Dzień Ochrony Danych Osobowych, Mińsk, 2019. Organizator: organizacja praw człowieka Human Constanta.
Prezenter (zwany dalej B): – Arthur Khachuyan zajmuje się… Czy w kontekście naszej konferencji możemy powiedzieć „po ciemnej stronie”?
Arthur Khachuyan (dalej – AH): – Ze strony korporacyjnej tak.
W: – Zbiera Twoje dane, sprzedaje je korporacjom.
OH: - Nie bardzo…
W: – I opowie Ci, jak korporacje mogą wykorzystywać Twoje dane, co dzieje się z danymi, gdy trafią do Internetu. Prawdopodobnie nie powie Ci, co masz z tym zrobić. Zastanowimy się dalej...
OH: - Powiem ci, powiem ci. Właściwie długo nie będę Wam tego opowiadać, ale na poprzednim wydarzeniu poznałam człowieka, któremu Facebook zablokował nawet konto jego psa.
Cześć wszystkim! Mam na imię Artur. Właściwie to zajmuję się przetwarzaniem i gromadzeniem danych. Oczywiście nie sprzedaję żadnych danych osobowych nikomu w domenie publicznej. Żartuję. Moją dziedziną działalności jest wydobywanie wiedzy z danych open source. Kiedy coś zgodnie z prawem nie jest danymi osobowymi, ale można z niego wydobyć wiedzę i nadać mu taką samą wartość, jak gdyby dane te zostały uzyskane z danych osobowych. Nie powiem ci nic naprawdę strasznego. To prawda, chodzi o Rosję, ale mam też dane dotyczące Białorusi.
Jaka jest rzeczywista skala?
Przedwczoraj byłem w Moskwie w jednej z czołowych, rządzących partii (nie powiem jakiej) i omawialiśmy realizację jakiegoś projektu. A to oznacza, że dyrektor IT tej partii wstaje i mówi: „Mówiłeś, liczby i tak dalej, wiesz, II Dyrekcja FSB przygotowała dla mnie notatkę, z której wynika, że w sieciach społecznościowych jest 2 miliony Rosjan . I mówisz - 24-coś. Tak naprawdę ponad trzydzieści [milionów] z nas nie korzysta z Internetu”. Powiedziałem tak? OK".
Ludzie tak naprawdę nie zdają sobie sprawy ze skali. Niekoniecznie są to agencje rządowe, które zapewne nie do końca rozumieją, jak działa Internet, ale tak naprawdę na przykład moja mama. Dopiero teraz zaczęła rozumieć, że dają jej kartę w Perekrestok nie bez powodu, nie ze względu na żałosne rabaty, jakie oferuje Perekrestok, ale dlatego, że jej dane są następnie wykorzystywane w OFD, zakupach, modelach prognostycznych i tak dalej.
Ogólnie rzecz biorąc, jest tak wielu mieszkańców, a informacje o tak wielu są dostępne w otwartych źródłach. O niektórych znane jest tylko nazwisko, o innych wszystko, łącznie z porno, które lubią (zawsze żartuję, ale to prawda); i wszelkiego rodzaju informacje: jak często ludzie podróżują, z kim się spotykają, jakie zakupy dokonują, z kim mieszkają, jak się przemieszczają – mnóstwo wszelkiego rodzaju informacji, które mogą wykorzystać źli, nie tacy źli i dobrzy faceci (nie nawet nie wiem, jaką skalę teraz wymyślić, ale mimo wszystko).
Istnieją sieci społecznościowe, które oczywiście stanowią gigantyczny zbiór otwartych danych, wykorzystujących słabości ludzi, którzy zdają się wrzeszczeć o prywatność. Ale w rzeczywistości jest tak: jeśli wyobrazić sobie wykres za ostatnie 5 lat, poziom histerii wokół danych osobowych rośnie, ale jednocześnie liczba zamkniętych kont na portalach społecznościowych maleje z roku na rok. Wyciąganie z tego wniosków może nie do końca poprawne, ale: pierwszą rzeczą, która powstrzymuje każdą firmę zbierającą dane, jest głupio zamknięte konto na portalach społecznościowych, ponieważ opinia osoby znajdującej się na jego zamkniętym koncie, jeśli nie ma ona 100 tysiąc subskrybentów, to naprawdę nie jest zbyt interesujące dla jakiejkolwiek analizy; ale są i takie przypadki.
Skąd czerpią informacje o nas?
Czy zdarzyło Ci się kiedyś, że do Twoich drzwi zapukali znajomi ze starej szkoły, z którymi nie rozmawiałeś od dawna, a potem to konto zniknęło? Wśród złoczyńców zbierających telefony jest coś takiego: analizują znajomych (a lista znajomych jest prawie zawsze otwarta, nawet jeśli dana osoba zamknie swój profil, lub listę znajomych można przywrócić „w przeciwnym kierunku”, zbierając wszystkie inni użytkownicy), zabierają jakiegoś nieaktywnego znajomego, robią kopię jego strony, pukają do drzwi znajomego, dodajesz go i po dwóch sekundach konto zostaje usunięte; ale kopia Twojej strony pozostaje. Tak naprawdę chłopaki zrobili ostatnio, kiedy gdzieś odleciało 68 milionów profili z Facebooka – w mniej więcej ten sam sposób dodawali wszystkich do znajomych, kopiowali te informacje, nawet pisali do kogoś w wiadomościach prywatnych, coś robili…
Sieci społecznościowe są ogromnym źródłem informacji, w prawie 80% przypadków informacje o konkretnej osobie czerpie się nie bezpośrednio, ale z najbliższego otoczenia - jest to wszelkiego rodzaju wiedza pośrednia, znaki (nazywamy to „Złą Ex-Girlfriend ”), ponieważ jeden z moich znajomych podsunął mi ten absolutnie genialny pomysł. Nigdy nie podążała za swoim chłopakiem – zawsze podążała za jego pięcioma przyjaciółmi i zawsze wiedziała, gdzie on jest. To właściwie powód, aby napisać cały artykuł naukowy.
Istnieje ogromna liczba botów, które również robią różne dobre i złe rzeczy. Istnieją nieszkodliwe osoby, które głupio subskrybują Cię, aby następnie móc reklamować dla Ciebie kosmetyki; istnieją też poważne sieci, które próbują narzucić swoje opinie, zwłaszcza przed wyborami. Nie wiem jak to jest na Białorusi, ale w Moskwie przed wyborami samorządowymi z jakiegoś powodu miałem ogromną liczbę dziwnych znajomych, każdy opowiadający się za innym kandydatem, czyli absolutnie nie analizujący treści, które Konsumuję - po prostu próbują narzucić jakąś niezrozumiałą reformę, biorąc pod uwagę fakt, że w ogóle nie jestem zarejestrowany w Moskwie i nie pójdę głosować.
Wysypisko śmieci jest źródłem niebezpiecznych informacji
Do tego dochodzi Thor, który nie jest aż tak niedoceniany – wszyscy uważają, że trzeba się tam udać tylko po to, żeby kupić narkotyki lub dowiedzieć się, jak składa się broń. Ale w rzeczywistości istnieje wiele źródeł danych. Prawie wszystkie z nich są nielegalne (w pewnym sensie nielegalne), ponieważ ktoś mógł włamać się do bazy danych przewoźników lotniczych na jakiejś stronie hakerskiej i tam ją wrzucić. Z prawnego punktu widzenia nie można tych danych wykorzystać, jednak jeżeli pozyskasz z nich jakąś wiedzę (jak w amerykańskim sądzie), to nie możesz wykorzystać nagrania rozmowy audio przeprowadzonej bez nakazu sądowego, lecz wiedzę, którą dzięki temu nagraniu uzyskałeś nagrania, nie zapomnisz – i tutaj jest mniej więcej tak samo.
To naprawdę bardzo niebezpieczna rzecz, więc zawsze żartuję, ale to prawda. Zawsze zamawiam jedzenie z sąsiedniego domu, bo Klub Dostawców bardzo często się psuje i naprawdę ma takie problemy. A ostatnio byłem bardzo zaskoczony: zamawiałem artykuły spożywcze, a na pudełku, które wyrzucałem do śmieci, była naklejka z napisem „Arthur Khachuyan”, numer telefonu, adres mieszkania, kod domofonu i e-mail. Próbowaliśmy nawet negocjować z władzami Moskwy, aby udostępnić nam wysypisko: ogólnie rzecz biorąc, przyjedź do składowiska odpadów i spróbuj, dla czystej ciekawości, spróbować znaleźć wzmiankę o danych osobowych – zrobić coś takiego mini-badania. Ale odrzucili nas, gdy dowiedzieli się, że chcemy przyjechać z pracownikami Roskomnadzoru.
Ale to prawda. Czy oglądałeś niesamowity film „Hakerzy”? Szperali w śmieciach w poszukiwaniu jakiejś części wirusa. To też popularna rzecz – gdy ludzie wrzucają coś do otwartych źródeł, zapominają o tym. Może to być jakaś szkolna strona internetowa, gdzie napisali rozprawę o białej supremacji, a potem poszli do Dumy Państwowej i o tym zapomnieli. Takie przypadki rzeczywiście miały miejsce.
Co lubią członkowie Jednej Rosji?
Jeśli przejdziesz do górnej części witryny LifeNews... Dwa lata temu studenci przeprowadzili dla mnie badanie: wzięli do udziału wszystkich uczestników prawyborów Jednej Rosji (wszyscy oficjalnie zgłosili swoje konta w mediach społecznościowych do Ogólnorosyjskiej Centrali Komitet Wykonawczy), spojrzał na to, co im się ogólnie podobało - dziecinne porno, tandetę, niezrozumiałe reklamy obcych dorosłych kobiet... Ogólnie rzecz biorąc, ludzie chyba o tym zapomnieli.
Następnie napisali list, w którym poinformowali, że skradziono konta dwudziestu osobom. Ale dwa tygodnie temu skradziono im konta, 8 miesięcy temu zgłosili je do komisji wyborczej, a lajki były dwa lata temu... W sumie rozumiesz, prawda? Jest tam naprawdę ogromna ilość informacji, które zawsze można wykorzystać nawet do celów badawczych.
Minioftopchik: wczoraj przeczytałem wiadomość, że Roskomnadzor zablokował badania studentów HSE dwa lata temu. Może ktoś widział tę wiadomość, nie? To moi uczniowie przeprowadzili badania: oni z Tora, ze strony Hydra, na której sprzedawane są narkotyki (przepraszam, z Rampy), zebrali informacje, ile to kosztuje, w jakim regionie Rosji i przeprowadzili badania. Nazywał się „Koszyk konsumencki Partii Ludowej”. To oczywiście zabawna rzecz, ale z punktu widzenia analizy danych zbiór danych jest rzeczywiście interesujący – potem przez kolejne dwa lata jeździłem na wszelkiego rodzaju „hackathony”. To prawda – jest tam mnóstwo ciekawych rzeczy.
Jak Get Contact „kupił dusze” ciekawskich użytkowników i dlaczego musisz przeczytać umowę użytkownika
Zwykle, gdy pytasz osobę, jakiego rodzaju wycieku danych się boisz (zwłaszcza jeśli dana osoba ma zakrytą kamerę internetową), zawsze stawia taką strukturę priorytetów: hakerzy, państwo, korporacje.
To oczywiście żart. Ale tak naprawdę aktywni analitycy danych, wszelkiego rodzaju badacze danych, ukradli znacznie więcej niż, jak mi się wydaje, okropni hakerzy rosyjscy, amerykańscy czy jakikolwiek inny (zastąp dowolny, w zależności od przekonań politycznych). Generalnie wszyscy się tego boją – na pewno wszyscy macie zakrytą kamerę internetową? Nie musisz nawet podnosić rąk.
Ale jeśli hakerzy robią coś nielegalnego, a państwo potrzebuje zgody sądu na uzyskanie danych, to najnowsze [korporacje] w ogóle niczego nie potrzebują, ponieważ mają coś takiego jak umowa użytkownika, której nikt nigdy nie czyta. I mam wielką nadzieję, że takie wydarzenia nadal będą zmuszać ludzi do czytania umów. Nie wiem jak to jest na Białorusi, ale w Moskwie w połowie tego roku była fala aplikacji „GetContact” (pewnie wiedzieliście), kiedy znikąd pojawiła się aplikacja, która mówiła: daj aplikację dostęp do wszystkich Twoich kontaktów, a my pokażemy Ci, jak Cię zabawnie nagrano.
