Защита личной информации в интернете — возможна ли?
Миллиарды пользователей интернета ежедневно осознанно или не задумываясь становятся поставщиками личной информации. Наши личные данные попадают на удаленные серверы через мобильные устройства, поисковые системы и социальные сети. И, несмотря на то, что нас уверяют в их тотальной защите, конфиденциальность остается щекотливым и технически сложным вопросом для технологических компаний.
Информация в сети — большой брат следит за тобой
Не секрет, что персональные данные стали ключевым товаром в мире онлайн-бизнеса. Интернет-гиганты — Facebook и Google — предоставляют свои услуги «бесплатно» — взамен на личные данные. При этом делают огромные деньги, используя информацию, полученную от каждого шага, сделанного человеком в Сети. Социальные сети поощряют нас делиться своими мыслями и личными данными, призывая выкладывать фото, отмечать геолокацию и делиться с виртуальными друзьями своими радостями и печалями. С одной стороны, так мы общаемся и социализируемся в эпоху высоких скоростей и интернета, с другой — вся жизнь пользователя соцсетей как на ладони. Доступность личных данных особой угрозы не представляет — нет ничего страшного, если кто-то узнает ваш адрес или телефон. Реальная угроза возникает в случаях, когда личные данные используются как идентификатор для доступа к различного рода изменяемым базам данных, содержащим критически важную личную информацию. Поскольку у пользователей нет особого выбора — разрешать или нет отслеживание своих действий в Сети, большинство людей просто принимают сложившуюся ситуацию как неприятный, но неотъемлемый факт цифровой жизни.
Глобальные проблемы возникают, когда соцсети и поисковики сливают личные данные компаниям, которые обрабатывают большие массивы данных — Big Data, и используют их в деятельности, о которой никто не мог и подумать еще 5–10 лет назад. Так, личные данные 87 миллионов пользователей Facebook попали в доступ компании Cambridge Analytica, специализирующейся на политическом консалтинге, и были использованы для манипуляции общественным мнением во время предвыборной компании Дональда Трампа в 2016 году. Как попали личные данные в руки Cambridge Analytica? Заключив соглашение с компанией, специализирующейся на обработке данных, Cambridge Analytica создала программу, способную оценивать предпочтения избирателей и влиять на их выбор во время голосования. В Facebook был запущен психологический тест, в котором утверждалось, что его результаты будут использоваться в научных целях и не будут передаваться третьим лицам. В итоге были собраны данные, которые позволили создать полный профиль каждого пользователя, с учетом его убеждений, особенностей характера, предпочтений и интересов, а также политических взглядов. Это позволило создать максимально нацеленную рекламу в Facebook и повлиять на выбор во время голосования. Аналогично Cambridge Analytica сработала в 2016 году на референдуме «Брексит» в Великобритании. Марк Цукерберг в 2011 году лично обещал пользователям его компании соблюдать высокие стандарты безопасности личных данных, включая передачу сведений из Сети третьим лицам. В 2018-м ему пришлось предстать перед сенатом США, давая свидетельские показания об утечке данных.
Наверное, каждый с любопытством проходит тесты в Facebook, типа «Проверь, кто ты — герой книги или фильма?» Никто не задумывается, когда высказывает по какому-либо поводу свое мнение, что его мысли станут частью аналитического исследования и могут быть использованы в манипуляторных целях. И даже после громких скандалов и штрафов, применяемых к технологическим компаниям, люди все больше проводят времени в интернете, оставляя цифровые следы, которыми могут воспользоваться мошенники.
Личные помощники — друзья или враги?
Сегодня, в эпоху активного развития искусственного интеллекта, службы виртуальных помощников — Siri, Ok Google, Amazon Alexa — решают все больше задач и для этого получают максимальный доступ к личным данным. Стоит задуматься о том, что умные ассистенты используют фразы вроде «Hey, Siri» или «Ok, Google» для запуска. Это означает, что микрофон умного устройства постоянно остается включенным. Виртуальные помощники живут в смартфонах, планшетах и компьютерах или в стационарных устройствах — таких, как аудиоколонки Amazon Echo и Google Home. При этом их возможности постоянно увеличиваются: можно управлять воспроизведением музыки, узнавать погоду, регулировать температуру в доме, заказывать товары в интернет-магазинах. Как вездесущие микрофоны могут навредить нам? Простейшие примеры — утечка личных и корпоративных тайн в руки недоброжелателей, оцифровка разговора и передача его заинтересованным лицам. Например, прослушивание цифры полученного в SMS кода авторизации или реквизиты банковских карт, при заполнении онлайн-формы. Разумеется, активацию голосом можно отключить, но как быть с устройствами от Amazon, где голосовое управление — ключевая функция гаджета?
