsforespørsler om avsløring av informasjon, hvordan VKontakte veldig snedig (i dette tilfellet Mail.ru) kjemper mot disse forespørslene.
Hovedargumentet deres er alltid: ved lov må rettshåndhevende byråer begrunne hvorfor tilgang til personlige meldinger er nødvendig. Som regel, hvis det er et drap, sier etterforskeren alltid at mest sannsynlig sa personen hvor han gjemte våpenet (i personlige meldinger). Men du og jeg forstår at ikke en eneste fornuftig kriminell noensinne ville skrive til sine medskyldige på VKontakte om hvor han gjemte et skytevåpen. Men dette er et av de vanlige alternativene som tjenestemenn rapporterer.

Og her er et annet så forferdelig eksempel (jeg ble bedt om å gi forferdelige eksempler i dag) - om Russland (jeg håper dette ikke vil skje i Hviterussland): i henhold til loven må etterforskeren ha tilstrekkelig overbevisende grunner til at operatøren kan avsløre denne informasjonen . Naturligvis er disse pålitelige parameterne ikke beskrevet noe sted (hva de skal være, i hvilken form), men i Russland er det nå et økende antall presedenser når et slikt grunnlag vises for retten hvis det er en viss modell som spådde en viss, god eller dårlig oppførsel.

Det vil si at i vårt land kan ingen fengsles (og det er bra) for å være inkludert i et eller annet statistisk utvalg av renrasede mordere – og det er bra, fordi det bryter med uskyldspresumsjonen; men det er presedenser der resultatene av slike prognoser ble brukt for å få rettslig tillatelse til å innhente data. Ikke bare i Russland, forresten. Det er noe slikt i Amerika også. Der drepte "Palantir" også alle i lang tid, de bruker lignende ting. Skremmende fortelling.

Dette er min forskning. Vi gjorde dette: vi gikk rundt i St. Petersburg, på steder med grønne prikker, vi skrev noen nøkkelpunkter til venner fra "rene" kontoer - som "Jeg vil drikke kaffe", "hvor kan jeg kjøpe vaskepulver?" og så videre. Og deretter mottok de geo-lenket annonsering. På hvilken magisk måte... Eller som de sa: «Tilfeldighet? ikke tenk!" Dette er personlige meldinger på VKontakte. Må Mail.ru tilgi meg, men dette er slik. Hvem som helst kan gjenta et slikt eksperiment.

Forresten, da de skrev en støtteerklæring, sa Mail at det var wi-fi-punkter der, og Mac-adressen din ble fanget. Dette finnes også.

Metoder for å skaffe og vanlige alternativer for å lekke personopplysninger

Den neste historien er et utdrag av tilleggskunnskap, et stykke jeg faktisk har vært inne på. Faktisk har en persons fullførte profil på sosiale nettverk faktisk 15–20 % av den virkelige kunnskapen som dataoperatøren lagrer om ham. Resten av historien kommer ut av veldig interessante ting. Hvorfor tror du Google utvikler biblioteker for datasyn så mye? Spesielt var de blant de første som utviklet biblioteker spesielt for å analysere og kategorisere objekter – i bakgrunnen, i forgrunnen, uansett hvor. Fordi dette er en enorm kilde til tilleggsinformasjon om hva slags leilighet en person har, en bil, hvor han bor, luksusartikler ...

Det var mye "hacker" da Googles trente nevrale nettverk ble slått sammen (jeg vet ikke hvem de var, men likevel). Det var mye interessant informasjon om temaet bryststørrelse, midjestørrelse - som folk ikke prøvde å finne ut om andre mennesker basert på analyse av fotografier. For når en person tar et bilde, tenker han ikke alltid på hvor mange interessante ting han kan lære av det? Hvor mange nyfødte pass postes i Russland?.. Eller: "Hurra, babyen min fikk visum"! Dette er generelt smerten i det moderne samfunnet.

Et annet offtopic (jeg vil dele fakta med deg i dag): i Moskva er den vanligste lekkasjen av personopplysninger i boliger og kommunale tjenester, når en liste over debitorer henges på døren, og disse skyldnerne deretter saksøker fordi deres personlige data ble gjort offentlig tilgjengelig uten deres tillatelser. Hva om dette skjer med deg... Poenget er at når en person gjør noe, vet han ikke hva som var på bildet, hva som ikke var der. Det er mange bilnummer nå.

Vi gjennomførte en gang en studie - vi prøvde å forstå hvor mange mennesker med åpne bilder av biler (de har derfor lovbrudd og så videre) - dette kunne dessverre bare gjøres ved å bruke de sammenslåtte trafikkpolitiets databaser, der det bare er et tall (ikke særlig pålitelig informasjon), men det var også interessant.

Din neste annonse avhenger av hvordan du konsumerte den forrige

Dette er den første historien. Den andre historien er atferdsmønstre, innholdet som en person bruker, fordi en av de viktigste beregningene som sosiale nettverk prøver å bygge om deg, er hvordan du samhandler med reklame. Uansett hvor nøyaktige, "fantastiske" algoritmene kan være, uansett hvor fantastisk den kunstige intelligensen og alt annet kan være, er den virkelige prioriteringen til et sosialt nettverk alltid å tjene penger. Derfor, hvis den såkalte "Coca-Cola" kommer og sier: "Jeg vil at alle innbyggere i Hviterussland skal se innlegget mitt," vil de se det, uavhengig av hva algoritmene mener om denne personen og hvordan de skal målrette ham der. Du har sannsynligvis mottatt reklame, i tillegg til super-supermålrettet, fullstendig urelatert tull. Fordi de betalte mye penger for dette urelaterte tullet.

Men en av hovedmålene er å forstå hvilket innhold du samhandler best med, nemlig hvordan du reagerer på det, for å vise deg en lignende reklamehistorie. Og følgelig er dette en beregning av hvordan du samhandler med reklame: hvem forbyr det, hvem gjør det ikke, hvordan en person klikker, om han bare leser overskriftene eller faller helt inn i materialet; og deretter, basert på dette, fortsett å holde deg i denne, som det nå kalles, "filterboble", slik at du fortsetter å samhandle med dette innholdet.

Hvis du noen gang er interessert, kan du prøve i lang tid, i en uke, kanskje en måned, ganske enkelt forby all reklame fra sosiale nettverk: de viser deg en annonse og du lukker den. Hvis du analyserer dette og legger det på en graf, vil det være en interessant historie: hvis du forbyr annonsering i en uke, vil den neste uken vise deg en forbedret versjon og generelt fra forskjellige kategorier; det vil si at du er betinget glad i hunder, og du blir vist reklame med hunder - du har forbudt alle hundene, og så begynner de å vise deg alt mulig variert tull fra forskjellige alternativer for å prøve å forstå hva du trenger.

Og så, til slutt, vil de spytte på deg, markere deg som en person som ikke samhandler med reklame, sette et kryss på deg, og i det øyeblikket vil de begynne å vise deg annonser fra eksklusivt rike merkevarer. Det vil si, for øyeblikket vil du bare se annonser for Coca-Cola, Kit-Kit, Unilever og alle menneskene som tjener enorme penger fordi du trenger å øke visningene. Gjennomfør et eksperiment i en måned: utesteng all reklame i en eller to uker, se så alt på rad, og forby det - til slutt vil du bare se reklame, som det viser seg senere (og reklamebyråene sier), bare kunder som betaler for visninger, fordi det er umulig å forstå hvordan du samhandler med disse annonsene.

Porno blir sett oftere av de som har en tendens til å fordype seg dypt i innholdet.

Følgelig er her en historie om alle typer atferdssporing. Jeg har et interessant eksempel - besøkende på et statlig nettsted. Det morsomme er at jo mer dybde folk har, jo flere av disse foretrekker å se på porno fremfor tradisjonelle forhold. "Beklager" at jeg fortsetter å snakke om dette emnet, men jeg har faktisk et veldig godt forhold til Pornhub, og dette er alltid veldig interessant forskning, fordi dette er et emne som ser ut til å være tabu, men det forteller mye om en person. Og følgende punkter som følger av dette om tilbakevending av trafikk... Vi vil også huske om "Pornohub"!

Hva regnes som personlige data og er det mulig å låse opp en iPhone med en 3D-ansiktsmodell?

Min favoritt er å omgå personvernloven. Hvis du leser den tekniske dokumentasjonen til samme Facebook, som ga noen interne dokumenter (for eksempel til retten), vil du ikke finne noen omtale der om ansiktsgjenkjenning eller stemmeanalyse. Det vil være svært komplekse formuleringer som ingen kvalifisert advokat vil finne innenfor lovverket. Her i Russland fungerer det omtrent på samme måte - jeg skal vise deg denne tingen nå.