Nie trafiło to do mediów, ale wielu wysokich rangą pracowników skarżyło mi się, że wszyscy zaczęli do nich ciągle dzwonić. Najwyraźniej administratorzy postanowili znaleźć w tej bazie numer telefonu Shoigu, kogoś innego… Volochkova… Niegroźna rzecz. Ale ci, którzy przeczytali umowę licencyjną GetContact - mówią: nielimitowany spam w nieograniczonym czasie, niekontrolowana sprzedaż Twoich danych osobom trzecim, bez ograniczenia praw, przedawnień i ogólnie wszystkiego, co jest możliwe. I to wcale nie jest taka super rzadka historia. Na przykład Facebook, kiedy tam byłem, pokazywał powiadomienia 15 razy dziennie: „Zsynchronizuj swoje kontakty, a znajdę Ci wszystkich Twoich znajomych, których masz!”
Korporacje się tym nie przejmują. Ustawa federalna 152 i RODO
Ale tak naprawdę priorytety są odwrotne, ponieważ korporacje są chronione prawem prywatnym i dlatego prawie w każdym przypadku nie da się udowodnić, że się mylą. A biorąc pod uwagę fakt, że jest duży, straszny i bardzo drogi, jest to prawie niemożliwe. A jeśli jesteś także w Rosji, z przestarzałym ustawodawstwem, to w jakiś sposób wszystko jest całkowicie smutne.
Czy wiesz, czym prawo rosyjskie (a praktycznie białoruskie) różni się od np. RODO? Rosyjska ustawa federalna 152 chroni dane (jest to relikt sowieckiej przeszłości) - dokument, który chroni dane przed gdzieś wyciekiem. A RODO chroni prawa użytkowników - prawo tego, że zostaną pozbawieni jakichś wolności, przywilejów czy czegoś innego, bo ich dane gdzieś wyciekną (wprowadzili takie pojęcie od razu do „danych”). Ale u nas jedyne, czym mogą Cię obciążyć, to kara za to, że nie posiadasz certyfikowanego „Open” Excela do przetwarzania danych osobowych. Mam nadzieję, że kiedyś to się zmieni, ale nie sądzę, że w najbliższej przyszłości.
Jakie są obecnie rzeczywiste możliwości targetowania?
Pierwszą, prawdopodobnie przerażającą historią, o której wszyscy ciągle myśleli, było czytanie osobistych wiadomości. Na pewno jest wśród Was osoba, która kiedykolwiek powiedziała coś na głos, a następnie otrzymała ukierunkowaną reklamę. Tak, były takie? Podnieś ręce.
Właściwie nie wierzę w historię, że warunkowy „Yandex Navigator” rozpoznaje bezpośredni dźwięk w strumieniu dla wszystkich użytkowników, ponieważ ci, którzy mają trochę doświadczenia z rozpoznawaniem głosu, rozumieją, że: po pierwsze, centrum danych Yandex » powinno być pięć razy więcej; ale co najważniejsze, koszt przyciągnięcia takiej osoby będzie kosztował dużo pieniędzy (rozpoznanie dźwięku w strumieniu i zrozumienie, o czym dana osoba mówi). Ale! W rzeczywistości istnieją algorytmy, które oznaczają Cię za pomocą określonych słów kluczowych, aby następnie przeprowadzić pewnego rodzaju komunikację reklamową.
Takich badań było mnóstwo i 100 razy zakładałem puste konta, pisałem coś do kogoś w wiadomościach i nagle dostałem ogłoszenie, które wydawało się nie mieć z tym nic wspólnego. Właściwie nasuwają się tu dwa wnioski. Wbrew takiej historii uważa się, że dana osoba po prostu wpada w jakąś próbę statystyczną; Załóżmy, że jesteś 25-letnim mężczyzną, który w tym momencie powinien był trafić na kurs języka angielskiego w tym samym momencie, w którym do kogoś pisałeś. Przynajmniej Facebook zawsze tak mówi w sądzie: że istnieje pewien model zachowań, którego Ci nie pokażemy, który został zbudowany na danych, których Ci nie pokażemy, mamy wewnętrzne badania, których na pewno Ci nie pokażemy (bo wszystko jest tajemnicą handlową); ogólnie rzecz biorąc, zostałeś uwzględniony w jakiejś próbie statystycznej, więc ci to pokazaliśmy.
Jak prywatność Facebooka rozwścieczyła jego użytkowników
Niestety, generalnie nie da się tego udowodnić, chyba że masz w firmie kogoś, kto w jakiś sposób potwierdzi te działania. Ale w prawie amerykańskim w tym przypadku zgoda tego pracownika na zachowanie poufności jest wyższa niż jego chęć pomocy, więc nikt tego nie zrobi. To też ciekawe – było to jakiś rok, półtora roku temu – w Ameryce zaczął się rozwijać trend, kiedy ludzie instalowali rozszerzenie przeglądarki, aby szyfrowała wiadomości na Facebooku: ty coś do kogoś piszesz, on szyfruje to klucz na urządzeniu i wysyła śmieci do domeny publicznej.
Facebook pozywa tę firmę od półtora roku i nie jest jasne na jakiej podstawie (bo nie rozumiem dobrze amerykańskiego prawa) zmusił ich do usunięcia tej aplikacji, a następnie wprowadził poprawkę do umowy użytkownika: jeśli spójrz, jest taka klauzula: że nie można przesyłać wiadomości w postaci zaszyfrowanej - jest to jakoś tak sprytnie opisane, że nie można używać algorytmów kryptograficznych do modyfikowania wiadomości - cóż, jest coś takiego. To znaczy, powiedzieli: albo korzystasz z naszej platformy, piszesz w domenie publicznej, albo nie piszesz. A to rodzi pytanie: po co im w ogóle osobiste wiadomości?
Wiadomości osobiste są źródłem w XNUMX% wiarygodnych informacji
To bardzo prosta rzecz. Każdy, kto analizuje ślad cyfrowy, działalność człowieka, próbuje w jakiś sposób wykorzystać te dane do celów marketingowych lub czegoś innego, ma taki miernik jak niezawodność. To znaczy pewien obraz osoby - doskonale rozumiesz, to nie jest sama osoba - ten obraz jest zawsze trochę bardziej udany, trochę lepszy. Wiadomości osobiste to prawdziwa wiedza, którą można zdobyć o danej osobie, są one prawie zawsze w 100% wiarygodne. No cóż, bo rzadko kiedy ktoś napisze coś do kogoś w wiadomościach prywatnych, oszuka, a to wszystko można bardzo łatwo zweryfikować – odpowiednio, według innych wiadomości (rozumiecie, o czym mówię). Rzecz w tym, że zdobyta w ten sposób wiedza jest niemal w 100% rzetelna, dlatego każdy zawsze stara się ją zdobyć.
Niemniej jednak jest to znowu bardzo trudna historia do udowodnienia. A ci, którzy uważają, że tak zwany VKontakte ma taki dostęp dla organów ścigania do osobistych wiadomości, nie są do końca prawdą. Jeśli spojrzysz tylko na historię wniosków sądowych o ujawnienie informacji, jak VKontakte bardzo sprytnie (w tym przypadku Mail.ru) zwalcza te wnioski.
Ich głównym argumentem jest zawsze: zgodnie z prawem organy ścigania muszą uzasadnić, dlaczego potrzebny jest dostęp do prywatnych wiadomości. Z reguły, jeśli jest to morderstwo, śledczy zawsze podaje, że najprawdopodobniej dana osoba podała, gdzie ukryła broń (w wiadomościach prywatnych). Ale ty i ja rozumiemy, że żaden rozsądny przestępca nigdy nie napisałby swoim wspólnikom na VKontakte o tym, gdzie ukrył broń palną. Jest to jednak jedna z częstych opcji zgłaszanych przez urzędników.
A oto kolejny taki okropny przykład (dzisiaj poproszono mnie o podanie okropnych przykładów) - o Rosji (mam nadzieję, że na Białorusi tak się nie stanie): zgodnie z prawem śledczy musi mieć wystarczająco przekonujące powody, aby operator ujawnił tę informację . Oczywiście te wiarygodne parametry nie są nigdzie opisane (jakie powinny być, w jakiej formie), ale w Rosji istnieje obecnie coraz więcej precedensów, gdy taka podstawa pojawia się dla sądu, jeśli istnieje pewien model, który przewidywał pewien, dobre czy złe, zachowanie.
Oznacza to, że w naszym kraju nie można nikogo uwięzić (i to dobrze) za to, że znalazł się w jakiejś statystycznej próbie rasowych zabójców – i to jest dobrze, bo narusza zasadę domniemania niewinności; istnieją jednak precedensy, w których wyniki takich prognoz wykorzystywano do uzyskania sądowej zgody na uzyskanie danych. Swoją drogą, nie tylko w Rosji. W Ameryce też jest coś takiego. Tam „Palantir” też wszystkich zabijał przez długi czas, używają podobnych rzeczy. Straszna opowieść.
To są moje badania. Zrobiliśmy tak: spacerowaliśmy po Petersburgu, w miejscach z zielonymi kropkami, pisaliśmy znajomym z „czystych” kont kilka kluczowych punktów – np. „Chcę napić się kawy”, „Gdzie kupić proszek do prania?” i tak dalej. Następnie otrzymali reklamy powiązane z danymi geograficznymi. W jaki magiczny sposób... Albo jak to mówią: „Zbieg okoliczności? Nie myśl!” To są osobiste wiadomości na VKontakte. Niech Mail.ru mi wybaczy, ale tak jest. Każdy może powtórzyć taki eksperyment.
Nawiasem mówiąc, kiedy napisali oświadczenie w sprawie wsparcia, Mail powiedział, że są tam punkty Wi-Fi i przechwycono Twój adres Mac. To również istnieje.
Metody pozyskiwania i typowe możliwości wycieku danych osobowych
Następna historia to ekstrakcja dodatkowej wiedzy, której fragment faktycznie poruszyłem. Tak naprawdę wypełniony profil danej osoby w sieciach społecznościowych faktycznie niesie 15–20% prawdziwej wiedzy, jaką przechowuje na jej temat operator danych. Dalsza część historii składa się z bardzo interesujących rzeczy. Jak myślisz, dlaczego Google tak bardzo rozwija biblioteki do przetwarzania obrazu komputerowego? W szczególności byli jednymi z pierwszych, którzy opracowali biblioteki specjalnie do analizy i kategoryzacji obiektów - w tle, na pierwszym planie, bez względu na to, gdzie. Bo to ogromne źródło dodatkowych informacji o tym, jakie mieszkanie ma dana osoba, samochód, gdzie mieszka, luksusowe przedmioty…
Podczas łączenia wyszkolonych sieci neuronowych Google (nie wiem, czyje to były, ale mimo to) było mnóstwo „hakerskich” rzeczy. Było wiele ciekawych informacji na temat rozmiaru piersi, obwodu talii – których ludzie nie próbowali dowiedzieć się o innych osobach na podstawie analizy zdjęć. Bo kiedy człowiek robi zdjęcie, nie zawsze myśli o tym, ile ciekawych rzeczy może się z niego dowiedzieć? Ile paszportów dla noworodków wysyła się w Rosji?.. Lub: „Hurra, moje dziecko dostało wizę”! Jest to na ogół bolączka współczesnego społeczeństwa.
Kolejny offtop (dzisiaj podzielę się z Wami faktami): w Moskwie najczęstszy wyciek danych osobowych ma miejsce w mieszkalnictwie i usługach komunalnych, kiedy na drzwiach wywieszana jest lista dłużników, a dłużnicy ci następnie pozują, ponieważ ich dane osobowe został udostępniony publicznie bez ich zgody. A co jeśli Tobie się to przydarzy... Chodzi o to, że gdy ktoś coś robi, to nie wie, co było na tej fotografii, a czego nie było. Obecnie jest mnóstwo numerów samochodów.
Kiedyś przeprowadziliśmy badanie – próbowaliśmy zrozumieć, ile osób ma otwarte zdjęcia samochodów (popełniają zatem wykroczenia itp.) – niestety można było tego dokonać jedynie przy użyciu połączonych baz danych policji drogowej, w których jest tylko liczba (niezbyt wiarygodna informacja), ale też była interesująca.