Голосовые ассистенты записывают нашу речь и хранят ее в своих базах данных. Такие серверы — одна из самых любимых целей хакеров. Если злоумышленники смогут получить доступ к одной из этих баз данных, это может навредить множеству пользователей. Ведь вполне возможно, что кто-то их использует в очень личных целях. Мы слишком открыты и доверяем множество своих секретов IТ-компаниям. Когда наши тайны перестают ими быть, виним мы, разумеется, не себя, а место, где они хранились.
В июле 2018 года в выдачу поисковика Яндекс, запрещенного в Украине, попали разнообразные документы Google Docs, в том числе содержащие приватную информацию, контакты, пароли, таблицы и прочие документы. Google отказался от претензий в его сторону, отрицая, что сервис Google Docs перестал быть высоко защищенным инструментом, и доказав, что все, как и прежде, функционирует корректно. Компания Google заявила своим пользователям, что причиной утечки стала ошибка самих пользователей — поисковые системы могут индексировать лишь те документы, которые авторы сделали публичными, либо при публикации ссылки на документ, доступный для поиска в интернете и просмотра пользователями. Оказалось, если пользователь дает доступ к документу в виде ссылки, он автоматически делает его доступным для поиска и просмотра всем в интернете. Таким образом, люди оказались сами виноваты в том, что выкладывали важные и секретные данные в Google-хранилище, считая, что компания заботится об их конфиденциальности. На самом деле защита данных — в интересах IТ-компаний, иначе какой им смысл от сервиса, не вызывающего доверия пользователей? Но кто в действительности несет ответственность за подобные инциденты — создатели поисковиков, индексирующих страницы, или же владельцы ресурсов, не прописавшие необходимые ограничения? Ответ пока не найден в законодательной плоскости, но можно с уверенностью сказать, что такие случаи будут повторяться.
Можно ли сохранить личные данные в эпоху интернета?
Закрыть полностью информацию от внешнего доступа вряд ли возможно. Кроме соцсетей мы делимся данными со спутниками, пользуясь GPS-навигаторами, раздаем свои электронные адреса, подписываясь на электронные рассылки, оставляем информацию о платежных картах, оплачивая покупки в интернет, сохраняем информацию в браузерах, которые используют наши cookie, для сбора данных о пользовательских предпочтениях. Закрыть личную информацию на 100% сегодня практически невозможно — современные технологии с легкостью обходят хитроумные пароли, используя новейшие методы сбора и анализа личных данных.
В 2017 году немецкие ученые смогли идентифицировать людей по их «анонимным» действиям в браузере. А сотрудники из Университетского колледжа Лондона продемонстрировали, что могут определять отдельных пользователей Twitter, руководствуясь стилем построения предложений. Также специалисты по компьютерной защите умеют распознавать людей на основе анализа данных о геометках, оставленных в приложениях самартфона. И даже выявить личность человека, проанализировав его покупки с помощью анонимной карты, имея на руках только названия и расположение магазинов, в которых осуществлялись приобретения, а также приблизительные даты и суммы платежей. Конечно, можно полностью уйти от практики использования кредитных карт и мобильных гаджетов. Но мы живем в эпоху интернета, и отказываться от его благ довольно глупо.
Поможет ли закон сохранить свои личные данные?
Компании наращивают развитие секьюритезации данных, внедряют все новые способы шифрования переписки в мессенджерах, а за собственные проколы получают серьезные штрафы от контролирующих органов. Не в их интересах нарушать законодательные нормы, но не везде государственная машина может подстелить соломку. К сожалению, законодательная база по защите информации чаще всего отстает от развития технологий.