Hva ser du her? Enhver normal person vil si at ansiktet. Dette er forresten Sasha Grey, etter min mening. Men juridisk sett er dette en matrise av visse tredimensjonale punkter, hvorav det er 300 tusen. På godt og vondt regnes ikke dette som personopplysninger ved lov. Generelt sett anser ikke det russiske RKN ett fotografi som personopplysninger - det anser det som personlige data hvis det er noe annet i nærheten (for eksempel fullt navn eller telefonnummer), og dette fotografiet i seg selv er ingenting i det hele tatt. Så snart loven om biometri ble innført, og biometriske data ble likestilt med personopplysninger (så, veldig grovt sett), begynte alle umiddelbart å si: dette er ikke biometriske data, dette er en rekke prikker! Spesielt hvis du tar en direkte eller invers Fourier-transformasjon fra denne rekke punkter, virker det som om du ikke kan de-anonymisere en person tilbake fra denne transformasjonen, men du kan identifisere ham. Rent teoretisk bryter ikke denne tingen loven.
Jeg gjorde også en annen studie: dette er en algoritme som bygger en tredimensjonal rekonstruksjon av et ansikt ved hjelp av åpne kilder – vi tar en Instagram-konto og så kan vi skrive ut ansiktet på en 3D-printer. For de som er interessert har jeg forresten en lenke i det offentlige domene; hvis noen plutselig vil låse opp noens iPhone... Bare spøk – iPhone kan ikke låses opp, kvaliteten er redusert.

En lukket profil er et pluss for sikkerheten

Dette er den første tingen, og den andre ... Jeg har allerede berørt det faktum at informasjon hovedsakelig hentes fra brukerens miljø. Jeg tegnet dette bildet i 17: den gjennomsnittlige brukeren av russiske sosiale nettverk er inne, han har et gjennomsnitt på 200–300 venner, hans venner av venner og hans venner av venner av venner.

Takket være sosiale nettverk for å introdusere algoritmer for "smarte" e-feeds, integrerte år, visstnok for å øke sannsynligheten for at du møter noe interessant innhold. Dette er antallet personer som kan se innholdet du produserer når som helst, selv om kontoen din er begrenset bare til de øvre nivåene av personvern (kun for venner av venner, og så videre). Dette er venners venner:

Hvis noen tror at når han velger å se "venner av venner" i "Mine innlegg" på VK, så er tre håndtrykk omtrent 800 tusen mennesker, som i prinsippet ikke er så lite, men avhenger av innholdet ditt. Kanskje du driver med noen uanstendige strømmer, og alle disse vennene til venner kan samhandle med dette innholdet. En av dem kan reposte noe et sted, alle mennesker har en likes-feed, som faktisk mest sannsynlig vil bli kansellert, fordi det ikke er en veldig personlig ting. Derfor kan innholdet når som helst havne et sted.

VK lanserte superlukkede profiler det året, men så langt har bare et svært lite antall mennesker brukt dem (jeg vil ikke si hvor mange, men det er lite!). Kanskje folk en dag vil finne ut av dette - jeg håper virkelig det. All forskning er hele tiden rettet mot å få folk til å forstå omfanget av problemene. For før noen spesifikt blir påvirket av en forferdelig ting, vil de aldri tenke på det. Gå videre.

Offentlige etater vet ikke hva personopplysninger er og har ikke hastverk med å definere dem

Enhver spesialist i personopplysningsrett sier alltid følgende: du trenger aldri å kombinere ulike datakilder, for her har du e-post (dette er kun personopplysninger med noen anonymiserte identifikatorer), her er ditt fulle navn... Hvis denne kombineringen alt, det virker som om de vil bli personlige data. Generelt sett vil det være riktig å berøre dette temaet først, men jeg tror at du allerede er fordypet i det og kanskje klar over hvordan loven fungerer.

Faktisk er det ingen som vet hva personopplysninger er. Viktig konsept! Når jeg kommer til offentlige etater, sier jeg: "En flaske konjakk til alle som kan fortelle deg hva personopplysninger er." Og ingen kan si. Hvorfor? Ikke fordi de er dumme, men fordi ingen vil ta ansvar. For hvis Roskomnadzor sier at dette er personopplysninger, vil noen i morgen gjøre noe, og de får skylden; og de er utøvende myndigheter og bør ikke være ansvarlige for noe i det hele tatt.

Poenget er at loven tydelig sier at personopplysninger er data som en person kan identifiseres med. Og det er et eksempel: fullt navn, hjemmeadresse, telefonnummer. Men du og jeg vet at du kan identifisere en person på grunn av hvordan han trykker på knappene, og på grunn av hvordan han samhandler med grensesnittet, og av andre indirekte parametere. Hvis noen er interessert: i nesten alle områder er det et stort antall smutthull.

Identifikatorer som avslører oss

For eksempel begynte alle å sette punkter for å fange mac-adresser (sikkert du har vært borti dette før?) – smarte (eller jeg vet ikke, grådige) produsenter av mobilutstyr, som Apple og Google, introduserte raskt algoritmer som gir ut en tilfeldig mac-adresse slik at du ikke kan det var mulig å identifisere når du går rundt i byen og sende alle din MAC-adresse. Men de smarte gutta kom opp med neste historie enda lenger.

For eksempel kan du få en mobiloperatørlisens; Etter å ha mottatt en mobiloperatørlisens, vil du få tilgang til denne tingen - SS7-protokollen kalles, der du vil se litt luft fra mobiloperatører; det er en haug med alle slags identifikatorer som ikke er personlige data. Før det var det IMEI, men nå - bokstavelig talt tok noen det av tungen og bestemte seg for å opprettholde en enkelt database over disse "IMEI-ene" i Russland (et slikt initiativ). Det finnes liksom, men likevel.

Det er også, for eksempel, en haug med identifikatorer - for eksempel IMCI (mobilutstyr identifikator), som verken er personlige data eller knyttet til noen andre ting, og følgelig kan det lagres uten noen juridisk forfølgelse, og deretter med hvem Utveksle disse identifikatorene på en eller annen måte for å kommunisere med personen senere.

Kulturen for å jobbe med personopplysninger er lav

Totalt sett er poenget at alle nå er veldig opptatt av å kombinere data med hverandre, og de fleste selskaper som gjør denne kombinasjonen tenker noen ganger ikke på det engang. For eksempel kom en bank, inngikk en taushetserklæring med et selskap som gjør scoring, og overførte 100 tusen av sine kunder til den...

Og denne banken har ikke alltid en klausul i avtalen om overføring av data til tredjeparter. Disse klientene forvrengte noe der, og det er ikke klart hvor denne databasen ble av senere, den gikk ikke - de fleste selskaper i Russland har ikke en kultur for å slette data... - denne "Excel" vil garantert ende opp et sted på sekretærens datamaskin og deretter legge på.

Dataene våre kan bli solgt ved hvert kjøp i butikk

Det er mange ordninger som ser ut til å være nesten lovlige (det vil si lovlige). For eksempel er historien som følger: av de 15 største russiske bankene er det bare to som faktisk er SMS-gatewayer - Tinkoff og Alfa, det vil si at de sender sine egne SMS-meldinger. Andre banker bruker SMS-gatewayer for å sende SMS til sluttkunder. Disse SMS-gatewayene har nesten alltid rett til å analysere innhold (for eksempel for sikkerhet og noen av deres konklusjoner) for deretter å selge aggregert statistikk. Disse SMS-gatewayene er "venner" med skattedataoperatører som behandler sjekker.

Og det viser seg følgende: du kom til kassen, skattedataoperatøren (de ga deg, de ga deg ikke telefonnummeret ditt - det er på en eller annen måte koblet der) ... du mottar en SMS til telefonnummeret ditt, gatewayen til disse SMS-ene ser de siste 4 sifrene på kortet og nummertelefonen. Vi vet på hvilket tidspunkt du foretok en transaksjon fra skattedataoperatøren, og i SMS vet vi (nå) hvilket nummer informasjonen om debitering av en slik og en sum penger med de fire siste sifrene på kortet ble mottatt. De fire siste sifrene på kortet er ikke dine identifikatorer, de bryter ikke loven, fordi de ikke kan avanonymisere deg, og transaksjonsbeløpet heller ikke.

Men hvis du har avtalt med skattedataoperatøren, vet du i hvilket tidsvindu (pluss eller minus 5 minutter) denne SMS-en skal komme til deg. Dermed ble du raskt koblet i OFD til telefonnummeret ditt, og telefonnummeret ditt er knyttet til reklameidentifikatorer, generelt til alt, alt, alt. Derfor kan de ta igjen deg senere: de kom til butikken, og så sendte de deg noe annet tull uten tillatelse. Jeg tror det knapt er noen i dette rommet som noen gang har skrevet en klage til FAS om spam. Det er knapt noen... Bortsett fra meg, sannsynligvis.

Papirer er en arkaisk, men effektiv måte å kjempe for rettighetene dine på

Dette fungerer veldig kult. Riktignok må du vente i et og et halvt år, men FAS vil faktisk sjekke: hvem, hvordan, hvem overførte dataene, hvorfor hvor, og så videre.