Twoja następna reklama zależy od tego, jak spożyłeś poprzednią
To jest pierwsza historia. Drugą historią są wzorce zachowań, czyli treści, które dana osoba konsumuje, ponieważ jednym z najważniejszych wskaźników, jakie sieci społecznościowe próbują o Tobie budować, jest sposób, w jaki wchodzisz w interakcję z reklamami. Bez względu na to, jak dokładne i „niesamowite” mogą być algorytmy, bez względu na to, jak cudowna może być sztuczna inteligencja i wszystko inne, prawdziwym priorytetem sieci społecznościowej jest zawsze zarabianie pieniędzy. Dlatego jeśli przyjdzie tzw. „Coca-Cola” i powie: „Chcę, żeby wszyscy mieszkańcy Białorusi zobaczyli mój post”, zobaczą go niezależnie od tego, co algorytmy myślą o tej osobie i jak ją tam wycelować. Prawdopodobnie otrzymałeś reklamy oprócz super-super ukierunkowanych, zupełnie niepowiązanych bzdur. Ponieważ zapłacili mnóstwo pieniędzy za te niepowiązane bzdury.
Jednak jednym z głównych wskaźników jest zrozumienie, z jakimi treściami najlepiej wchodzisz w interakcję, a mianowicie, jak na nie reagujesz, aby pokazać Ci podobną historię reklamową. W związku z tym jest to wskaźnik interakcji z reklamą: kto jej zakazuje, kto nie, w jaki sposób dana osoba klika, czy czyta tylko nagłówki, czy całkowicie zagłębia się w materiał; a następnie, w oparciu o to, nadal trzymaj Cię w tym, jak to się obecnie nazywa, „bańce filtrującej”, abyś mógł nadal wchodzić w interakcję z tą treścią.
Jeśli kiedykolwiek będziesz zainteresowany, możesz spróbować przez długi czas, przez tydzień, może miesiąc, po prostu zakazując wszelkich reklam w sieciach społecznościowych: wyświetlają ci jakąś reklamę, a ty ją zamykasz. Jeśli to przeanalizujesz i umieścisz na wykresie, wyjdzie ciekawa historia: jeśli zablokujesz reklamy na tydzień, w następnym wyświetli się wersja rozszerzona i ogólnie z różnych kategorii; to znaczy, warunkowo, kochasz psy i wyświetlają ci reklamy z psami - zbanowałeś wszystkie psy, a potem zaczną ci pokazywać najróżniejsze bzdury z różnych opcji, aby spróbować zrozumieć, czego potrzebujesz.
A potem na koniec na Ciebie spluną, oznaczą Cię jako osobę, która nie ma kontaktu z reklamami, postawią Cię krzyżykiem i od tego momentu zaczną wyświetlać Ci reklamy wyłącznie bogatych marek. Oznacza to, że w tej chwili będziesz widzieć tylko reklamy Coca-Coli, Kit-Kit, Unilever i wszystkich ludzi, którzy zarabiają ogromne pieniądze, bo trzeba zwiększyć liczbę wyświetleń. Przeprowadź eksperyment na miesiąc: zablokuj wszystkie reklamy na tydzień lub dwa, potem zobacz wszystko z rzędu i zablokuj - w końcu zobaczysz tylko reklamy, jak się później okaże (i mówią agencje reklamowe), tylko klientów, którzy płacą za wyświetlenia, ponieważ nie da się zrozumieć, w jaki sposób wchodzisz w interakcję z tymi reklamami.
Pornografię częściej oglądają ci, którzy mają tendencję do głębokiego zanurzenia się w treści.
W związku z tym oto opowieść o wszelkiego rodzaju śledzeniu zachowań. Mam ciekawy przykład – odwiedzający stronę rządową. Zabawne jest to, że im większą głębię spojrzenia mają ludzie, tym częściej wolą oglądać porno od tradycyjnych związków. „Przepraszam”, że ciągle poruszam ten temat, ale tak naprawdę mam bardzo dobre relacje z Pornhubem, a to zawsze jest bardzo interesujące badanie, ponieważ jest to temat, który wydaje się tabu, ale wiele mówi o człowieku. I następujące punkty, które z tego wynikają na temat powrotu ruchu... Będziemy też pamiętać o „Pornohubie”!
Co uważa się za dane osobowe i czy można odblokować iPhone'a za pomocą modelu twarzy 3D?
Najbardziej podoba mi się obejście prawa dotyczącego prywatności. Jeśli przeczytasz dokumentację techniczną tego samego Facebooka, który przekazał jakieś dokumenty wewnętrzne (np. do sądu), to nie znajdziesz tam żadnej wzmianki o rozpoznawaniu twarzy czy analizie głosu. Będą bardzo złożone sformułowania, których żaden wykwalifikowany prawnik nie znajdzie w ustawodawstwie. Tutaj, w Rosji, działa to mniej więcej w ten sam sposób – pokażę ci teraz tę rzecz.
Co tu widzisz? Każdy normalny człowiek powie, że twarz. Nawiasem mówiąc, moim zdaniem to Sasha Grey. Ale z prawnego punktu widzenia jest to matryca pewnych trójwymiarowych punktów, których jest 300 tysięcy. Na dobre i na złe, zgodnie z prawem nie jest to uważane za dane osobowe. Ogólnie rzecz biorąc, rosyjski RKN nie uważa jednego zdjęcia za dane osobowe - uważa je za dane osobowe, jeśli w pobliżu znajduje się coś innego (na przykład imię i nazwisko lub numer telefonu), a to zdjęcie samo w sobie jest niczym. Gdy tylko wprowadzono ustawę o biometrii i dane biometryczne zrównano z danymi osobowymi (tak z grubsza), wszyscy od razu zaczęli mówić: to nie są dane biometryczne, to jest tablica kropek! Zwłaszcza jeśli weźmiemy bezpośrednią lub odwrotną transformatę Fouriera z tego zestawu punktów, wydaje się, że nie można cofnąć anonimowości osoby po tej transformacji, ale można ją zidentyfikować. Czysto teoretycznie rzecz ta nie narusza prawa.
Zrobiłem też inne badanie: jest to algorytm, który buduje trójwymiarową rekonstrukcję twarzy przy użyciu otwartych źródeł – zakładamy konto na Instagramie i wtedy możemy wydrukować twarz na drukarce 3D. Przy okazji dla zainteresowanych mam link w domenie publicznej; jeśli nagle ktoś będzie chciał odblokować czyjś iPhone... Żartuję - iPhone'a nie da się odblokować, jakość jest obniżona.
Zamknięty profil to plus dla bezpieczeństwa
To jest pierwsza rzecz, i druga... Wspomniałem już o tym, że informacje pozyskiwane są głównie ze środowiska użytkownika. Narysowałem ten obrazek w 17 roku: przeciętny użytkownik rosyjskich portali społecznościowych jest w środku, ma średnio 200–300 znajomych, znajomych znajomych i znajomych znajomych znajomych.
Dziękujemy portalom społecznościowym za wprowadzenie algorytmów dla „inteligentnych” e-feedów, lat całkowitych, rzekomo w celu zwiększenia prawdopodobieństwa napotkania ciekawych treści. Jest to liczba osób, które w dowolnym momencie mogą zobaczyć tworzone przez Ciebie treści, nawet jeśli Twoje konto jest ograniczone tylko do wyższych poziomów prywatności (tylko dla znajomych znajomych itd.). To są znajomi znajomych:
Jeśli ktoś myśli, że wybierając „znajomych znajomych” w „Moich postach” na VK, trzy uściski dłoni to około 800 tysięcy osób, co w zasadzie nie jest tak małą liczbą, ale zależy od treści. Być może prowadzisz nieprzyzwoite transmisje i wszyscy znajomi znajomych mogą wchodzić w interakcje z tymi treściami. Jeden z nich może gdzieś coś opublikować ponownie, wszyscy ludzie mają kanał polubień, który w rzeczywistości najprawdopodobniej zostanie usunięty, ponieważ nie jest to zbyt ujmujące. Dlatego w dowolnym momencie treść może gdzieś wylądować.
VK wprowadziło w tym roku profile superzamknięte, ale jak dotąd skorzystała z nich bardzo niewielka liczba osób (nie powiem, ile, ale jest niewielka!). Może pewnego dnia ludzie to zrozumieją – mam taką nadzieję. Wszystkie badania mają na celu ciągłe uświadamianie ludziom skali problemów. Bo dopóki kogoś konkretnie nie dotknie jakaś straszna rzecz, nigdy o tym nie pomyśli. Zacząć robić.
Agencje rządowe nie wiedzą, czym są dane osobowe i nie spieszą się z ich definiowaniem
Każdy specjalista od prawa danych osobowych zawsze mówi tak: nigdy nie trzeba łączyć różnych źródeł danych, bo tutaj masz e-maile (to tylko dane osobowe z pewnymi zanonimizowanymi identyfikatorami), tutaj jest Twoje imię i nazwisko... Jeśli to się połączy wszystko, wygląda na to, że staną się danymi osobowymi. Ogólnie rzecz biorąc, wypadałoby najpierw poruszyć ten temat, ale myślę, że jesteś już w nim zanurzony i być może masz świadomość, jak działa prawo.
Tak naprawdę nikt nie wie, czym są dane osobowe. Ważna koncepcja! Kiedy przychodzę do agencji rządowych, mówię: „Butelka koniaku dla każdego, kto może powiedzieć, czym są dane osobowe”. I nikt nie może powiedzieć. Dlaczego? Nie dlatego, że są głupi, ale dlatego, że nikt nie chce wziąć na siebie odpowiedzialności. Bo jeśli Roskomnadzor powie, że to dane osobowe, to jutro ktoś coś zrobi i oni będą winni; i są władzami wykonawczymi i nie powinni w ogóle za nic odpowiadać.
Rzecz w tym, że prawo wyraźnie stanowi, że dane osobowe to dane, na podstawie których można zidentyfikować osobę. I jest przykład: imię i nazwisko, adres domowy, numer telefonu. Ale ty i ja wiemy, że można zidentyfikować osobę po tym, jak naciska przyciski, po tym, jak wchodzi w interakcję z interfejsem, a także po innych pośrednich parametrach. Jeśli ktoś jest zainteresowany: w prawie każdym obszarze istnieje ogromna liczba luk prawnych.
Identyfikatory, które nas ujawniają
Przykładowo wszyscy zaczęli wyznaczać punkty przechwytywania adresów mac (na pewno już się z tym spotkaliście?) – sprytni (albo nie wiem, chciwi) producenci sprzętu mobilnego, jak Apple i Google, szybko wprowadzili algorytmy, które dają losowy adres MAC, abyś nie mógł rozpoznać, kiedy spacerujesz po mieście, i wysłać wszystkim swój adres MAC. Ale mądrzy goście wymyślili kolejną historię jeszcze dalej.
Na przykład możesz uzyskać licencję operatora komórkowego; Po otrzymaniu licencji operatora komórkowego uzyskasz dostęp do tej rzeczy - wywoływany jest protokół SS7, przez który zobaczysz trochę powietrza od operatorów komórkowych; istnieje wiele różnych identyfikatorów, które nie są danymi osobowymi. Wcześniej był to IMEI, ale teraz - dosłownie ktoś wyjął to z języka i postanowił prowadzić jedną bazę danych tych „IMEI” w Rosji (taka inicjatywa). W pewnym sensie istnieje, ale jednak.
Istnieje również na przykład szereg identyfikatorów - na przykład IMCI (identyfikator sprzętu mobilnego), który nie jest danymi osobowymi ani nie jest powiązany z niczym innym i w związku z tym można go zapisać bez ścigania prawnego, a następnie z kim W jakiś sposób wymień te identyfikatory, aby później porozumieć się z tą osobą.
Kultura pracy z danymi osobowymi jest niska
Ogólnie rzecz biorąc, chodzi o to, że wszyscy są teraz bardzo zainteresowani łączeniem danych ze sobą, a większość firm, które dokonują takiego łączenia, czasami nawet o tym nie myśli. Przyszedł np. bank, zawarł umowę o zachowaniu poufności z firmą zajmującą się scoringiem i przekazał do niej 100 tys. swoich klientów...