Откровения бывшего шпиона, Эдварда Сноудена, в 2013 году заставили серьезно задуматься о «тайне частной жизни простого человека» и необходимости усиления защиты информации. Это выразилось в ужесточении законов по соблюдению приватности информации. Но отсутствие согласования разных законодательных норм также приводит к утечке данных. Законы о конфиденциальности различаются в разных национальных юрисдикциях. К примеру, законы о личных данных Соединенных Штатов и Евросоюза имеют различия, которые используются крупными компаниями: они часто получают информацию в одной стране, а обрабатывают и используют ее в другой, где применяется иная нормативная база. Довольно трудно при растущих объемах глобализации обеспечить единые стандарты конфиденциальности.
В мае 2018 года в Европе начал действовать Общий регламент по защите данных — GDPR (General Data Protection Regulation) — директива Европейского союза, призванная устранить пробелы в законодательстве ЕС о персональных данных. Теперь у пользователей появился ряд прав, закрепленных на законодательном уровне, нарушение которых грозит компаниям штрафом до €20 млн, или до 4% годового оборота. Закон предоставляет пользователям право быть «забытыми» поисковыми системами и социальными сетями — в случае разрыва соглашения на обработку личных данных они должны быть немедленно удалены с серверов компаний, предоставляющих те или иные услуги. Пользователи также имеют право на получение прямой видимости по всем своим личным данным, которые используются компаниями. Компании могут собирать только те пользовательские данные, для которых существует конкретная и очерченная бизнес-цель, что избавит от практики сбора как можно большего количества данных. Самое главное, что условия сохранения личных данных будут интуитивно понятны и общедоступны пользователям.
При этом нужно понимать, что регламент GDPR также распространяется на украинские компании — достаточно данных хотя бы одного резидента ЕС в украинской базе данных, чтобы на нее распространялось действие регламента. Нужно отметить, что украинское законодательство довольно прогрессивное в контексте соответствия правилам GDPR, в частности, включая принципы обработки, порядок получения согласия субъекта, перечень категорий персональных данных со специальным статусом, права субъектов и обязанности владельцев, распорядителей и др. И все же отличия имеются: GDPR более подробно, по сравнению с национальным законом, устанавливает требования касательно технической стороны сбора и обработки персональных данных, в том числе различием является требование демонстрации законности действий контроллера.
Защита личных данных в 2035 году — о чем нужно задуматься уже сегодня
Для того чтобы защита личной информации имела максимальный эффект, людям в первую очередь необходимо осознанно подходить к выбору и использованию гаджетов, а также программных и банковских продуктов. Если проследить, как дети и взрослые задумываются о настройках конфиденциальности в соцсетях и приложениях, то становится ясно, что заполучить личные данные в современном мире совсем не сложно. С одной стороны, свободный обмен информацией — это хорошо для развития технологий и прогресса. И технологии завтрашнего дня будут ориентированы на тех, кто привык к открытости. С другой — всегда найдется тот, кто воспользуется личными данными, несмотря на законы и правила.
Британская глобальная инновационная платформа NESTA попыталась продиагностировать сценарии развития защиты персональных данных в будущем. За привязку взяли 2035 год — недалекое будущее и долгосрочный горизонт времени, чтобы преодолеть острые проблемы, с которыми сталкивается современная экономика персональных данных. Специалисты NESTA говорят о том, что правительствам и компаниям необходимо всерьез обеспокоиться хранением персональных данных граждан и клиентов: ужесточить законодательство о персональных данных в Европе, да так, чтобы нарушение закона компаниям и политикам стоило в разы дороже прибыли, получаемой от монетизации личных данных. При этом вложить серьезные средства и усилия в разработку новых технологий, предоставляющих людям простые и защищенные инструменты для хранения и управления своими персональными данными вне зависимости от количества используемых гаджетов. То, что сейчас волнует небольшие группы мыслящих людей и сообществ, озабоченных идеей неприкосновенности личных данных, со временем должно быть донесено до каждого пользователя и стало бы нормой своеобразной «личной гигиены защиты данных». К этому времени большинство людей предпочтут обзавестись персональными небольшими серверами для хранения личных данных, расположенными в собственных домах или подобных безопасных местах, на свое усмотрение. Это даст им возможность контролировать использование этих данных. Для управления личными данными будет разработан свод «Умных правил», благодаря которому искусственный интеллект, под управлением которого станет выдаваться доступ, будет знать, при каких условиях и согласно какому законодательству их можно предоставлять третьим лицам.
01.10.2019, 12:45