Spørsmål fra salen (heretter – XNUMX): – Det er ingen FAS i Hviterussland. Dette er et annet land.

ÅH: - Ja jeg forstår. Det finnes sikkert en analog...

Det kommer innvendinger fra publikum

ÅH: - Ok, dårlig eksempel, beklager. Det spiller ingen rolle. Blant vennene mine kjenner jeg ingen som i det hele tatt vet i prinsippet om eksistensen av en slik historie - at du kan skrive den, og så vil de jobbe i ett år til.

Den andre historien, som også utvikler seg veldig i Russland, men jeg tror du vil finne en analog i ditt eget land. Jeg liker virkelig å gjøre dette, når et offentlig organ kommuniserer dårlig med deg, en bank eller noe annet - du sier: "Gi meg et stykke papir." Og du skriver på et stykke papir: "I samsvar med paragraf 14 i den 152. føderale loven ber jeg deg behandle personopplysninger i papirform." Jeg vet ikke nøyaktig hvordan dette gjøres i Hviterussland, men det er absolutt gjort. I henhold til russisk lov har du ikke rett til å nekte en tjeneste på dette grunnlaget.

Jeg kjenner til og med mange mennesker som sendte lignende ting til Mail.ru og ba om å holde oversikt over deres personlige data i papirform. Mail.ru kjempet mot dette i veldig lang tid. Jeg kjenner til og med en Yandex-utvikler som ble spøkt med: de slettet VK-kontoen hans og sendte ham en haug med trykte skjermbilder, og sa at de ville sende ham skjermbilder hver gang han ville oppdatere siden sin.

Det er morsomt, men likevel er dette et reelt alternativ hvis noen virkelig bryr seg om dataene, på den ene siden... Og på den andre siden fortalte samme RKN at denne avtalen om behandling av personopplysninger er formell, og lov gir flere alternativer for å gi dette samtykket. Og at jeg for eksempel ble invitert hit til et arrangement, og hvis for eksempel Human Constanta ikke kan inngå en avtale med meg om behandling av personopplysninger innenfor rammen av russisk lov (fordi selve det faktum at jeg kom og samtykket til å snakke er samtykke til behandling av personopplysninger) - alle tar fortsatt disse papirtillatelsene. Men RKN fortalte meg noe lignende, at det ikke er et faktum i det hele tatt, at de mest sannsynlig vil forsvinne en dag.

Jeg håper at de i Russland aldri vil opprette en eneste operatør, gud tilgi meg, av personopplysninger, for det eneste verre enn å legge alle personopplysninger i én kurv er å legge dem i statskurven. For hvem vet hva som vil skje med alt dette senere.

Selskaper deler personopplysninger, og lover er svake for å regulere dette

De fleste selskaper utveksler en slags data og identifikatorer med hverandre. Det kan være en butikk med en bank, og så en bank med et sosialt nettverk, et sosialt nettverk med noe annet... Og til slutt har disse menneskene en viss kritisk masse av kunnskap som kan brukes på en eller annen måte, og all denne kunnskapen er sann, prøver nå å holde den på sin side. Men likevel, da havner det likevel i noe annonsetrafikk eller et annet sted.

Å overføre data til tredjeparter er det morsomste som kan skje, fordi lovene ikke beskriver hva slags tredjeparter de er, som de skal anses som "tredjeparter" til. Dette er forresten en veldig vanlig setning av amerikanske advokater - de har det Tredjeparter - hvem, hvem anser du for å være tredjeparter: bestemor, oldemor?.. Det var til og med en slik presedens i Amerika, da noens data ble avslørt, personen anla søksmål, og de beviste at denne personen kjente eieren av dataene gjennom flere venner - et visst antall håndtrykk, de siterte noen merkelige sosiologiske studier - dermed beviste de at disse personene ikke kan anses som tredje parter til hverandre. Morsom. Men det faktum å overføre slike data er veldig vanlig.

Selv om du går til et nettsted hvor det er en teller for identifikasjon, har denne telleren rett til å overføre data fra denne trafikken et sted (til Clickstream, eiere av reklameplattformer for hva som helst, Pornhub, for eksempel). Pornhub, hvis noen av dere er en webutvikler, gå og se hvor mange sporingspiksler det er på Pornhub-nettstedet. Du bare går inn og en stor mengde java-skript er lastet der, som for å forbedre funksjonen til nettstedet. Faktisk er "cookies" på tvers av domener også installert der, noe som ikke er der, fordi denne informasjonen alltid er høyt verdsatt i "clickstream"-markedet.

Facebook vakler og kommer ikke til å ta av seg masken

Naturligvis forteller ingen av de store aktørene noen gang noen til hvem og hvordan de selger data. På grunn av dette prøver for eksempel Europa nå å saksøke Facebook. Rett etter innføringen av GDPR prøver EU å riste opp Facebooks egen avsløring av algoritmer for videresalg av data til tredjeparter.

Facebook gjør ikke dette og uttaler offentlig at de ikke gjør dette fordi de er et "fredsselskap" (jeg siterer fra en e-post de sendte meg) og de er "mot skadelig bruk av teknologi" (spesielt hvis du selger ansiktsgjenkjenning til Kreml). Generelt er poenget at Facebook ikke gjør dette helt ærlig: hovedmålet og det viktigste som vil skje så snart en slik mekanisme blir avslørt, er at det vil være mulig å virkelig beregne marginaliteten til annonsering, det vil være mulig å forstå de reelle kostnadene ved annonsering.

Konvensjonelt, hvis Facebook nå forteller deg at kostnaden for et annonseinntrykk er 5 rubler, og vi selger det til deg for 3 (og, som, vi har to rubler igjen), og de, betinget, mottar 5% av fortjenesten fra disse annonsevisningene. Faktisk er dette ikke 5%, men 505, for hvis denne algoritmen kommer frem (til hvem og hvordan overførte Facebook hvor mange ganger "clickstream", besøksdata, pikseldata til alle slags reklamenettverk), viser det seg at de tjener mye mer enn det som er sagt om det. Og poenget her er ikke pengene i seg selv, men det faktum at kostnaden for et klikk er en rubel, men faktisk - hundredeler av kopek.

Generelt er poenget at alle prøver å skjule slik overføring, det spiller ingen rolle om det er reklametrafikk eller ikke-reklametrafikk, men den eksisterer. Dessverre er det ingen måte å juridisk vite dette, fordi selskapene er private, og alt de har inne er deres privatrett og deres forretningshemmelighet. Men lignende historier dukket opp der veldig ofte.

Narkotikahandlere er forutsigbare og "svidende" på Avito

Det siste bildet fra denne presentasjonen. Det er morsomt, og essensen er at det er visse kategorier av mennesker som er veldig bekymret for deres personlige data. Og det er bra, faktisk! Dette eksemplet handler om en slik kategori mennesker som narkotikaselgere. Det ser ut til at folk som burde være veldig bekymret for sine personlige data...

Dette er en studie som ble utført i begynnelsen av dette året under tilsyn av kompetente myndigheter. Ja, dette er et manus som ble gitt penger til å kjøpe narkotika på Telegram og Thor, men bare fra de personene som kunne identifiseres.

Faktisk stoler nesten alle rusmiddelhandlere i Moskva på det faktum at telefonnummeret deres ikke er i noen åpne kilder, men før eller senere vil de selge noe på Avito, hvorfra det vil være mulig å forstå den omtrentlige plasseringen til disse menneskene. Poenget er at de røde prikkene er der folk bor, og de grønne prikkene er der de går for å la deg vite hva. Dette var en av delene av algoritmen som spådde plassering av patruljetjenester, men disse Moskva-gutta prøver alltid på en eller annen måte å gå diagonalt, lenger unna.

De mener at hvis de bor øverst til venstre, så bør de gå øverst til høyre og de vil definitivt aldri bli funnet der. Det jeg forteller deg er at hvis du prøver å skjule deg for de allestedsnærværende algoritmene, er det virkelig kuleste alternativet å endre atferdsmodellen din: installer en slags "Goster" for å randomisere besøk, eiendeler og så videre. Herregud, det er til og med algoritmer og plugins som endrer størrelsen på nettleseren med et par piksler slik at signaturen, "fingeravtrykket" til nettleseren ikke kan beregnes og på en eller annen måte identifisere deg.
Det var alt jeg ville si. Gi oss beskjed hvis du har spørsmål. Her er en link til presentasjonen.

Spørsmål fra salen (Z): – Fortell meg, fra synspunktet om bruk av Thor, fra synspunktet om å spore trafikk... Anbefaler du det?