I ten bank nie zawsze ma w swojej umowie klauzulę o przekazywaniu danych podmiotom trzecim. Ci klienci coś tam pomieszali i nie jest jasne, dokąd ta baza danych poszła później, nie poszła - większość firm w Rosji nie ma kultury usuwania danych... - ten „Excel” z pewnością wyląduje gdzieś na komputera sekretarki i rozłącz się.
Nasze dane mogą być sprzedawane przy każdym zakupie w sklepie
Istnieje wiele programów, które wydają się być prawie legalne (to znaczy legalne). Na przykład historia jest następująca: z 15 największych rosyjskich banków tylko dwa są tak naprawdę bramkami SMS – Tinkoff i Alfa, czyli wysyłają własne wiadomości SMS. Inne banki korzystają z bramek SMS do wysyłania SMS-ów do klientów końcowych. Te bramki SMS prawie zawsze mają prawo analizować treść (na przykład pod kątem bezpieczeństwa i niektórych wniosków), aby następnie sprzedawać zbiorcze statystyki. Te bramki SMS są „przyjaciółmi” operatorów danych fiskalnych, którzy przetwarzają czeki.
I okazuje się, że: przyszedłeś do kasy, operator danych fiskalnych (podali ci, nie dali numeru telefonu - tam jest to jakoś powiązane)... dostajesz SMS na swój numer telefonu, bramka tych SMS-ów widzi 4 ostatnie cyfry karty i numer telefonu. Wiemy w którym momencie dokonałeś transakcji od operatora danych fiskalnych, a w SMS-ie wiemy (teraz) na jaki numer informacja o pobraniu takiej a takiej sumy pieniędzy z takimi a takimi czterema ostatnimi cyframi karty został odebrany. Ostatnie cztery cyfry karty nie są Twoimi identyfikatorami, nie naruszają prawa, ponieważ nie mogą Cię zdeanonimizować, podobnie jak kwota transakcji.
Jeśli jednak ustaliłeś z operatorem danych fiskalnych, wiesz, w jakim oknie czasowym (plus minus 5 minut) ten SMS powinien do Ciebie dotrzeć. W ten sposób szybko zostałeś powiązany w OFD z Twoim numerem telefonu, a Twój numer telefonu jest powiązany z identyfikatorami reklamowymi, ogólnie ze wszystkim, wszystkim, wszystkim. Dlatego mogą cię później dogonić: przyszli do sklepu, a potem bez pozwolenia przysłali ci inne bzdury. Myślę, że na tej sali prawie nikt nie napisał skargi do FAS w sprawie spamu. Prawie ich nie ma... Oprócz mnie, prawdopodobnie.
Papiery to archaiczny, ale skuteczny sposób walki o swoje prawa
To działa bardzo fajnie. Co prawda trzeba będzie poczekać półtora roku, ale FAS faktycznie sprawdzi: kto, jak, komu przekazał dane, dlaczego gdzie i tak dalej.
Pytanie od publiczności (dalej – XNUMX): – Na Białorusi nie ma FAS. To jest inny kraj.
OH: - Tak, rozumiem. Na pewno jest jakiś analog...
Ze strony publiczności płyną sprzeciwy
OH: - Dobra, zły przykład, przepraszam. To nie ma znaczenia. Wśród moich znajomych nie znam nikogo, kto w zasadzie wiedziałby o istnieniu takiej historii – że można iść i pisać, a potem będą pracować przez kolejny rok.
Druga historia, która również bardzo się rozwija w Rosji, ale myślę, że znajdziesz analogię w swoim kraju. Bardzo lubię to robić, gdy agencja rządowa słabo komunikuje się z Tobą, jakimś bankiem czy czymś innym – mówisz: „Daj mi kartkę papieru”. I piszesz na kartce papieru: „Zgodnie z paragrafem 14 152. ustawy federalnej proszę o przetwarzanie danych osobowych w formie papierowej”. Nie wiem, jak dokładnie to się robi na Białorusi, ale na pewno tak się robi. Zgodnie z rosyjskim prawem nie masz prawa odmówić świadczenia usługi na tej podstawie.
Znam nawet wiele osób, które wysłały podobne wiadomości do Mail.ru i poprosiły o prowadzenie ewidencji swoich danych osobowych w formie papierowej. Mail.ru walczył z tym przez bardzo długi czas. Znam nawet jednego programistę Yandex, z którego żartowano: usunęli jego konto VK, wysłali mu kilka wydrukowanych zrzutów ekranu i powiedzieli, że będą mu wysyłać zrzuty ekranu za każdym razem, gdy będzie chciał zaktualizować swoją stronę.
To zabawne, ale mimo to jest to realna alternatywa, jeśli ktoś naprawdę martwi się o dane, z jednej strony... A z drugiej strony ten sam RKN powiedział mi, że ta umowa o przetwarzaniu danych osobowych jest formalna, a prawo przewiduje jeszcze kilka możliwości wyrażenia tej zgody. I że np. zostałem tu zaproszony na wydarzenie i jeżeli np. Human Constanta nie może zawrzeć ze mną umowy w sprawie przetwarzania danych osobowych w ramach rosyjskiego prawa (bo sam fakt, że przyszedłem i zgoda na wypowiedź oznacza zgodę na przetwarzanie danych osobowych) – wszyscy nadal korzystają z tych papierowych zezwoleń. Ale RKN powiedział mi coś podobnego, że to wcale nie jest fakt, że najprawdopodobniej kiedyś znikną.
Mam nadzieję, że w Rosji nigdy nie utworzy się, o Boże, jednego operatora danych osobowych, bo jedyną rzeczą gorszą od wrzucenia wszystkich danych osobowych do jednego koszyka jest wrzucenie ich do koszyka państwowego. Bo kto wie, co z tym wszystkim będzie później.
Firmy udostępniają dane osobowe, a przepisy nie są w stanie tego regulować
Większość firm wymienia między sobą pewnego rodzaju dane i identyfikatory. Może to być sklep z bankiem, potem bank z portalem społecznościowym, portal społecznościowy z czymś innym... I w końcu ci ludzie mają pewną masę krytyczną wiedzy, którą można w jakiś sposób wykorzystać i cała ta wiedza jest prawdziwa, teraz starają się zachować ją po swojej stronie. Niemniej jednak nadal trafia do ruchu reklamowego lub gdzie indziej.
Przekazywanie danych osobom trzecim to najzabawniejsza rzecz, jaka może się przytrafić, ponieważ przepisy nie określają, jakiego rodzaju są to osoby trzecie i dla kogo należy je uważać za „trzecie”. To, swoją drogą, bardzo popularne sformułowanie amerykańskich prawników – tak mają. Osoby trzecie – kogo, kogo uważacie za osoby trzecie: babcię, prababcię?.. Był nawet taki precedens w Ameryce, kiedy ujawniono czyjeś dane, osoba złożyła pozew i udowodniono, że ta osoba znała właściciela danych przez kilku znajomych – pewna liczba uścisków dłoni, przytoczyła jakieś dziwne badania socjologiczne – tym samym udowodniła, że tych osób nie można uważać za osoby trzecie strony do siebie. Śmieszny. Jednak fakt przekazania takich danych jest bardzo powszechny.
Nawet jeśli wejdziesz na stronę, na której znajduje się licznik do identyfikacji, licznik ten ma prawo przesłać gdzieś dane o tym ruchu (do Clickstream, właścicieli platform reklamowych do wszystkiego, na przykład Pornhub). Pornhub, jeśli ktoś z Was jest twórcą stron internetowych, idź i zobacz, ile pikseli śledzących znajduje się na stronie Pornhub. Po prostu wchodzisz i ładuje się tam ogromna ilość skryptu Java, który ma na celu usprawnienie funkcjonowania witryny. W rzeczywistości instalowane są tam również „pliki cookie” międzydomenowe, czego tam nie ma, ponieważ informacja ta jest zawsze wysoko ceniona na rynku „streamu kliknięć”.
Facebook się chwieje i nie zamierza zdjąć maski
Naturalnie, żaden z głównych graczy nigdy nikomu nie mówi, komu i w jaki sposób sprzedaje dane. Z tego powodu na przykład Europa próbuje teraz pozwać Facebooka. Zaraz po wprowadzeniu RODO Unia Europejska próbuje wstrząsnąć ujawnieniem przez Facebooka algorytmów odsprzedaży danych podmiotom trzecim.
Facebook tego nie robi i publicznie oświadcza, że tego nie robi, ponieważ jest „korporacją pokojową” (cytuję z e-maila, który mi przesłał) i jest „przeciwny szkodliwemu wykorzystaniu technologii” (zwłaszcza jeśli sprzedajesz rozpoznawanie twarzy na Kremlu). Generalnie chodzi o to, że Facebook nie robi tego całkowicie uczciwie: jego głównym celem i najważniejsze, co się stanie, gdy tylko taki mechanizm zostanie ujawniony, to to, że będzie można naprawdę obliczyć marginalność reklamy, będzie możliwe jest zrozumienie rzeczywistych kosztów reklamy.
Konwencjonalnie, jeśli Facebook powie Ci teraz, że koszt wyświetlenia reklamy wynosi 5 rubli, a my sprzedamy Ci to za 3 (i zostały nam jakby dwa ruble), a oni warunkowo otrzymają 5% zysku z te wyświetlenia reklamowe. Tak naprawdę nie jest to 5%, ale 505, bo jeśli ten algorytm wyjdzie na jaw (komu i w jaki sposób Facebook przekazał, ile razy „strumień kliknięć”, dane o odwiedzinach, dane pikselowe do wszelkiego rodzaju sieci reklamowych), okazuje się że zarabiają znacznie więcej, niż się o tym mówi. I nie chodzi tu o same pieniądze, ale o to, że koszt kliknięcia to rubel, a w rzeczywistości - setne kopiejek.
Generalnie chodzi o to, że każdy próbuje ukryć taką transmisję, nie ma znaczenia czy jest to ruch reklamowy czy niereklamowy, ale on istnieje. Niestety nie da się tego prawnie dowiedzieć, bo firmy są prywatne i wszystko co mają w środku to ich prywatne prawo i tajemnica przedsiębiorstwa. Ale podobne historie pojawiały się tam bardzo często.
Dealerzy narkotyków są przewidywalni i „palący” na Avito
Ostatnie zdjęcie z tej prezentacji. To zabawne, a jego istotą jest to, że istnieją pewne kategorie osób, które bardzo martwią się o swoje dane osobowe. I to właściwie dobrze! Ten przykład dotyczy takiej kategorii ludzi, jak handlarze narkotyków. Wydawać by się mogło, że osoby, które powinny bardzo martwić się o swoje dane osobowe…
Jest to badanie, które przeprowadzono na początku tego roku pod nadzorem właściwych organów. Tak, to jest skrypt, który dostał pieniądze na zakup narkotyków na Telegramie i Thorze, ale tylko od tych osób, które udało się zidentyfikować.
W rzeczywistości prawie wszyscy moskiewscy handlarze narkotyków polegają na tym, że ich numeru telefonu nie ma w żadnych otwartych źródłach, ale prędzej czy później sprzedają coś na Avito, z którego będzie można zrozumieć przybliżoną lokalizację tych osób. Rzecz w tym, że czerwone kropki to miejsca, w których żyją ludzie, a zielone kropki to miejsca, do których idą, żeby zostawić wiadomo co. To była jedna z części algorytmu, która przewidywała rozmieszczenie służb patrolowych, ale ci moskiewscy zawsze starają się jakoś iść po przekątnej, dalej.
Uważają, że jeśli mieszkają w lewym górnym rogu, to powinni udać się w prawym górnym rogu i na pewno nigdy ich tam nie znajdą. Mówię ci, że jeśli próbujesz ukryć się przed wszechobecnymi algorytmami, naprawdę najfajniejszą opcją jest zmiana modelu zachowania: zainstaluj jakiegoś „Gostera”, aby losować wizyty, posiadłości i tak dalej. O mój Boże, istnieją nawet algorytmy i wtyczki, które zmieniają rozmiar przeglądarki o kilka pikseli, dzięki czemu nie można obliczyć podpisu, „odcisku palca” przeglądarki i w jakiś sposób Cię zidentyfikować.
To wszystko, co chciałem powiedzieć. Jeśli masz pytania, daj nam znać. Oto link do prezentacji.