Det er vanskelig å skjule, men det er mulig

ÅH: - "Thor"? «Thor» nei, ikke i noen form i det hele tatt. Riktignok vet jeg ikke hvordan det er i Hviterussland - i Russland bør du aldri dra dit i det hele tatt, fordi nesten flertallet av bekreftede "gracenodes" plutselig legger til bestemte pakker til trafikken din. Jeg vet ikke hvilke, men hvis du ser: det er "noder" som markerer trafikk, det er ikke klart hvem som gjør dette, for hvilke formål, men noen merker det i overskriften slik at det kan forstås senere. I Russland er nå all trafikk lagret, selv om den er lagret i kryptert form, og alle troller Yarovaya-pakken om det faktum at kryptert trafikk er lagret, men den forblir merket, det vil si at den ikke kan brukes eller dekrypteres. .

Z: – Den har vært lagret i Europa i lang tid, sikkert ti år.

ÅH: - Ja jeg forstår. Alle ler av dette - som at du lagrer https som ikke kan leses. Innholdet kan ikke leses, men du kan forstå hvor pakkene kom fra ved å bruke visse algoritmer – etter vekten av pakkene, etter lengde, og så videre. Og når du har alle leverandørene under din kontroll, har du følgelig alt ryggradsutstyret og alle passene... Forstår du generelt hva jeg snakker om?

Z: – Hvilken nettleser anbefaler du å bruke?

ÅH: – For «Thor»?

Z: - Ikke i det hele tatt.

ÅH: - Vell jeg vet ikke. Jeg bruker faktisk Chrome, men bare fordi utviklerpanelet der er det mest praktiske. Hvis jeg plutselig trenger å dra et sted, går jeg til en kafé. Riktignok er det ikke nødvendig å logge på med et ekte SIM-kort.

Z: – Du snakket om noen studenter. Underviser du et sted eller gjennomfører du noen kurs?

ÅH: – Ja, vi har mastergrader i datajournalistikk. Vi trener journalister til å samle inn data og analysere dem – de gjør med jevne mellomrom lignende undersøkelser.
Ingen sikre applikasjoner

Z: – Det er ikke trygt å kommunisere med venner på Facebook, Vkontakte, for ikke å motta kontekstuell annonsering senere. Hvordan kan du forbedre sikkerheten?

ÅH: – Spørsmålet er hva du anser som et akseptabelt sikkerhetsnivå. I prinsippet er det ikke noe ord "trygt". Spørsmålet er hva du anser som akseptabelt. Noen anser det som akseptabelt å utveksle intime bilder gjennom Facebook, og noen etterretningsoffiserer mener at alt som ble sagt gjennom munnen, selv til nærmeste person, faktisk er utrygt. Hvis du ikke vil at det sosiale nettverket skal finne ut noe om det, så ja, det er bedre å ikke skrive om det. Jeg kjenner ingen sikre apper. Jeg er redd det ikke er noen. Og dette er normalt fra det synspunkt at enhver eier av en applikasjon trenger å tjene penger på den på en eller annen måte, selv om denne applikasjonen er gratis eller det er en slags media. Det ser ut til å være gratis, men han må fortsatt leve av noe. Derfor er ingenting trygt. Du må bare bestemme selv, for å si det sånn, hva som passer deg.

Z: - Hva bruker du?

ÅH: - Sosiale nettverk?

Z: - Fra budbringere.

ÅH: – Når det gjelder budbringere, bruker jeg hovedbudbringeren til den russiske føderasjonen – Telegram.

Z: - "Viber". Er det trygt?

ÅH: – Hør her, jeg er ikke så kjent med budbringere. For å være ærlig tror jeg ikke på sikkerhet, jeg tror ikke på noe, for det ville nok vært veldig rart. Selv om Telegram er en slags åpen kildekode, og krypteringsalgoritmene har blitt avslørt. Men dette er også en så vanskelig ting, fordi det er en "open source"-klient, men ingen har sett serverne. Jeg tror ikke: det er mye spam, roboter og så videre på Viber. Hvem vet. Jeg synes ikke alt dette fungerer veldig bra.

Hvem er farligere – selskaper eller staten?

Programleder (B): – Og jeg har dette spørsmålet til deg. Se, du nevnte dette i forbifarten et par ganger - at staten... For mye data er ikke veldig bra... Selskapet har for mye data. Vel, det er bare livet, ikke sant? Så hvem skal vi være mer redde for – selskaper eller staten? Hvor er fallgruvene?

ÅH: – Det er et veldig vanskelig spørsmål. Det grenser. Kompleks etisk barriere. En person, hvis han ikke har noe å frykte, hvis han ikke har brutt loven, i prinsippet, hvorfor trenger han privatliv? Selv om jeg ikke tror det, mener staten det. Kanskje det er et korn av sannhet i dette. Hør her, det jeg er mest redd for er hackere – noe sånt som dette. Faktisk den største grusomheten jeg har sett i mitt liv (fra hele dette emnet): for omtrent halvannet til to år siden ble en pedofil fanget i Moskva-regionen, og under etterforskningsaksjonene fant de flere Python-opplæringer og skript på datamaskinen hans, API VK. Han samlet inn beretningene til jentene, analyserte hvem av dem som var i nærheten, samlet innholdet som de... Kort sagt, du skjønner ideen. Dette er den største dritten jeg noen gang har sett. Og det er dette jeg virkelig er redd for, at noen en dag vil gjøre noe lignende.

Et annet lite "offtopic": Den europeiske organisasjonen for statssikkerhet laget en rapport det året om at antallet tyverier fra bankkontoer økte med rundt 20, 25 prosent når et hemmelig spørsmål ble hacket. Bare tenk nå på det hemmelige spørsmålet ditt i banken, og tenk om jeg kan finne svaret på det fra åpne kilder. Hvis du har morens pikenavn eller favorittretten din der ... Generelt analyserte folk kontoene, basert på dette forsto de navnet på favorittkjæledyret deres - noe sånt som dette ...

Z: – Du sa at selskaper og selskaper samler inn nødvendig informasjon ved hjelp av algoritmer? Du vet sikkert hvordan?

ÅH: – Det var en bevegelse av mennesker som på en gang kjørte fotografier gjennom et spesielt filter, slik at dette filteret ville bryte analysen av bildene, slik at det på en eller annen måte skulle være umulig å identifisere disse personene senere. Her ga jeg deg et eksempel: Facebook slet med meldingskryptografi. Og hvis denne tingen dukker opp og blir utbredt, vil sosiale nettverk sannsynligvis bekjempe den. I tillegg fungerer bildegjenkjenning nå veldig bra, og dette grenser til det faktum at nivået som er tilstrekkelig til å "bryte" dette bildet (for å "bryte" algoritmen som gjenkjenner disse bildene) - mest sannsynlig er ingenting klart på det lenger vil ikke være.

Alle typer glitch-filtre fungerer bra hvis det er en sterk direkte forskyvning i halvparten av bildet. Kontoen din vil da ta på seg alle fargene til LSD. Rent teoretisk synes jeg ikke det er veldig skummelt om Facebook for eksempel finner ut hva slags bil jeg har – sannsynligvis hvis jeg ikke logger meg inn på bilen via Facebook.

Glemselloven fungerer, men ikke på Internett

Z: – Har du møtt en bruker som tvang deg til å respektere ham, slette ham, få tilgang. Du opererer med store datamengder, du varsler sannsynligvis om det. Folk kan kontakte deg. Hvor mange prosent?

ÅH: – Jeg skal fortelle deg det nå. Nå er det her det blir virkelig interessant. Nå skal jeg telle hvor mange som kommer, for etter arrangementet kommer alltid 15-20% inn, fyll ut et skjema for å slette data - det er noe slikt. I realiteten dreier dette seg om 7-8 % av lukkede kontoer som vi ikke analyserer, og ca 5 personer av tusen som ber om å få slettet dataene sine. Dette er veldig lite, selv etter min ydmyke mening.

Problemet her er dette: det er noe slikt som loven om glemsel. Men loven om glemsel, i hvert fall i Russland, gjelder lovlig bare søkemotorer. Det står akkurat der: søkemotorer. Og det betyr å slette bare lenker til materialer, og ikke selve materialet. I virkeligheten, for å fjerne noe fra Internett, må du omgå alle disse kildene, så jeg tror i utgangspunktet ikke på dette. Vi prøver å advare brukerne om at de må tenke seg om før publisering.

Så langt er denne prosentandelen svært liten - 5-7 personer av tusenvis. Forresten, om loven om glemsel: alle kjenner en så kul sak "Sechin mot RBC". Glemselloven fungerte, artikkelen ble slettet, men den er overalt. Du forstår at hvis noe en gang kommer på Internett, vil det aldri forsvinne derfra.

Brukere blir slettet, men de identifiseres ved typisk oppførsel

Z: – Tror du ikke at folk som sletter kontoene sine og prøver å bli et «svart hull» vil ha en ulempe i forhold til andre økonomiske aktører?