Pytanie od publiczności (Z): – Proszę o ocenę z punktu widzenia korzystania z Thora, z punktu widzenia śledzenia ruchu... Czy polecasz?
Trudno to ukryć, ale jest to możliwe
OH: - „Thor”? „Thor” nie, w żadnej formie. To prawda, nie wiem, jak to jest na Białorusi - w Rosji w ogóle nie powinieneś tam jechać, ponieważ prawie większość zweryfikowanych „gracenodów” nagle dodaje określone pakiety do twojego ruchu. Nie wiem które, ale jeśli spojrzysz: są „węzły” oznaczające ruch, nie jest jasne, kto to robi, w jakim celu, ale ktoś zaznacza to w nagłówku, aby można było go później zrozumieć. W Rosji cały ruch jest teraz przechowywany, nawet jeśli jest przechowywany w formie zaszyfrowanej, i wszyscy trollują pakiet Yarovaya w związku z tym, że zaszyfrowany ruch jest przechowywany, ale pozostaje oznaczony, to znaczy nie można go wykorzystać ani odszyfrować. .
Z: – Leżało w Europie długo, chyba dziesięć lat.
OH: - Tak, rozumiem. Wszyscy się z tego śmieją – na przykład przechowujesz https, których nie można odczytać. Treści nie można odczytać, ale można zrozumieć, skąd pochodzą pakiety, korzystając z określonych algorytmów – na podstawie wagi pakietów, długości i tak dalej. A kiedy masz pod kontrolą wszystkich dostawców, masz odpowiednio cały sprzęt szkieletowy i wszystkie paszporty... Ogólnie rzecz biorąc, rozumiesz, o czym mówię?
Z: – Jaką przeglądarkę polecasz używać?
OH: – Dla „Thora”?
Z: - Zupełnie nie.
OH: - Cóż, nie wiem. Właściwie korzystam z Chrome, ale tylko dlatego, że panel programisty jest tam najwygodniejszy. Jeśli nagle będę musiał gdzieś wyjść, pójdę do jakiejś kawiarni. To prawda, że \uXNUMXb\uXNUMXbnie trzeba logować się przy użyciu prawdziwej karty SIM.
Z: – Mówiłeś o jakichś studentach. Czy uczysz gdzieś lub prowadzisz jakieś kursy?
OH: – Tak, mamy tytuły magisterskie z dziennikarstwa opartego na danych. Szkolimy dziennikarzy w zakresie gromadzenia i analizowania danych – oni cyklicznie przeprowadzają podobne badania.
Brak bezpiecznych aplikacji
Z: – Nie jest bezpiecznie komunikować się ze znajomymi na Facebooku, Vkontakte, aby później nie otrzymywać reklam kontekstowych. Jak możesz poprawić bezpieczeństwo?
OH: – Pytanie brzmi, jaki poziom bezpieczeństwa uważa Pan za akceptowalny. W zasadzie nie ma słowa „bezpieczny”. Pytanie brzmi, co uważasz za akceptowalne. Niektórzy uważają za akceptowalną wymianę intymnych zdjęć za pośrednictwem Facebooka, a część funkcjonariuszy wywiadu uważa, że wszystko, co zostało powiedziane ustami, nawet najbliższej osobie, jest tak naprawdę niebezpieczne. Jeśli nie chcesz, aby sieć społecznościowa dowiedziała się czegoś na ten temat, to tak, lepiej o tym nie pisać. Nie znam żadnych bezpiecznych aplikacji. Obawiam się, że nie ma żadnych. I jest to normalne z punktu widzenia tego, że każdy właściciel dowolnej aplikacji musi w jakiś sposób na niej zarobić, nawet jeśli jest to aplikacja bezpłatna lub jest to jakiś rodzaj mediów. Wydaje się, że jest za darmo, ale nadal musi z czegoś żyć. Dlatego nic nie jest bezpieczne. Musisz tylko sam zdecydować, że tak powiem, co Ci odpowiada.
Z: - Czego używasz?
OH: - Portale społecznościowe?
Z: - Od posłańców.
OH: – Jeśli chodzi o komunikatory, korzystam z głównego komunikatora państwowego Federacji Rosyjskiej – Telegramu.
Z: - „Viber”. Czy to jest bezpieczne?
OH: – Słuchaj, nie jestem zbyt biegły w komunikatorach. Szczerze mówiąc, nie wierzę w bezpieczeństwo, nie wierzę w nic, bo to byłoby pewnie bardzo dziwne. Chociaż Telegram jest rodzajem oprogramowania typu open source i jego algorytmy szyfrowania zostały ujawnione. Ale to również jest bardzo trudne, ponieważ istnieje klient „open source”, ale nikt nie widział serwerów. Myślę, że nie: na Viberze jest dużo spamu, botów i tak dalej. Kto wie. Nie sądzę, żeby to wszystko działało zbyt dobrze.
Kto jest bardziej niebezpieczny – korporacje czy państwo?
Prowadzący (B): – I mam do Ciebie takie pytanie. Słuchaj, wspomniałeś o tym mimochodem kilka razy - że państwo... Zbyt dużo danych nie jest zbyt dobre... Korporacja ma za dużo danych. Cóż, takie jest po prostu życie, prawda? Kogo więc powinniśmy się bardziej bać – korporacji czy państwa? Gdzie są pułapki?
OH: - To bardzo trudne pytanie. Graniczy. Złożona bariera etyczna. Osoba, jeśli nie ma się czego obawiać, jeśli nie złamała prawa, to w zasadzie po co mu prywatność? Chociaż ja tak nie uważam, tak uważa państwo. Być może jest w tym ziarno prawdy. Słuchaj, najbardziej boję się hakerów – czegoś w tym rodzaju. Właściwie największe okrucieństwo, jakie widziałem w życiu (z całego tego tematu): około półtora roku do dwóch lat temu w rejonie Moskwy złapano pedofila i podczas działań śledczych odnaleziono kilka tutoriali w języku Python i skrypty na swoim komputerze, API VK. Zbierał relacje dziewcząt, analizował, która z nich była w pobliżu, zbierał treści, które one... Krótko mówiąc, rozumiesz. To największe gówno jakie kiedykolwiek widziałem. I tego właśnie się najbardziej boję, że kiedyś ktoś zrobi coś podobnego.
Kolejny mały „offtopic”: Europejska Organizacja Bezpieczeństwa Państwowego sporządziła w tym roku raport, że liczba kradzieży z kont bankowych wzrosła o około 20, 25 procent w wyniku zhakowania tajnego pytania. Pomyśl teraz o swoim tajnym pytaniu w banku i zastanów się, czy uda mi się znaleźć na nie odpowiedź z otwartych źródeł. Jeśli masz tam nazwisko panieńskie swojej mamy lub ulubione danie... Generalnie ludzie analizowali relacje, na tej podstawie rozumieli imię swojego ulubionego zwierzaka - coś w tym stylu...
Z: – Powiedziałeś, że firmy i korporacje zbierają niezbędne informacje za pomocą algorytmów? Na pewno wiesz jak?
OH: – Był ruch ludzi, którzy kiedyś przepuszczali zdjęcia przez specjalny filtr, żeby ten filtr zakłócił analizę zdjęć, tak że nie dałoby się później jakoś zidentyfikować tych osób. Tutaj podałem przykład: Facebook miał problemy z szyfrowaniem wiadomości. A jeśli coś takiego się pojawi i stanie się powszechne, sieci społecznościowe prawdopodobnie będą z tym walczyć. Poza tym rozpoznawanie obrazu działa teraz bardzo dobrze, a to graniczy z tym, że poziom wystarczający, aby „złamać” to zdjęcie (aby „złamać” algorytm rozpoznający te obrazy) - najprawdopodobniej nic już na nim nie będzie jasne nie być.
Wszelkiego rodzaju filtry usterek sprawdzają się dobrze, jeśli połowa zdjęcia jest mocno przesunięta. Twoje konto nabierze wtedy wszystkich barw LSD. Czysto teoretycznie nie wydaje mi się, żeby było to bardzo straszne, jeśli Facebook np. dowie się, jakie mam auto – pewnie jeśli nie zaloguję się do samochodu przez Facebooka.
Prawo zapomnienia działa, ale nie w Internecie
Z: – Czy spotkałeś użytkownika, który zmusił Cię do szanowania go, usunięcia go, uzyskania dostępu. Operujesz z dużą ilością danych, prawdopodobnie o tym powiadamiasz. Ludzie mogą się z Tobą skontaktować. Jaki procent?
OH: – Powiem ci teraz. Teraz robi się naprawdę interesująco. Teraz policzę ile osób przyjdzie, bo po wydarzeniu zawsze przychodzi 15-20%, należy wypełnić formularz usunięcia danych - jest coś takiego. W rzeczywistości jest to około 7-8% zamkniętych kont, których nie analizujemy i około 5 osób na tysiąc, które proszą o usunięcie swoich danych. To bardzo mało, nawet moim skromnym zdaniem.
Problem jest następujący: istnieje coś takiego jak prawo zapomnienia. Ale ustawa o zapomnieniu, przynajmniej w Rosji, prawnie dotyczy tylko wyszukiwarek. Tam jest napisane: wyszukiwarki. A to oznacza usuwanie jedynie linków do materiałów, a nie samych materiałów. W rzeczywistości, aby usunąć coś z Internetu, trzeba będzie ominąć wszystkie te źródła, więc w zasadzie w to nie wierzę. Staramy się ostrzegać użytkowników, że muszą najpierw pomyśleć przed publikacją.
Na razie odsetek ten jest bardzo mały – 5-7 osób na tysiące. Nawiasem mówiąc, o prawie zapomnienia: wszyscy znają taką fajną sprawę „Sieczin przeciwko RBC”. Prawo zapomnienia zadziałało, artykuł został usunięty, ale tak jest wszędzie. Rozumiesz, że jeśli coś raz trafi do Internetu, nigdy już stamtąd nie zniknie.
Użytkownicy są usuwani, ale identyfikowani są poprzez typowe zachowanie
Z: – Czy nie sądzi Pan, że osoby usuwające swoje konta i próbujące zostać „czarną dziurą” będą w niekorzystnej sytuacji w porównaniu z innymi podmiotami gospodarczymi?
OH: - Najprawdopodobniej tak - ta sytuacja będzie dla nich niekorzystna. Istnieje wiele zniżek i ofert zależnych od nich. Ale czysto teoretycznie, jeśli ktoś teraz usunie konto... Jest to popularne wśród wszelkiego rodzaju ekstremistów, gdy usuwają konto i tworzą fałszywe, ale nadal wchodzą w interakcję z tą samą treścią - tę osobę ponownie można zidentyfikować (zwłaszcza jeśli jest to w tej samej sieci społecznościowej, z jednego komputera - jest to zazwyczaj pytanie); Po prostu opierając się na modelu konsumpcji treści, będzie można znaleźć tę osobę, jeśli będzie takie zadanie.
Mam nadzieję, że w ciągu najbliższych 5 lat pojawi się jakaś technologia monetyzacji tych danych, kiedy faktycznie będzie można zapłacić komuś pieniądze – Ty zapłacisz sam, a my nie będziemy korzystać z Twoich danych. Myślę jednak, że jeśli jakiś Instagram wprowadzi płatną subskrypcję, to nikt nie będzie z niej korzystał, więc alternatywą jest płacenie użytkownikom za ich dane. Ale nie stanie się to szybko, bo lobby przerażających korporacyjnych facetów nie pozwoli na uchwalenie takiego prawa, chociaż byłoby fajnie. Rzecz jednak w tym, że niemożliwe jest oszacowanie rzeczywistej wartości danych jednej osoby w jakimkolwiek konkretnym momencie.
Facebook – nieszczelni chłopaki
Z: - Dzień dobry. Całkiem niedawno pojawiła się wiadomość, że Facebook zamierza zintegrować wszystkie swoje projekty, w tym Instagram i Facebook, WhatsApp i tak dalej. Jak myślisz, z punktu widzenia danych osobowych, kiedy teraz na moim smartfonie programy te wydają się wisieć osobno, ale nadal należą do Facebooka?.. Co będzie dalej?
OH: - Rozumiem. Prawnie należą już do Facebooka, a on może ich w niekontrolowany sposób zjednoczyć w sobie, więc myślę, że nic się nie zmieni. Tyle, że teraz wystarczy zhakować jedną aplikację, żeby mieć wszystko na raz. I Facebook... Mam nadzieję, że oglądają. Wszędzie strasznie nieszczelni goście.
Ostatnio pojawiło się wiele informacji na ten temat – o wyciekach danych z Facebooka. Stało się tak nie dlatego, że Facebook nagle zaczął tracić te dane, ale dlatego, że RODO zmusza teraz firmę do ostrzegania z wyprzedzeniem. A największą karą jest, jeśli doszło do wycieku, ale firma milczała na ten temat i dlatego Facebook sam o tym teraz mówi. Nie oznacza to, że takie wycieki danych nie miały wcześniej miejsca.
Z: - Cześć. Mam pytanie dotyczące przechowywania danych. Teraz każde państwo wprowadza prawo, które ma zapewnić przechowywanie danych obywateli na terytorium tego państwa. Jaki warunek wystarczy spełnić, aby zastosować się do tego prawa w przypadku jakiegoś zastosowania międzynarodowego?.. Na przykład Facebook: jest tylko jedna baza danych...
Jak spełnić te warunki?
OH: – Słuchaj, zgodnie z prawem wystarczy wynająć serwer w tym kraju i coś na nim postawić. Problem w tym, że nie ma kompetentnego organu regulacyjnego. Dane Facebooka nie istnieją w Rosji. Roskomnadzor z nimi walczy i walczy, walczy i walczy... Facebook ma część serwerów, na których znajduje się interfejs tego właśnie Facebooka i nie da się sprawdzić, gdzie faktycznie znajdują się dane i jak są synchronizowane.
Z: – Sprawdź ruch?
OH: – Sprawdź ruch? Tak. Ale ruch może wtedy skierować się do jakiegoś głównego punktu. Ponadto między serwerami może istnieć coś w rodzaju VPN lub czegoś innego. Czysto teoretycznie nie ma możliwości kontrolowania tego, że np. administrator systemu nie zaloguje się kiedyś na ten serwer i nic stamtąd nie pobierze. Oznacza to, że prawo to zostało uchwalone nie ze względu na ochronę danych, ale po to, aby firmy mogły otwierać przedstawicielstwa, płacić podatki i przechowywać towary w kraju. Ale moim zdaniem jest to, szczerze mówiąc, bardzo dziwna inicjatywa.
Z: – Czyli wystarczy faktycznie sprawdzić interfejs?
OH: Ktoś może do Ciebie przyjść i sprawdzić, czy znajdują się tam Twoje dane. Ale można pokazać jakiś Excel i nikt nie będzie w stanie tego sprawdzić, mało kto to sprawdzi. Teraz po prostu patrzą na adresy IP: czy adres IP powiązany z domeną znajduje się na terytorium kraju - nie sprawdzają dalej. Teraz prawdopodobnie przyjdą mnie sprawdzić.
Nie ma usług, którym można zaufać w 100%, ale porządni ludzie nie mają się czego obawiać
Z: - To wiadomość, przedrukowana w wielu miejscach: facet zamieścił to od Microsoftu, wykonał serwis, żeby sprawdzić...
OH: – Coś w stylu: czy wyciekły Twoje hasła? Tak naprawdę po tych samych wyciekach na Facebooku, ten sam Facebook zawsze uruchamia jakieś strony z kopiami zapasowymi, na których można sprawdzić, czy nie ma go w tej bazie danych – ponownie wymaga tego RODO. Oznacza to, że jeśli tego nie zrobisz, nie będziesz czuć się zbyt dobrze. Dlatego wszyscy teraz przedstawiają te projekty jako „to nasza inicjatywa”; w rzeczywistości wymaga tego prawo. To właściwie bardzo fajna rzecz, ale nie ufałbym takim usługom weryfikacyjnym, jeśli musisz wysłać coś bardziej skomplikowanego niż hasło, ponieważ wiele osób ma takie same hasła.
Z: – Po prostu podajesz swój adres e-mail, a oni już mówią, ile razy został on naruszony...
OH: – Właściwie nie ufam takim rzeczom, bo bardzo łatwo jest połączyć Cię z tą przeglądarką, z prawdziwym kontem. Zwłaszcza jeśli korzystasz z usług tych samych osób, które uruchomiły tę witrynę. To tak, jak w tym roku, kiedy Facebook wysłał: jeśli Twoje intymne zdjęcia wyciekły na Facebooka, wyślij je do nas, a my sprawdzimy, gdzie o nich wspomniano.
Nie wiem, co to za PR-owy koszmar i kto na Facebooku to wymyślił, ale wydarzyło się naprawdę. Chcieli sprawdzić, czy ktoś wysłał Twoje akty w prywatnych wiadomościach. W zasadzie służy to dobrym celom, ale jest tak dziwne, jak to tylko możliwe. Nie ufałbym temu.
Z: - I jeszcze jedno pytanie. Jak wysokie jest ryzyko wycieku dla przeciętnego użytkownika? Ryzyko uszkodzenia na skutek nieszczelności.
OH: - Zrozumiałem cię. To zależy od rodzaju danych do przechowywania. Myślę, że niezbyt wysoko. Najgorsze jest to, że jeśli gdzieś wyciekają Twoje e-maile i hasła, a Ty masz to hasło wszędzie – wtedy tak. Ogólnie myślę, że użytkownicy nie mają się czego obawiać. Ale chyba że przechowują jakieś rozczłonkowania w poczcie Google. Przykładów było mnóstwo.
Najsłynniejsza historia jest w Google, kiedy w Utah porwano dziewczynę, nie mogli jej znaleźć, a w pewnym momencie porywacze przesłali jej zdjęcia w zarchiwizowanym załączniku. Google skanując ten załącznik, znalazł oznaki pornografii dziecięcej. Znaleźli wszystkich. Udało im się też pozwać Google za naruszenie poufności korespondencji. Ta rozprawa trwała dość długo. Niemniej jednak uważam, że przeciętny użytkownik nie ma się czego obawiać, jeśli nie udostępni publicznie swojego paszportu. To jest podwójna historia – w zależności od tego, jakie dane i jakiego rodzaju użytkownika. Może teraz jest w porządku, ale za 15 lat, kiedy zostanie jakimś urzędnikiem, część jego materiałów wyjdzie na światło dzienne.
Jak to wygląda z rządem?
Z: - Dziękuję. Mówiłeś trochę o prowadzeniu badań dla państwa, agencji rządowych, służb i współpracy z nimi. Może możesz nam powiedzieć trochę więcej o niektórych bieżących projektach. Tym bardziej, jeśli można, o... Dwa pytania: pierwsze to aktualne projekty, a drugie to, czy były takie propozycje ze strony służb rządowych...
OH: - Nieprzyzwoite!
Z: - Tak. Kiedy pomyślałeś: może nie powinieneś tego robić.
OH: - Powiem ci. Mówię to wszystkim. Ta osoba i ja długo kłóciliśmy się na Twitterze. Kiedyś otrzymałem pytanie od zespołu Milonova na Twitterze dotyczące znalezienia nauczycieli, którzy oglądają gejowskie porno. Od razu powiedzieliśmy, że nie. Ale są takie, często przychodzą listy i bardzo często jest to związane z jakimiś opozycjonistami, wiecami. Nie zajmujemy się takimi bzdurami, i tak wszyscy nas obrzucają gównem. Nie wstydzę się tego.
Mamy następującą politykę dotyczącą „stanów”: tworzymy oprogramowanie, oprogramowanie do rekonstrukcji trójwymiarowej, rozpoznawania twarzy i analizy danych. Bardzo trudno powiedzieć, czym dokładnie się zajmują, ale modele obejmują prognozowanie przestępczości, kwestie związane z bezpieczeństwem państwa w mieście, przepływami ludności, geomarketingiem i tak dalej. Od umieszczania obiektów w środowisku śródmiejskim po identyfikację pedofilów, gwałcicieli, maniaków i wszelkiego rodzaju złoczyńców.
Szczerze mówiąc, nie angażowaliśmy się w żadną działalność opozycyjną. Może nie mówią nam tego prosto w twarz. Tak naprawdę to jest bardzo duży problem – współpraca z „rządami”, bo one nie zawsze wyjaśniają, na czym polega zadanie. Mówią: zróbcie oprogramowanie do identyfikacji gospodyń domowych, ale tak naprawdę zamierzają z tym zrobić coś innego - wszystko się psuje.
Poza tym państwo jest bardzo ciekawym i dziwnym klientem, który ciągle próbuje wtrącić trzy grosze do Twoich badań, a często ich podejście i zrozumienie uczenia maszynowego jest bardzo powierzchowne. Mam na przykład osobny wykład na temat błędów uczenia maszynowego. Zawsze podaję tam przykład: kiedy tworzyliśmy system przewidywania przestępczości w obwodzie moskiewskim, klient powiedział: tam, gdzie sprzedają arbuzy, proszę zwiększyć współczynnik czterokrotnie. A potem tak naprawdę okazało się, że miejsca sprzedaży arbuzów wcale nie są przestępcze. Są to po prostu błędy osoby, która wniosła swoje przemyślenia.
Krótko mówiąc państwo to fajny klient, jest tam sporo ciekawych zadań. Większość sprowadza się do podobnych modeli przewidywania czegoś. Najczęściej jest to jakiś rodzaj infrastruktury miejskiej.
Z: – Czy są jakieś źródła, w których można śledzić swoje badania? Dużo informacji. Jak rozumiem, sporo z tego zostało jeszcze za burtą. Twoje strony, coś innego...
OH: – Nie mam stron osobistych.
Z: – Prawdopodobnie Facebook został już zamknięty?
OH: – Jakieś cztery miesiące temu była taka historia: przysłali nam wszystkim tak duże listy, że „jesteście dziwakami, sprzedajecie wszystko Kremlowi, łamiecie wszystkie zasady Facebooka”. Wysłali nawet mojemu psu list: „Witam, Mars blue corgi, zbierasz dane!” i tak dalej. Słuchaj, teraz zmieniamy markę. Za dwa, trzy tygodnie nasza strona internetowa będzie już gotowa i wszystko zostanie zaktualizowane. To będzie co oglądać. Ale jesteśmy pod tym względem bardzo leniwi.
Jak określić niezawodność VPN?
Z: – Kiedy powiedziałeś, że pójdziesz do kawiarni nie identyfikując się swoim numerem telefonu? I pod czym?
OH: – Nie można powiedzieć „pod cudzym nazwiskiem”, bo jest to wezwanie do naruszenia przepisów dotyczących identyfikacji. Nie nie nie. Żartuję. Teraz prawie wszystkie kawiarnie identyfikują wszystko – jest tam nie tylko numer telefonu, jest też kilka pikseli, jest identyfikacja urządzenia, adres MAC i tak dalej, aby móc go później wykorzystać – od celów reklamowych po działania związane z wyszukiwaniem operacyjnym. Dlatego należy być bardzo ostrożnym z takimi rzeczami. Nie tylko możesz coś napisać, ale oni mogą pisać z Twojego urządzenia i wtedy coś się dzieje.
Być może widzieliście historię o tym, jak prowadzą obecnie dochodzenie w sprawie tego, jak (nawiasem mówiąc, na Białorusi) wynajmują konta na Facebooku, na przykład w celu reklamy kasyn. Ale tak naprawdę nie wiadomo dlaczego, dają także dostęp do komputera. Są to rzeczy, których należy unikać tak bardzo, jak to możliwe. Jeśli zdecydujesz się gdzieś napisać coś anonimowo... Przyjdę do kawiarni i włączę jakąś fajną VPN. Ale tak naprawdę (znowu nie wytykam nikogo palcami), kiedy masz konto w VPN, sprawdzasz, kto jest właścicielem tej VPN, jaka firma, kto jest właścicielem tej firmy i tak dalej. Ponieważ większość graczy na rynku VPN nie jest do końca dobrymi ludźmi.
No cóż, na Białorusi to nie ma znaczenia. W Rosji dobra sieć VPN jest sprawdzana pod kątem tego, czy azino777 jest tam zablokowany, czy nie. Bo jeśli nie, to istnieje duże prawdopodobieństwo, że ta usługa VPN zostanie zamknięta w ciągu tygodnia. Generalnie sprawdź wszystko.