ÅH: – Mest sannsynlig, ja – denne situasjonen vil være ugunstig for dem. Det er mange rabatter og tilbud som avhenger av dem. Men rent teoretisk, hvis en person sletter en konto nå... Det er populært blant alle slags ekstremister, når de sletter en konto og lager en falsk, men fortsetter å samhandle med det samme innholdet - denne personen, igjen, kan identifiseres (spesielt hvis det er innenfor samme sosiale nettverk, fra én datamaskin - dette er vanligvis et spørsmål); Rett og slett basert på innholdsforbruksmodellen vil det være mulig å finne denne personen dersom det er en slik oppgave.

Jeg håper at det i løpet av de neste 5 årene vil dukke opp en slags teknologi for å tjene penger på disse dataene, når det faktisk vil være mulig å betale en person penger - du betaler selv og vi vil ikke bruke dataene dine. Men jeg tror at hvis noen Instagram introduserer et betalt abonnement, vil ingen bruke det, så alternativet er å betale brukere for dataene deres. Men dette vil ikke skje veldig snart, fordi lobbyen til skumle bedriftsgutta vil ikke tillate at en slik lov blir vedtatt, selv om det ville vært kult. Men poenget her er at det er umulig å anslå den virkelige verdien av en persons data på et bestemt tidspunkt.

Facebook - lekke gutter

Z: - God ettermiddag. Ganske nylig dukket det opp nyheter om at Facebook har til hensikt å integrere alle sine prosjekter, inkludert Instagram og Facebook, WhatsApp og så videre. Hva tror du, fra et personlig datasynspunkt, når disse programmene nå på smarttelefonen min ser ut til å henge separat, men de fortsatt tilhører Facebook?.. Hva vil skje videre?

ÅH: - Jeg forstår. Juridisk sett tilhører de Facebook allerede, og det kan forene dem ukontrollert i seg selv, så jeg tror at ingenting vil endre seg. Det eneste er at nå er det nok å hacke en applikasjon for å få alt på en gang. Og Facebook... Jeg håper de ser på. Forferdelig lekke karer alle steder.

Den siste tiden har det dukket opp mye informasjon om dette – om datalekkasjer fra Facebook. Dette viste seg ikke fordi Facebook plutselig begynte å miste disse dataene, men fordi GDPR nå tvinger selskapet til å advare på forhånd. Og den største boten er hvis det oppsto en lekkasje, men selskapet holdt taus om det, og det er derfor Facebook nå snakker om det selv. Dette betyr ikke at disse datalekkasjene ikke har skjedd før.

Z: - Hallo. Jeg har et spørsmål om datalagring. Nå innfører hver stat en lov for å sikre at borgernes data lagres på territoriet til den staten. Hvilken betingelse er tilstrekkelig å oppfylle for å overholde denne loven for noen internasjonale applikasjoner?.. For eksempel Facebook: det er bare én database...

Hvordan overholde disse vilkårene?

ÅH: – Hør her, lovlig trenger du bare å leie en server i dette landet og sette noe på den. Problemet er at det ikke finnes noe kompetent tilsynsorgan. Facebook-data finnes ikke i Russland. Roskomnadzor slåss og slåss med dem, slåss og slåss... Facebook har en del av serverne der grensesnittet til nettopp denne Facebook ligger, og det er umulig å sjekke hvor dataene faktisk ligger og hvordan de er synkronisert.

Z: – Sjekke trafikken?

ÅH: – Sjekke trafikken? Ja. Men trafikken kan da gå til et eller annet hovedpunkt. I tillegg kan det være noe sånt som en VPN eller noe annet mellom serverne. Rent teoretisk er det ingen måte å kontrollere at for eksempel en systemadministrator ikke en dag vil logge seg på denne serveren og ta noe derfra. Det vil si at denne loven ikke ble laget for databeskyttelsens skyld, men for å sikre at selskaper åpner representasjonskontorer, betaler skatt og lagrer varer i landet. Men etter min mening er dette et slags veldig merkelig initiativ, for å være ærlig.

Z: – Så det er nok å faktisk sjekke grensesnittet?

ÅH: Noen kan komme til deg og sjekke at dataene dine er der. Men du kan vise en slags Excel, og ingen vil kunne sjekke det, knapt noen vil sjekke det. Nå ser de rett og slett på IP-adresser: at IP-adressen knyttet til domenet ligger på landets territorium – de sjekker ikke videre. Nå kommer de sannsynligvis for å sjekke meg.

Det er ingen tjenester du kan stole 100% på, men anstendige mennesker har ingenting å frykte

Z: - Dette er nyheter, gjengitt mange steder: en fyr postet det fra Microsoft, laget en tjeneste for å sjekke...

ÅH: – Noe sånt som: har passordene dine blitt lekket? Faktisk, etter de samme lekkasjene på Facebook, lanserer den samme Facebook alltid en slags backup-sider hvor du kan sjekke at den ikke er inkludert i denne databasen – igjen, GDPR krever dette. Det vil si, hvis du ikke gjør denne tingen, vil du ikke føle deg veldig bra. Derfor presenterer alle nå disse prosjektene som «dette er vårt initiativ»; faktisk krever loven det. Dette er faktisk en veldig kul ting, men jeg ville egentlig ikke stole på slike verifiseringstjenester hvis du trenger å sende noe mer komplekst enn passordet ditt, fordi mange mennesker har de samme passordene.

Z: – Du skriver bare inn e-posten din, og de forteller deg allerede hvor mange ganger den ble kompromittert...

ÅH: – Jeg stoler faktisk ikke på slike ting, fordi det er veldig enkelt å koble deg til denne nettleseren, til en ekte konto. Spesielt hvis du bruker tjenestene til de samme personene som lanserte denne siden. Det er som det året da Facebook sendte: Hvis de intime bildene dine ble lekket på Facebook, sender du dem til oss og vi vil sjekke hvor de ble nevnt.

Jeg vet ikke hva slags PR-mareritt dette er og hvem på Facebook som kom opp med det, men det skjedde virkelig. De ville se om noen hadde sendt nakenbilder i private meldinger. Dette tjener i prinsippet gode formål, men er så merkelig som mulig. Jeg ville ikke stole på det.

Z: - Og ett spørsmål til. Hvor høy er risikoen for lekkasje for den gjennomsnittlige brukeren? Fare for skade fra lekkasjer.

ÅH: - Jeg forstod deg. Det avhenger av hva slags data som skal lagres. Jeg tror ikke veldig høyt. Det verste er hvis e-postene og passordene dine lekker et sted, og du har dette passordet overalt – ja. Generelt tror jeg at brukerne har lite å frykte. Men med mindre, selvfølgelig, de lagrer noen opphugging i Google mail. Det var mange eksempler.

Den mest kjente historien er på Google, da en jente ble kidnappet i Utah, kunne de ikke finne henne, og på et tidspunkt sendte kidnapperne henne bilder i et arkivert vedlegg. Og Google, som skannet dette vedlegget, fant tegn på barnepornografi. De fant alle. Og de klarte også å saksøke Google for brudd på konfidensialiteten til korrespondanse. Denne rettssaken tok ganske lang tid. Men likevel tror jeg at den gjennomsnittlige brukeren ikke har noe å frykte hvis han ikke gjør for eksempel passet sitt offentlig tilgjengelig. Dette er en dobbel historie – avhengig av hva slags data og hva slags bruker. Kanskje nå er det greit, men om 15 år, når han blir en slags offisiell, vil noe av materialet hans komme frem i lyset.

Hvordan fungerer det med regjeringen?

Z: - Takk skal du ha. Du snakket litt om å forske for staten, offentlige etater, tjenester og samarbeide med dem. Kanskje du kan fortelle oss litt mer om noen aktuelle prosjekter. Enda mer, hvis du kan, om ... To spørsmål: det første er aktuelle prosjekter, og det andre er om det var noen slike forslag fra offentlige tjenester ...

ÅH: - Uanstendig!

Z: - Ja. Når du tenkte: kanskje du ikke burde gjøre dette.

ÅH: - Jeg skal fortelle deg. Jeg forteller dette til alle. Denne personen og jeg kranglet lenge på Twitter. Jeg fikk en gang et spørsmål fra Milonovs Twitter-team om å finne lærere som ser på homofil porno. Vi sa umiddelbart nei. Men det er noen, brev kommer ofte, og veldig ofte er det forbundet med noen opposisjonelle, samlinger. Vi driver ikke med slikt tull, alle kaster dritt på oss uansett. Jeg skammer meg ikke over dette.

Vi har følgende retningslinjer angående "stater": vi utvikler programvare, programvare for tredimensjonal rekonstruksjon, ansiktsgjenkjenning og dataanalyse. Det er veldig vanskelig å si nøyaktig hva de gjør, men modellene inkluderer kriminalitetsprognoser, ting knyttet til statens sikkerhet i byen, folks bevegelser, geomarkedsføring og så videre. Fra plassering av gjenstander i det indre bymiljøet til identifisering av pedofile, voldtektsmenn, galninger og alle slags skurker.