Informacje o automatycznym usuwaniu wiadomości
Z: – Tak dużo mówiłeś o wiadomościach osobistych, że czytają je sieci społecznościowe… Ale na przykład Facebook ma tajne wiadomości osobiste, które można ustawić (z wyjątkiem tego, że są one również zaszyfrowane) w celu zniszczenia. Jak możesz to komentować?
OH: - Nie ma mowy. Po pierwsze nie jestem superprofesjonalistą w dziedzinie kryptografii, a po drugie problem polega na tym, że nikt nie widział serwera Facebooka, nikt nie wie jak tam to wszystko działa. Konwencjonalnie niektóre specyfikacje mówią, że jest to szyfrowanie typu end-to-end, ale może tak nie być lub jest to szyfrowanie typu end-to-end, ale z pewnymi błędami lub czymś innym. Używanie takiej rzeczy ma sens, jeśli boisz się, że osoba, do której ją wysłałeś, w pewnym momencie spróbuje coś zrobić.
Telegram ma wygodną funkcję wysyłania intymnych zdjęć, które same się usuwają: gdy próbujesz zrobić zrzut ekranu, jest on automatycznie usuwany. iPhone ma teraz funkcję nagrywania wideo z ekranu, można nagrywać wideo z ekranu i tak dalej... Po prostu bardzo często przesyłają mi materiały z tą funkcją (automatyczne usuwanie) - nigdy nie rozumiem dlaczego. Mogę to pobrać od razu! Wszystko według własnego uznania.
Ocena społeczna w Chinach: mity, rzeczywistość, perspektywy
W: – Właściwie trochę tego nadużywam, chociaż VPN nie jest mi potrzebny (swoją drogą mamy sprawdzony VPN). A pytanie dotyczy etyki. Mamy wspaniałego przyjaciela z Kazachstanu, którego też przywieźliśmy na wykład. Kiedyś usiedliśmy z nim na jakiejś konferencji, gdzie rozmawiali o różnych sprawach, a on powiedział (a on zajmuje się cyberbezpieczeństwem, czyli w czystej postaci bezpieczeństwem inżynieryjnym, osobą, która interesuje się rozwiązaniami technicznymi): „Tutaj, Wróciłem z Chin. Robią tam fajną rzecz – ocenę społeczną.” Swoją drogą, czy przeprowadziłeś jakieś badania na ten temat, jak to na nich działa?
OH: – Sprzedajemy scoring w Rosji, dużo o tym wiem.
W: – Mam zatem pytanie, co by nam Pan więcej powiedział na ten temat – o tym, co być może nas wszystkich czeka w przyszłości. Ale jeszcze jedno pytanie o etykę. Powiedział z radością: „Ciekawe rozwiązanie inżynieryjne!” Czy masz swój własny kodeks etyczny?
OH: - Tak przy okazji, jest. Wprowadziliśmy to dwa lata temu – zaraz po historii z Milonovem postanowiliśmy jakoś uszeregować te projekty. Wracając do oceny: to jedno z bardzo popularnych pytań, bo media bardzo demonizują całą tę historię - że ludziom nie wolno wyjeżdżać za granicę, zabija się ich laserem z księżyca. Znowu przynoszę ci rzeczy inżynieryjne...
Jeśli zaczniesz zagłębiać się w tę historię, spójrz, jakie parametry są uwzględnione w tej ocenie społecznościowej, zrozumiesz: obejmuje ona zamknięte alimenty, rejestry karne, historię kredytową, czyli naprawdę niesamowitą rzecz z inżynierskiego punktu widzenia. Żyjesz nie łamiąc prawa, żyjesz dobrze - dają ci niskie oprocentowanie kredytu. Masz ważną pracę społeczną (na przykład nauczyciel) - otrzymujesz odpowiednie mieszkanie. Na początku wszystkich to zdezorientowało, bo na początku wyciekła historia, że jeśli źle napiszesz o prezydencie, to twoja ocena zostanie obniżona. Chociaż nie było dowodów. Na obronę oceny powiem wbrew ocenie, że nikt nie widział algorytmu, jakie parametry tam faktycznie są stosowane.
Potem pojawiła się historia, że ponad milionowi osób nie pozwolono wyjechać za granicę i zakazano im wyjazdu. W rzeczywistości nie jest to całkowicie dokładne sformułowanie. Kiedy otrzymasz wizę (na przykład do Europy), otrzymasz wizę w wysokości „70 euro dziennie” (mniej więcej); Jeśli nie przedstawisz dowodu dochodu, nie otrzymasz wizy. W Chinach lokalne Ministerstwo Spraw Zagranicznych zdecydowało się pójść nieco dalej: po prostu natychmiast ostrzegło osoby, które nie mają wystarczającej ilości pieniędzy, że jeśli będą chciały wyjechać za granicę, nie będą miały wystarczającej ilości pieniędzy. W związku z tym wszystko to zostało później przełożone na koncepcję zakazującą biednym wyjazdów za granicę. To złożona kwestia etyczna, graniczy z pewnym domniemaniem winy lub niewinności, ale tak naprawdę nie jestem w stanie jej ocenić.
Ludzie zabijają, nie broń
Najważniejszą rzeczą, którą musisz zrozumieć, jest to, że wszystkie algorytmy potępiane przez społeczeństwo nie stanowią problemu z algorytmami. Algorytmy po prostu umożliwiły bardzo szybką analizę dużej „liczby” ludzi i ten problem społeczny został wyniesiony na sam szczyt. Oznacza to, że bot Microsoftu, który nauczył się z tweetów i stał się rasistą – to nie jest wina bota, ale tweetów, które przeczytał. Albo firma, która na podstawie analizy obecnych decyduje się zbudować model idealnego pracownika, a okazuje się, że jest to biały mężczyzna płci męskiej z wyższym wykształceniem.
To nie jest modelka, która jest rasistowska, seksistowska czy cokolwiek innego; to są ludzie, którzy zatrudnili tych ludzi (czy mieli rację, czy nie – to nie ma znaczenia). Wszystko po prostu graniczy z tym, że sztuczna inteligencja jest zła, zła i zniszczy świat, a tak naprawdę... Jeśli warunkowo, teraz np. rząd rosyjski uchwali ustawę, że opozycjoniści nie dostaną wolności edukację i napiszą oprogramowanie, które zidentyfikuje i pozbawi ich tej bezpłatnej edukacji - to nie algorytm będzie winien. Chociaż nikt nie popiera mojej koncepcji, bo kiedy mówię, że to nie broń zabija ludzi, ale ludzi, „jesteś faszystą” i tak dalej.
Ogólnie jest to naprawdę fajne rozwiązanie inżynieryjne. Trzeba zrozumieć, dlaczego tak się nie stanie na przykład w Rosji. Wy [na Białorusi] tego nie będziecie mieli, bo jesteście państwem europejskim, wszystko z wami jest w porządku. W Rosji nie stanie się to z wielu powodów: po pierwsze, nie mamy takiego samego poziomu zaufania do systemu egzekwowania prawa jak w Chinach; Nie mamy tego samego poziomu cyfryzacji. Dlaczego w Chinach wszystko się udało? Bo rząd: ma cyfrową medycynę, cyfrowe ubezpieczenia, cyfrową policję. I ktoś mądry wpadł na pomysł: zbierzmy to wszystko w jedną całość i zróbmy to – w zasadzie jest to program lojalnościowy. Jest więcej dobra niż „nie-dobrego”.
Dlatego tak – myślę, że w Rosji nie zostanie to wprowadzone. Najpierw trzeba zdigitalizować całe Ministerstwo Zdrowia (a to zadanie na 50 lat) – ktoś będzie musiał za to oddać życie, ale nikt tego oczywiście nie zrobi. Z drugiej strony rosyjskie banki są liderami na świecie w scoringu ludzi, nic nie robią: „Tak, stary? Czy lubisz młode dziewczyny? Oto karta kredytowa dla twojej kochanki. Wszystko jest tam bardzo zaawansowane. Przykładowo w Ameryce tego rodzaju scoring jest niemal wszędzie zabroniony, bo obowiązują przepisy, według których bank ma obowiązek wytłumaczyć Ci dlaczego: „Aha! Bo firma Social Data Hub prowadzi historię od 10 lat i tak a tak ujawniła coś o Tobie! I pozwijmy ich obu! Ale u nas nie ma takich historii.
Dlaczego statystyki milczą?
W zasadzie jestem za scoringiem, jeśli nie jest to jakaś opowieść „totalitarna”. Ale całe pytanie polega na tym, że nie da się tego przewidzieć i ocenić. To najtrudniejsza historia w etyce dużych zbiorów danych – przewidzieć wpływ społeczny, jaki będzie za 15 lat. Ja na przykład bardzo długo błagałam prokuraturę o udostępnienie informacji o przestępstwie. Statystyki dotyczące przestępczości są jednym z kamieni węgielnych wszelkich statystyk; każdy naprawdę tego chce. Ale na przykład w Rosji nie otwiera się statystyk dotyczących przestępczości z bardzo prostego powodu: boją się zakłócić demografię w miastach. Wierzą, że w niektórych miastach ludzie przestaną mieszkać i nawet w obrębie miasta wszystko zostanie w jakiś sposób rozdzielone. Z tego samego powodu nie ujawniają statystyk Unified State Exam - rozumiesz, że ludzie pójdą do niektórych szkół, a do innych nie.
Być może to prawda, może nie, ale było wiele projektów... Na przykład Yandex kiedyś (znowu, według „żółtych” plotek, nie widziałem tego, nie wiem) zdecydował się dodać liczbę ataków na taksówkarzy do modelu prognozowania nieruchomości, czyli pewnego podejścia do poziomu przestępczości, licząc liczbę skarg taksówkarzy, że ktoś ich nękał, groził im i tak dalej. Szybko odmówili w firmie, żeby nie robić takich rzeczy.
Z: – Komunikujesz się ze studentami, komunikujesz się z publicznością w swoim kraju, w naszym kraju. Po liczbie pytań od publiczności zauważyłeś, że wciąż jesteśmy na tym etapie rozwoju, kiedy uważamy, że potrzebujemy poufności, że możemy przed kimś ukryć, chronić nasze dane, nie udostępniając ich, ukrywając je, szyfrując. Jeżeli Unia Europejska przeszła już do kolejnego etapu, etapu prywatności, co oznacza kontrolę nad danymi – zmuszenia każdego, kto zbiera Twoje dane, do zapewnienia Ci skutecznej kontroli nad nimi… Na podstawie próbek według regionu, warstw społecznych – jakiej kategorii obywateli, ludzi, jest więcej Czy ona już przeszła do drugiego etapu, czy też kto jeszcze w większości siedzi na pierwszym?
Kto jest najbardziej zaniepokojony bezpieczeństwem danych osobowych?
OH: – Całkowita większość... Powiedziałbym: nikogo to nie obchodzi! To niepokoi teraz najwyższych menedżerów. Według miast w Rosji są to Moskwa i Sankt Petersburg. Aktywnym ośrodkiem są informatycy, projektanci, zawody twórcze, wszyscy, którzy potrafią filtrować treści, zdobywać nową wiedzę, o wysokim poziomie zainteresowania problematyką międzynarodową. Są to głównie menedżerowie najwyższego szczebla; tak, specjaliści IT (nie licząc specjalistów ds. bezpieczeństwa); bankierzy – czyli wszystkie osoby, na które wyciek danych może w jakiś sposób wpłynąć.
Jeśli np. skradzione zostaną dane jakiegoś domownika z jakiejś Kaługi, jest mało prawdopodobne, aby coś poważnie zmieniło się w jego życiu, jeśli ktoś mu ukradnie na przykład dostęp do Gmaila, gdzie przechowuje dostęp do seriali. Pytanie, czy prawo chroni wszystkich jednakowo i to jest słuszne, bo... z punktu widzenia prawa wszyscy są równi - haha... ale najważniejsze, że nie da się zrozumieć czyje dane ile będzie wart, dopóki te dane nie znikną - niestety jest bardzo trudne do przewidzenia. Ale w zasadzie ta kategoria obywateli.
Telefon - w folii!
Pierwszy raz w życiu widziałem kompleksowe składowanie wszystkiego i wszystkiego w dwóch firmach. Jednym z nich jest największy integrator bezpieczeństwa informacji: wszystko tam, nawet USB, jest zaklejone klejem wewnątrz biura; i ludzie tam są tacy sami - spotkałem tam człowieka, który miał telefon w foliowej torbie. Dowiedziałam się, że są firmy, które sprzedają takie specjalne torby. I drugi raz spotkałam się z podobną historią w Bloombergu wśród pracowników: staliśmy w palarni, ktoś gdzieś robił zdjęcia i jeden z nich - „Żeby nas tam w tle nie było widać!” Pomyślałem: „Och, wow”!