Ærlig talt, vi engasjerte oss ikke i noen opposisjonelle aktiviteter. Kanskje de ikke forteller oss dette til ansiktene våre. Faktisk er dette et veldig stort problem - samarbeid med "regjeringene", fordi de ikke alltid forklarer hva oppgaven er. De forteller deg: lag programvare for å identifisere husmødre, men de kommer faktisk til å gjøre noe annet med det - alt går i stykker.

I tillegg er staten en veldig interessant og merkelig klient som hele tiden prøver å sette inn tre cent i forskningen din, og ofte er deres tilnærminger og forståelse av maskinlæring veldig overfladisk. Jeg har for eksempel en egen forelesning om maskinlæringsfeil. Jeg gir alltid et eksempel der: da vi laget et kriminalitetsprognosesystem i Moskva-regionen, sa kunden: der de selger vannmeloner, vennligst øk koeffisienten med fire ganger. Og så viste det seg faktisk at stedene det selges vannmeloner ikke er kriminelle i det hele tatt. Dette er rett og slett feil av en person som bidrar med sine tanker.

Kort sagt, staten er en kul klient, det er mange interessante oppgaver der. De fleste kommer ned til lignende modeller for å forutsi noe. Oftest er dette en slags urban infrastruktur.

Z: – Er det noen kilder du kan følge med på forskningen din? Mye informasjon. Slik jeg forstår det er mye av det fortsatt over bord. Dine sider, noe annet...

ÅH: – Jeg har ikke personlige sider.

Z: – Sannsynligvis er Facebook allerede stengt?

ÅH: – For omtrent fire måneder siden var det en historie: de sendte oss alle så store brev at "dere er freaks, dere selger alt til Kreml, dere bryter alle Facebooks regler." De sendte til og med hunden min et brev: "Hei, Mars blue corgi, du samler inn data!" og så videre. Hør, vi endrer merkevare nå. Om to-tre uker vil nettsiden vår være oppe og alt vil bli oppdatert. Dette blir noe å se på. Men vi er veldig late rett og slett i denne forbindelse.

Hvordan kan du bestemme påliteligheten til en VPN?

Z: – Når sa du at du ville gå på kafé uten å identifisere deg med telefonnummeret ditt? Og under hva?

ÅH: – Du kan ikke si «under andres navn», fordi dette er en oppfordring til å bryte identifikasjonsforskriften. Nei nei nei. Jeg tuller. Nå identifiserer nesten alle kafeer alt - det er ikke bare et telefonnummer, det er en haug med piksler, det er enhetsidentifikasjon, MAC-adresse og annet, for senere å bruke det - fra reklameformål til operasjonelle søkeaktiviteter. Derfor må du være veldig forsiktig med slike ting. Ikke bare kan du skrive noe, men de kan skrive fra enheten din, og så skjer det noe.

Du har kanskje sett historien om hvordan de nå gjennomfører en undersøkelse av hvordan (forresten også i Hviterussland) de leier ut Facebook-kontoer, for eksempel for kasinoannonsering. Men faktisk er det ukjent hvorfor, de gir også tilgang til en datamaskin. Dette er den typen ting du må unngå så mye som mulig. Hvis du bestemmer deg for å skrive noe anonymt fra et sted... Jeg ville kommet til en kafé og skrudd på en kul VPN. Men faktisk (igjen, jeg peker ikke fingre til noen), når du har en konto med en VPN, sjekker du hvem som eier denne VPN-en, hvilket selskap, hvem som eier dette selskapet, og så videre. For de fleste aktørene i VPN-markedet er ikke akkurat gode gutter.
Vel, ok, i Hviterussland spiller det ingen rolle. I Russland sjekkes en god VPN av om azino777 er blokkert der eller ikke. For hvis ikke, så er det stor sannsynlighet for at denne VPN-tjenesten stenges innen en uke. Generelt, sjekk alt.

Om automatisk sletting av meldinger

Z: – Du snakket så mye om personlige meldinger at sosiale nettverk leser dem... Men for eksempel har Facebook hemmelige personlige meldinger som kan settes (bortsett fra det faktum at de også er kryptert) for ødeleggelse. Hvordan kan du kommentere dette?

ÅH: - Aldri. For det første er jeg ingen superprofesjonell innen kryptografi, og for det andre er problemet her at ingen har sett Facebook-serveren, ingen vet hvordan det hele fungerer der. Konvensjonelt sier noen spesifikasjoner at dette er ende-til-ende-kryptering, men det er kanskje ikke slik, eller det er ende-til-ende, men med noen feil eller noe annet. Det er fornuftig å bruke en slik ting hvis du er redd for at personen du sendte det til på et tidspunkt vil prøve å gjøre noe.

Telegram har en praktisk funksjon for å sende intime bilder som sletter seg selv: når du prøver å ta et skjermbilde, slettes det automatisk. iPhone har nå en funksjon for å ta opp video fra skjermen, og du kan ta opp video fra skjermen og så videre... De sender meg bare veldig ofte materiale med denne funksjonen (auto-delete) - jeg forstår aldri hvorfor. Jeg kan laste den ned med en gang! Alt er etter ditt skjønn.

Sosial vurdering i Kina: myter, virkelighet, utsikter

I: – Jeg misbruker det faktisk litt, selv om jeg ikke trenger en VPN (forresten, vi har en velprøvd VPN). Og spørsmålet handler om etikk. Vi har en fantastisk venn fra Kasakhstan, vi tok ham også med for å holde et foredrag. En gang satt vi sammen med ham på en konferanse, hvor de snakket om forskjellige ting, og han sa (og han tar for seg cybersikkerhet, det vil si i sin rene form, ingeniørsikkerhet, en person som er interessert i tekniske løsninger): «Her, Jeg kom tilbake fra Kina. De gjør en så kul ting der – sosial vurdering.» Forresten, har du forsket på dette problemet, hvordan fungerer det for dem?

ÅH: – Vi selger scoring i Russland, jeg vet mye om det.

I: – Så jeg har et spørsmål, hva vil du fortelle oss mer om dette – om hva som kanskje venter oss alle i fremtiden. Men et annet spørsmål om etikk. Han sa så glad: "En interessant ingeniørløsning!" Har du dine egne etiske retningslinjer?

ÅH: – Ja, det er det forresten. For to år siden introduserte vi det - like etter historien med Milonov bestemte vi oss for å rangere disse prosjektene på en eller annen måte. Tilbake til vurderingen: dette er et av de superpopulære spørsmålene, fordi media i stor grad demoniserer hele denne historien - at folk ikke får reise til utlandet, de blir drept med en laser fra månen. Jeg bringer deg, igjen, tekniske ting...

Hvis du begynner å grave i denne historien, se på hvilke parametere som er inkludert i denne sosiale vurderingen, vil du forstå: den inkluderer lukket underholdsbidrag, kriminelle poster, kreditthistorie, det vil si en virkelig fantastisk ting fra et teknisk synspunkt. Du lever uten å bryte loven, du lever godt – de gir deg lav lånerente. Du har en viktig sosial jobb (for eksempel lærer) - du får egnet bolig. Først forvirret dette alle, for først ble det lekket ut en historie om at hvis du skriver dårlig om presidenten, vil vurderingen din bli redusert. Selv om det ikke var bevis. Til forsvar for vurderingen vil jeg si mot vurderingen at ingen har sett algoritmen, hvilke parametere som faktisk brukes der.

Så dukket det opp en historie om at mer enn en million mennesker ikke fikk reise til utlandet og fikk utreiseforbud. Dette er faktisk ikke en helt nøyaktig formulering. Når du mottar et visum (for eksempel til Europa), får du et visum til en kurs på "70 euro per dag" (noe sånt); Dersom du ikke leverer bevis på inntekt, får du ikke visum. I Kina bestemte det lokale utenriksdepartementet seg for å gå litt lenger: det advarte rett og slett umiddelbart folk som ikke har nok penger om at hvis du vil til utlandet, vil du ikke ha nok penger. Alt dette ble følgelig senere kanalisert inn i konseptet om at fattige ikke har lov til å reise til utlandet. Dette er en kompleks etisk ting, det grenser til en viss formodning om skyld eller uskyld, men jeg kan faktisk ikke gi en vurdering.

Folk dreper, ikke våpen

Det viktigste du trenger å forstå er at alle disse algoritmene som samfunnet fordømmer ikke er problemet med algoritmene. Algoritmer gjorde det ganske enkelt mulig å veldig raskt analysere et stort "volum" av mennesker, og dette sosiale problemet ble hevet til toppen. Det vil si en Microsoft-bot som lærte av tweets og ble en rasist - det er ikke botens feil, men tweetene den leste. Eller et selskap som bestemmer seg for å bygge en modell av en ideell medarbeider ved å analysere de nåværende, og det viser seg at dette er en hvit, kjønnskjønnet mann med høyere utdanning.

Dette er ikke en modell som er rasist, sexistisk eller noe annet; dette er menneskene som ansatt disse menneskene (enten de hadde rett eller galt - det spiller ingen rolle). Alt grenser rett og slett til det faktum at kunstig intelligens er ond, dårlig, og den vil ødelegge verden, men faktisk... Hvis, betinget, nå, for eksempel, den russiske regjeringen vedtar en lov om at opposisjonistene ikke vil bli gitt fri. utdanning, og de vil skrive programvare som identifiserer og fratar dem denne gratis utdanningen - det er ikke algoritmen som har skylden. Selv om ingen støtter dette konseptet mitt, for når jeg sier at det ikke er våpen som dreper mennesker, men mennesker, "er du en fascist" og så videre.

Generelt er dette en veldig kul ingeniørløsning. Du må forstå hvorfor dette ikke vil skje, for eksempel i Russland. Du [i Hviterussland] vil ikke ha dette, fordi du er en europeisk stat, alt er bra med deg. Dette vil ikke skje i Russland av mange grunner: For det første har vi ikke samme grad av tillit til rettshåndhevelsessystemet som i Kina; Vi har ikke samme nivå av digitalisering. Hvorfor fungerte alt i Kina? Fordi regjeringen: de har digital medisin, digital forsikring, digital politi. Og noen smarte kom på ideen: la oss sette alt sammen og lage det - i hovedsak er det et lojalitetsprogram. Det er flere godbiter enn "ikke-godbiter".
Derfor, ja - jeg tror at dette ikke vil bli innført i Russland. Først må vi digitalisere hele Helsedepartementet (og dette er en oppgave i 50 år) - noen må sette livet til for å gjøre dette, men ingen vil naturligvis gjøre dette. På den annen side er russiske banker ledende i verden når det gjelder å score folk, de gjør ingenting: "Ja, mann? Liker du unge jenter? Her er et kredittkort til elskerinnen din.» Alt er veldig avansert der. For eksempel, i Amerika, er denne typen scoring forbudt nesten overalt, fordi det er lover som banken er forpliktet til å forklare deg hvorfor: "Aha! Fordi Social Data Hub-selskapet beholder historien i 10 år, og så-og-så avslørte noe om deg! Og la oss saksøke dem begge! Men vi har ikke slike historier.

Hvorfor holdes statistikk stille?

I prinsippet støtter jeg scoring, hvis det ikke er en slags "totalitær" historie. Men hele spørsmålet er at det er umulig å forutsi og vurdere. Dette er den vanskeligste historien innen big data-etikk – å forutsi den sosiale effekten som vil være der om 15 år. For eksempel har jeg tigget påtalemyndigheten i svært lang tid om å åpne informasjon om kriminalitet. Kriminalitetsstatistikk er en av hjørnesteinene i enhver statistikk; alle vil virkelig dette. Men, for eksempel, i Russland åpner de ikke kriminalitetsstatistikk av en veldig enkel grunn: de er redde for å forstyrre demografien i byer. De tror at folk vil slutte å bo i noen byer, og selv innenfor byen vil alt på en eller annen måte bli omfordelt. Av samme grunn avslører de ikke Unified State Exam-statistikken - du forstår at folk vil gå på noen skoler, og ikke til andre.

Kanskje dette er riktig, kanskje ikke, men det har vært mange prosjekter ... For eksempel bestemte Yandex på en gang (igjen, ifølge de "gule" ryktene, jeg så det ikke, jeg vet ikke) legg til antall angrep på drosjesjåfører til eiendomsprognosemodellen , det vil si en slags tilnærming til kriminalitetsnivået, telle antall klager fra taxisjåfører om at noen trakasserte dem, truet dem, og så videre. De avviste det raskt innad i selskapet for ikke å gjøre slike ting.

Z: – Du kommuniserer med studenter, kommuniserer med publikum i landet ditt, i landet vårt. Du la merke til fra antall spørsmål fra publikum at vi fortsatt er på det utviklingsstadiet når vi tror at vi trenger konfidensialitet, at vi kan gjemme oss for noen, beskytte dataene våre ved å ikke gi dem, ved å skjule dem, ved å kryptere dem. Hvis EU allerede har gått til neste trinn, personvernstadiet, som innebærer kontroll over data - for å tvinge alle som samler inn dataene dine til å gi deg effektiv kontroll over dem... Basert på utvalg etter region, etter sosiale lag - hvilken kategori av innbyggere, mennesker, er mer Har hun allerede flyttet til andre trinn, eller hvem andre sitter mest på den første?

Hvem er mest opptatt av sikkerheten til personopplysninger?

ÅH: – Totalt flertall... Jeg vil si: ingen bryr seg! Dette bekymrer topplederne nå. Etter by i Russland er dette Moskva og St. Petersburg. Det aktive senteret er IT-spesialister, designere, kreative yrker, alle som vet hvordan man filtrerer innhold, får ny kunnskap, med høy interesse for internasjonale spørsmål. Dette er i hovedsak toppledere; ja, IT-spesialister (ikke medregnet sikkerhetsspesialister); bankfolk - det vil si alle menneskene som på en eller annen måte kan bli påvirket av en datalekkasje.

Hvis for eksempel dataene til en huseier fra en eller annen Kaluga blir stjålet, er det usannsynlig at noe seriøst vil endre seg i livet hans hvis noen stjeler fra ham, for eksempel tilgang til gmail, der han lagrer tilgang til TV-serier. Spørsmålet er at loven beskytter alle likt, og dette er riktig, for... fra lovens synspunkt er alle like - haha... men det viktigste er at det er umulig å forstå hvem sin data vil være verdt hvor mye før disse dataene forsvinner - dessverre er det veldig vanskelig å forutsi. Men i utgangspunktet denne kategorien av borgere.

Telefon - i folie!

For den eneste gangen i mitt liv så jeg fullstendig lagring av alt og alt i to selskaper. Den ene er den største informasjonssikkerhetsintegratoren: alt der, selv USB, er forseglet med lim inne på kontoret; og menneskene der er de samme - jeg møtte en mann der som hadde telefonen sin i en foliepose. Jeg fant ut at det finnes firmaer som selger spesielle vesker som dette. Og andre gang så jeg en lignende historie i Bloomberg blant de ansatte: vi sto i røykerommet, og noen tok bilder et sted, og en av dem - "Slik at vi ikke kunne bli sett der i bakgrunnen!" Jeg var som, "Å, wow"!

"Vi er bedre enn FSB"

Jeg vil ikke si at dette er mindre enn én prosent av befolkningen, men dessverre, i den generelle massen, bryr seg nesten ikke alle. Men på den annen side har jeg en skandaløs tjeneste for å overvåke handlingene til mindreårige (vi lanserte den for lenge siden under slagordet "Vi er bedre enn FSB"), for å advare foreldrene om at en mindreårig lager søppel , før vår egen algoritme, installert hvor -noen vil bli sendt til ham.

Når du verifiserer et barn, må du sende en skanning av passet ditt (dette er i prinsippet normal praksis), men vi skrev at du kan kutte av passnummeret fordi vi ikke er interessert i det; Vi er kun interessert i ditt bilde, hologram og for- og etternavn. Og for nesten 100 % av folk - vel, rundt 95 pass av 100 - kuttet folk forsiktig ut disse tallene i Photoshop og sendte bare den nødvendige delen. Det vil si, de forsto - ja, siden de ikke trenger det, trenger de ikke sende det. Etter min mening er dette en slags reell fremgang, som ble foranlediget av deres manglende tillit til oss.

Z: – Utvalget er så spesifikt. Det er folk som søker, de er allerede avanserte.

Folk ønsker ikke å bli sporet, men leser ikke avtaler

ÅH: - Ja. Og den andre tingen er den samme: vi lanserte en datingapplikasjon for en test på slutten av det året (vi vil relansere den snart). Det var en kontrollgruppe på 100 tusen mennesker. Og der, i henhold til GDPR-tilnærmingene, var det 15 avmerkingsbokser i min personlige konto - jeg gir tillatelse til å analysere interaksjon med grensesnittet, få tilgang til demografien min, få tilgang til tredimensjonal ansiktsrekonstruksjon, få tilgang til mine personlige meldinger, og så videre . Vi har beskrevet alle mulige tilganger så mye som mulig. Det er til og med statistikk et sted om hvem som krysset av i hvilke bokser. 98% lot alle boksene være merket av som standard (til tross for at de gikk til denne siden og så alt, men de brydde seg ikke), men det var interessant å analysere disse 2% for hva som var en prioritet for folk.

Alle fjernet tillatelse til å få tilgang til personlige meldinger og nesten alle fjernet tillatelse til å få tilgang til seksuelle testdata (hva de liker der, hva de fylte ut der, deres perversjoner – bare tuller). Men folk ble sparket inn i dette, stukket: grensesnittet forteller dem - les dette nøye, det gir deg muligheten til å bla gjennom denne avtalen til slutten. Men dette ble gjort utelukkende fordi det var et forskningsprosjekt og alle ble advart. Ikke et eneste selskap, inkludert oss, når de slipper denne applikasjonen til det offentlige domene, vil tvinge en person til å lese denne meldingen til slutten, fordi ... vel, beklager, det er slik det hele fungerer.