„Jesteśmy lepsi od FSB”
Nie chciałbym powiedzieć, że jest to mniej niż jeden procent populacji, ale niestety w ogólnej masie prawie wszystkich to nie obchodzi. Ale z drugiej strony mam skandaliczną służbę monitorowania zachowań nieletnich (już dawno ją uruchomiliśmy pod hasłem „Jesteśmy lepsi od FSB”), aby ostrzec rodzica, że nieletni tworzą śmieci , przed naszym własnym algorytmem, zainstalowanym gdzie -ktoś zostanie do niego wysłany.
Przy weryfikacji dziecka trzeba przesłać skan paszportu (jest to w zasadzie normalna praktyka), ale pisaliśmy, że można obciąć numer paszportu, bo nas to nie interesuje; Interesuje nas tylko Twoje zdjęcie, hologram oraz imię i nazwisko. I dla prawie 100% osób – cóż, około 95 paszportów na 100 – ludzie starannie wycinali te numery w Photoshopie i wysyłali tylko niezbędną część. Oznacza to, że zrozumieli - tak, ponieważ tego nie potrzebują, nie muszą tego wysyłać. Moim zdaniem jest to swego rodzaju realny postęp, który wynika z ich braku zaufania do nas.
Z: – Próbka jest bardzo specyficzna. Są ludzie, którzy aplikują, są już zaawansowani.
Ludzie nie chcą być śledzeni, ale nie czytają umów
OH: - Tak. A druga sprawa jest taka sama: pod koniec tego roku uruchomiliśmy na próbę aplikację randkową (wkrótce ją wznowimy). Grupa kontrolna liczyła 100 tys. osób. I tam, zgodnie z podejściem RODO, na moim koncie osobistym było 15 pól wyboru - wyrażam zgodę na analizę interakcji z interfejsem, dostęp do moich danych demograficznych, dostęp do trójwymiarowej rekonstrukcji twarzy, dostęp do moich osobistych wiadomości i tak dalej . W miarę możliwości opisaliśmy wszystkie możliwe dostępy. Istnieją nawet statystyki dotyczące tego, kto i jakie pola zaznaczył. 98% pozostawiło domyślnie zaznaczone wszystkie pola (mimo że weszli na tę stronę i zobaczyli wszystko, ale nie obchodziło ich to), ale ciekawie było przeanalizować te 2% pod kątem tego, co było dla ludzi priorytetem.
Wszyscy usunęli pozwolenie na dostęp do prywatnych wiadomości i prawie wszyscy usunęli pozwolenie na dostęp do danych z testów seksualnych (co im się tam podoba, co tam wpisali, jakie są ich perwersje – żartuję). Ale ludzie zostali w to wciągnięci, szturchani: interfejs im mówi – przeczytaj to uważnie, daje to możliwość przewinięcia tej umowy do końca. Zrobiono to jednak wyłącznie dlatego, że był to projekt badawczy i wszyscy zostali ostrzeżeni. Żadna firma, w tym my, udostępniając tę aplikację w domenie publicznej, nie będzie zmuszać nikogo do przeczytania tej wiadomości do końca, ponieważ… cóż, przepraszam, tak to wszystko działa.
Pod warunkiem, że przyszli do nas, wiedząc, czym zajmuje się firma, wiedząc, że poszli do serwisu, który zaproponuje Ci kandydatów na podstawie tego, jaki rodzaj porno lubisz - nawet na tej podstawie tylko 2% czyta te checkboxy i w ogóle coś zrobiło . I prawie żaden z nich nie odznaczył opcji „Dostęp do ruchu i danych o odwiedzinach innych stron internetowych”. Przeważnie wszyscy martwili się wiadomościami osobistymi.
Nagość i więzienie za lajki – ciekawe prawa bratnich republik
Z: – Mam pytanie dotyczące ochrony danych. Telefon można nosić w folii, udawać, że ich nie ma... Wtedy okazuje się, że to się jakoś ratuje, ratuje, ale wtedy trzeba swoje dane przekazać państwu, bo ono od Was żąda, a po prostu nie można... A potem okazuje się, że wszyscy wykonawcy rządowi są pełni dziur. A na Białorusi też jest taka norma: jeśli sprawdzam bezpieczeństwo swoich danych osobowych (poprawiam coś i uzyskuję do nich dostęp), to od razu jestem przestępcą. W tym samym artykule oskarżono dziennikarzy w „sprawie BelT” o uzyskanie nieuprawnionego dostępu do danych (można przeczytać samodzielnie). Dlatego moje pytanie brzmi: czy takie ograniczenia są skutecznym środkiem zapewniającym prywatność i ogólnie bezpieczeństwo prywatnych danych?
OH: - Rozumiem. Na Białorusi istnieje wiele bardzo interesujących przepisów. Niedawno się dowiedziałem... Ciągle żartuję z publikowaniem nagości, ale okazuje się, że u nas jest to zabronione.
Z: – Demonstracja jest zabroniona!
OH: - To właściwie trochę dziwne.
Z: – Można oglądać, nie można przesyłać, nie można lubić. Nie możecie oglądać tego razem!
OH: – Odpowiem na twoje pytanie. Wróćmy do tematu „więzienia za lajki” w Moskwie. W Rosji jest to temat numer jeden. Nie wiem jak to jest na Białorusi, ale szczerze mówiąc, stan... Jeśli przeanalizuje się statystyki, w Moskwie 95 na 100 aresztowań za lajki ma miejsce wtedy, gdy ludzie skarżą się na ludzi, ktoś pisze do prokuratury o innym osoba. Państwo bardzo rzadko inicjuje takie sprawy. Wydaje mi się, że to prawo jest całkowicie absurdalne. Nie znam ani jednego prawdziwego przestępcy, który byłby za to więziony. Ale miara ta służy do przypisywania przynajmniej czegoś osobie. Wydaje mi się, że jest to tak dziwne, jak to tylko możliwe. Myślę, że kiedyś zostanie to anulowane.
Z: - To się nazywa trzymanie pokrywy.
OH: - No cóż... nie mogę powiedzieć. Nie jestem do końca propaństwowym potworem, ale mój odbiór trochę zmieniają, wiecie, ludzie, którzy przychodzą do nas i mówią: „Moje dziecko zaginęło, pomóżcie mi je znaleźć”. Mówię: „Bez zgody sądu nic nie mogę zrobić”. Patrzysz na tych rodziców, którzy oddaliby w życiu wszystko, udostępniliby jakiekolwiek dane, żeby tylko rozwiązać swój problem. Dlatego bardzo trudno mi prowadzić taką dyskusję: z jednej strony uważam, że państwo postępuje słusznie, gdy łapie prawdziwych ludzi, ale z drugiej strony dawanie niekontrolowanego dostępu to generalnie straszna historia.
Wracam do Twojego artykułu, „przepraszam”, że się rozproszyłem. W ogóle nie wierzę w torby foliowe. Posiadanie telefonu komórkowego i owijanie go w folię jest trochę głupie. Czemu to robić? Żeby telefon nie łączył się z Wi-Fi? Łatwiej to wyłączyć. Aby operator komórkowy Cię nie zidentyfikował? Nadal mogą trilaterować sygnał i w jakiś sposób go obliczyć. Dla mnie jedynym skutecznym zabezpieczeniem jest bezpieczne przechowywanie, jak w sieci lokalnej - może w mieszkaniu, gdzie można coś przechować.
Z: - Jest pytanie dotyczące ustawodawstwa. Czy przepisy są represyjne wobec osoby chcącej sprawdzić swoje dane?
OH: - Rozumiem, tak. Nawet nie wiedziałem o tej sprawie, więc nie mogę ci powiedzieć na pewno. W Rosji czegoś takiego nie ma, choć tam wszystko jest bardzo skomplikowane. Prawdopodobnie można skonsultować się z wykwalifikowanymi prawnikami i być może jest tu jakaś luka - może można zwrócić się do jakiegoś europejskiego sądu... Nie? Nie mogę ci o tym powiedzieć. Moja wiedza z zakresu prawa jest powierzchowna, na poziomie menadżera firmy. Wiem, czego nie robić, żeby nikt ci nic nie mówił. To oczywiście bardzo smutne.
Z: – Mam na myśli to, że w innych krajach (np. w Stanach) normalną praktyką jest to, że można przetestować jakąś podatność, a następnie zgłosić ją, ale nie ujawniać.
OH: - Tak, „nagroda za błędy”. Zdałem sobie sprawę, że coś takiego istnieje.
Z: „A firmy nie mają mechanizmu, który mógłby cię usunąć, bo tak jest taniej”.
OH: – Ta sprawa też graniczy z poziomem prawa. Zależy to od tego, jak znajdziesz tę lukę. Wydaje mi się, że duża część pieniędzy zapłaconych za tę lukę w Ameryce została zapłacona w ramach umów o zachowaniu poufności i groźby pozwania danej osoby. To też tak, jakby nie trzymał świecy. Zawsze ryzykujemy takie rzeczy. Moi pracownicy kilka razy znaleźli podobne luki we wszelkiego rodzaju aplikacjach rządowych – zawsze powtarzam: „Wyślij anonimowy list, zamiast mówić im, że tu jest luka”. A potem przyjdzie jakiś instytut badawczy i dostarczy tę usługę... Ogólnie rzecz biorąc, nie będę kontynuować.
Nie da się sprawdzić uczciwości firmy: jeśli Ci się nie podoba, nie korzystaj z niej
Z: - Pytanie. Mówiłeś, że przeprowadziłeś eksperyment - trzeba było zaznaczyć 15 checkboxów... Załóżmy, że użytkownik anulował wszystkie checkboxy. Kto i w jaki sposób będzie to kontrolował? Jak mogę to sprawdzić?
OH: – Powiem szczerze: nikt i nie ma mowy. Poważnie. To, że zaznaczyłeś i odznaczyłeś pole „Zabroń śledzenia reklam” w Google, nic nie znaczy. Niestety, nawet jeśli ustawisz zakaz indeksowania wyszukiwarek na VKontakte, wyszukiwarki nadal je indeksują, a następnie po prostu nie udostępniają tych wyników określonym osobom. Wszystko przez brak kompetentnych organów, które nie są w stanie tego zweryfikować. Poza tym firmy, które się tym zajmują, są prywatne. Niezależnie od tego, czy Facebook ma dobre, czy złe stanowisko, ma jedno: jeśli ci się nie podoba, nie korzystaj z niego.
O regulacji
Z: – Mam tylko jedno proste pytanie. Co sądzisz o kwestii regulacji przetwarzania danych i samoregulacji?
OH: – Jako przedstawiciel firmy uważam, że rynek i biznes potrzebują samoregulacji. Wierzę, że Big Data Association może wszystko regulować samodzielnie, bez udziału państwa. Naprawdę nie ufam regulacjom rządowym i naprawdę nie ufam wszystkim opowieściom o tym, że państwo chce coś zatrzymać dla siebie, ponieważ każdy przypadek pokazał, że jest to bardzo złe. Ktoś na pewno umieści login i hasło na żółtej naklejce na monitorze i tak dalej.
Generalnie jestem zwolennikiem samoregulacji. Poza tym wierzę, że w ciągu najbliższych 5 lat dojdziemy do pewnego rodzaju otwartości. Już teraz widać to w kanałach informacyjnych, że państwu bardzo trudno jest okłamać użytkowników, a użytkownikom bardzo trudno jest okłamać system. I to w zasadzie jest prawdopodobnie dobre. Ponieważ funkcjonariusze naszego wywiadu są identyfikowani na podstawie publicznych zdjęć
Wszystko to prawdopodobnie prowadzi do spadku przestępczości. No cóż, czysto matematycznie. Jeśli ktoś jest zainteresowany dyskusją o zmniejszeniu przestępczości, to można wyciągnąć wiele różnych wniosków. Generalnie jestem za samoregulacją rynku. Dziękuję!
Kilka reklam 🙂
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, , unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy taniej w centrum danych Equinix Tier IV w Amsterdamie? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com