Forutsatt at de kom til oss, visste hva selskapet gjør, vel vitende om at de gikk til en tjeneste som vil tilby deg kandidater basert på hva slags porno du liker - selv basert på dette, leste bare 2% disse avmerkingsboksene og gjorde generelt noe . Og nesten ingen av dem fjernet merket for "Tilgang til trafikk og data om besøk på andre nettsider." Stort sett alle var bekymret for personlige meldinger.

Nakenhet og fengsling for likes - interessante lover i broderrepublikkene

Z: – Jeg har et spørsmål om databeskyttelse. Du kan bære telefonen din i folie, late som om de ikke er der... Så viser det seg at du liksom lagrer den, lagrer den, men så må du gi dataene dine til staten, fordi den krever av deg, og du kan bare ikke... Og så viser det seg at offentlige entreprenører alle er fulle av hull. Og i Hviterussland er det også en slik norm: Hvis jeg sjekker sikkerheten til mine personlige data (jeg retter noe og får tilgang til det), er jeg umiddelbart en kriminell. Den samme artikkelen ble brukt til å anklage journalister i «BelT-saken» for å få uautorisert tilgang til data (du kan lese det selv). Så mitt eget spørsmål er: er slike restriksjoner et effektivt tiltak for personvernet, og generelt for sikkerheten til private data?

ÅH: - Jeg forstår. Det er mange veldig interessante lover i Hviterussland. Jeg fant nylig ut... Jeg fortsetter å spøke med å kringkaste nakenhet, men det viser seg at dette er forbudt her.

Z: – Demonstrasjon er forbudt!

ÅH: - Dette er egentlig litt merkelig.

Z: – Du kan se, du kan ikke overføre, du kan ikke like. Dere kan ikke se det sammen!

ÅH: – Jeg skal svare på spørsmålet ditt. La meg gå tilbake til temaet "å bli fengslet for likes" i Moskva. I Russland er dette tema nummer én. Jeg vet ikke hvordan det er i Hviterussland, men, ærlig talt, staten... Hvis du analyserer statistikken, i Moskva er 95 av 100 arrestasjoner for likes når folk klaget på folk, skriver noen til påtalemyndigheten om en annen person. Staten setter svært sjelden i gang slike saker. Det virker for meg at denne loven er helt absurd. Jeg kjenner ikke en eneste ekte kriminell som ble fengslet for dette. Men dette tiltaket brukes til å tilskrive en person i det minste noe. Det virker på meg som om dette er så merkelig som mulig. Jeg tror det vil bli kansellert en dag.

Z: – Dette kalles å holde lokk.

ÅH: - Vel, ok... det kan jeg ikke si. Jeg er ikke akkurat et prostatmonster, men oppfatningen min er litt endret, vet du, av folk som kommer til oss og sier: "Barnet mitt er savnet, hjelp meg å finne det." Jeg sier: "Jeg kan ikke gjøre noe uten rettens tillatelse." Du ser på disse foreldrene som ville gitt alt i livet deres, gitt tilgang til alle data, bare for å løse problemet deres. Derfor er det veldig vanskelig for meg å ha en slik diskusjon: På den ene siden mener jeg at staten gjør det rette når den fanger ekte mennesker, men på den andre siden er det å gi ukontrollert tilgang en generelt forferdelig historie.

Jeg går tilbake til stykket ditt, "beklager" for å bli distrahert. Jeg tror ikke på folieposer i det hele tatt. Å ha en mobiltelefon og pakke den inn i folie er litt dumt. Hvorfor gjøre dette? Slik at telefonen ikke kobles til Wi-Fi? Det er lettere å slå den av. Slik at mobiloperatøren ikke identifiserer deg? De kan fortsatt trilatere signalet og på en eller annen måte beregne det. For meg er de eneste effektive sikkerhetstiltakene sikker lagring, som et lokalt nettverk – kanskje i en leilighet, hvor du kan lagre noe.

Z: – Det er spørsmål om lovverket. Er lovgivningen undertrykkende overfor en person som ønsker å sjekke dataene sine?

ÅH: – Jeg forstår, ja. Jeg visste ikke engang om dette, så jeg kan ikke si det sikkert. Det er ikke noe slikt i Russland, selv om alt er veldig komplisert der. Sannsynligvis kan du rådføre deg med kvalifiserte advokater, og kanskje det er et slags smutthull - kanskje du kan henvende deg til en europeisk domstol... Nei? Jeg kan ikke fortelle deg om dette. Min kunnskap om juss er overfladisk, på nivå med bedriftsleder. Jeg vet hva jeg ikke skal gjøre uten at noen har fortalt deg noe. Dette er selvfølgelig veldig trist.

Z: – Det jeg mener er at i andre land (for eksempel i USA) er det normal praksis at man kan teste en slags sårbarhet, og så rapportere det, men ikke røpe det.

ÅH: - Ja, "bug bounty". Jeg innså at det er noe slikt.

Z: "Og selskapene har ikke en mekanisme for å fjerne deg fordi det er billigere."

ÅH: – Dette grenser også til lovens nivå. Det avhenger av hvordan du finner denne sårbarheten. Det virker for meg som om mye av pengene som ble betalt for denne sårbarheten i Amerika ble betalt i henhold til taushetserklæringer og trusler om å saksøke personen. Det er også som om han ikke holdt et stearinlys. Vi risikerer alltid slikt. Mine ansatte har funnet lignende sårbarheter i alle slags offentlige søknader et par ganger - jeg sier alltid: "Send et anonymt brev bedre enn å fortelle dem at hullet er der." Og så vil et eller annet forskningsinstitutt komme og levere denne tjenesten... Generelt sett vil jeg ikke fortsette.

Det er umulig å kontrollere en bedrifts integritet: Hvis du ikke liker det, ikke bruk det

Z: - Et spørsmål. Du sa at du utførte et eksperiment - 15 avmerkingsbokser måtte merkes... La oss si at brukeren avbryter alle avmerkingsboksene. Hvem skal kontrollere dette og hvordan? Hvordan kan jeg sjekke dette?

ÅH: – Jeg skal si deg ærlig: ingen og ingen måte. Alvor. Det faktum at du krysset av og fjernet merket for «Forby annonsesporing»-boksen hos Google betyr ikke noe i det hele tatt. Dessverre, selv når du setter et forbud mot søkemotorindeksering på VKontakte, indekserer søkemotorer det fortsatt, og gir rett og slett ikke disse resultatene til visse personer. Alt dette skyldes mangelen på kompetente myndigheter som ikke kan verifisere dette. I tillegg er selskapene som gjør dette private. Enten Facebook har en riktig eller feil posisjon, har de en: Hvis du ikke liker den, ikke bruk den.

Om regulering

Z: – Jeg har bare ett enkelt spørsmål. Hvordan opplever du spørsmålet om regulering innen databehandling og selvregulering?

ÅH: – Som bedriftsrepresentant mener jeg at markedet og næringslivet trenger selvregulering. Jeg mener at Big Data Association kan regulere alt selv, uten staten. Jeg stoler virkelig ikke på statlig regulering, og jeg stoler virkelig ikke på alle historiene når staten ønsker å beholde noe for seg selv, fordi hver sak viste at dette er veldig dårlig. Noen vil definitivt sette påloggingsnavnet og passordet på et gult klistremerke på skjermen og så videre.

Generelt tror jeg på selvregulering. I tillegg tror jeg at vi i løpet av de neste 5 årene vil komme til en slags åpenhet. Allerede nå kan du allerede se dette fra nyhetsstrømmene at det er veldig vanskelig for staten å lyve for brukerne, og det er veldig vanskelig for brukerne å lyve for systemet. Og dette er nok i prinsippet bra. Siden våre etterretningsoffiserer er identifisert fra offentlige fotografier
Alt dette fører trolig til en nedgang i kriminaliteten. Vel, rent matematisk. Hvis noen er interessert i å snakke om å redusere kriminaliteten, er det mange forskjellige konklusjoner som kan trekkes. Generelt er jeg for selvregulering av markedet. Takk skal du ha!

Noen annonser 🙂

Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, cloud VPS for utviklere fra $4.99, en unik analog av entry-level servere, som ble oppfunnet av oss for deg: Hele sannheten om VPS (KVM) E5-2697 v3 (6 kjerner) 10GB DDR4 480GB SSD 1Gbps fra $19 eller hvordan dele en server? (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).

Dell R730xd 2x billigere i Equinix Tier IV datasenter i Amsterdam? Bare her 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV fra $199 i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om Hvordan bygge infrastruktur corp. klasse med bruk av Dell R730xd E5-2650 v4-servere verdt 9000 euro for en krone?

Kilde: www.habr.com