Personificētās
informācijas izvilināšana:
legālie veidi un nelegālās iespējas
Dzīvojot sev ierastajā vidē un piekopjot
konservatīvu dzīves veidu, vairums
no mums tā arī nav uztvēruši, nav apzinājušies, ka
topošajā digitālajā sabiedrībā cilvēki dara publiski pieejamu un arvien plašāk
dalās ar privāta rakstura informāciju. Tas notiek, komunicējot sociālajos tīklos, atsaucoties uz dažādiem individuālās testēšanas piedāvājumiem, līdzdarbojoties e-komercijas jomā, uzkrājot attiecīgajās datubāzēs valsts
iestāžu un privāto kompāniju pieprasīto informāciju.
Šāda
sensitīva informācija tiek iegūta kā legālā ceļā, tā arī hakeru darbības
rezultātā. Veicot tās apstrādi ar dažādu algoritmu palīdzību, informācija tālāk
tiek izmantota gan mērķtiecīgai adresveida reklāmai, gan daudzveidīgam
skoringam, gan arī noziedzīgos nolūkos. Bet īpaši jāakcentē
tās izmantošana indivīda aktivitāšu uzraudzībai un kontrolei, ikkatra
sabiedrības locekļa identitātes noteikšanai. … turpinājums grāmatā “Kā atbrīvoties no totalitārisma skavām. Izaicinājums
pārvarēt politisko vientiesību“: https://buki.lv/product/ka-atbrivoties-no-totalitarisma-skavam-e-gramata
* * *
No kā sargā personu datus?
ROMĀNS
MEĻŅIKS 22. decembris
Bet vai mūsu privātie dati tiešām ir tik aizsargāti?
Vai nav tā, ka tie aizsargāti tiek tikai no mums pašiem?
Katrs viedtālruņa lietotājs būs ievērojis, ka, iestatot jaunu aplikāciju, neizbēgami jādod piekrišana tās īpašnieku piekļuvei veselai virknei personisko datu, sākot ar kontaktu sarakstiem un fotokameru, piekļuvi interneta tīkliem, atrašanās vietas noteikšanai utt. Tad nu sanāk, ka labuma guvēji no viedierīču aplikācijām (arī bezmaksas spēlītēm) ar nez kur pasaulē reģistrētu uzņēmējdarbību var vieglāk iegūt personu datus nekā valsts institūcijas, kam jārespektē datu vākšanas un izmantošanas ierobežojumi. Kādi ierobežojumi ir aplikāciju radītajiem un izplatītājiem? Tik vien, ka persona var nedot pieeju saviem datiem, bet tad attiecīgi arī neizmantot izvēlēto aplikāciju. Vēl vairāk – vesela virkne aplikāciju jau atrodas viedtālruņos to iegādes brīdī, līdz ar to droši vien nebūs tālu no patiesības tas, ka mans viedtālrunis "zina" par mani vairāk, nekā visas valsts institūcijas kopā ņemot. Ar katru, kurš lieto viedtālruņus, ir tieši tāpat. Bet valsts institūcijas – un pat glābšanas dienesti! – piekļūt attiecīgajiem datiem nevar. Nebūtu pārsteigts, ka, lai piekļūtu tiem (labi, ne visiem, vismaz atrašanās vietas noteicējam, lai var steigt palīgā krīzes brīdī), nāktos ne vien grozīt likumu normas, bet vēl arī ne mazumu samaksāt attiecīgo personas datu vācējiem. Kur te loģika un veselais saprāts?
Katrs viedtālruņa lietotājs būs ievērojis, ka, iestatot jaunu aplikāciju, neizbēgami jādod piekrišana tās īpašnieku piekļuvei veselai virknei personisko datu, sākot ar kontaktu sarakstiem un fotokameru, piekļuvi interneta tīkliem, atrašanās vietas noteikšanai utt. Tad nu sanāk, ka labuma guvēji no viedierīču aplikācijām (arī bezmaksas spēlītēm) ar nez kur pasaulē reģistrētu uzņēmējdarbību var vieglāk iegūt personu datus nekā valsts institūcijas, kam jārespektē datu vākšanas un izmantošanas ierobežojumi. Kādi ierobežojumi ir aplikāciju radītajiem un izplatītājiem? Tik vien, ka persona var nedot pieeju saviem datiem, bet tad attiecīgi arī neizmantot izvēlēto aplikāciju. Vēl vairāk – vesela virkne aplikāciju jau atrodas viedtālruņos to iegādes brīdī, līdz ar to droši vien nebūs tālu no patiesības tas, ka mans viedtālrunis "zina" par mani vairāk, nekā visas valsts institūcijas kopā ņemot. Ar katru, kurš lieto viedtālruņus, ir tieši tāpat. Bet valsts institūcijas – un pat glābšanas dienesti! – piekļūt attiecīgajiem datiem nevar. Nebūtu pārsteigts, ka, lai piekļūtu tiem (labi, ne visiem, vismaz atrašanās vietas noteicējam, lai var steigt palīgā krīzes brīdī), nāktos ne vien grozīt likumu normas, bet vēl arī ne mazumu samaksāt attiecīgo personas datu vācējiem. Kur te loģika un veselais saprāts?
Jā, katrs, protams, var
pieslēgt valsts struktūru speciāli radītu aplikāciju, kas ļauj identificēt
viedierīces atrašanās vietu, kaut kas tāds tiek reklamēts arī, lai vecāki
zinātu, kur katrā brīdī atrodas viņu bērni, tomēr tas ir pilnīgi cits līmenis
– vispirms tad katram jāapzinās šī jautājuma aktualitāte, pēc tam jāveic
noteiktas darbības viedierīcē, skaidrs, ka ne tuvu ne visi to darīs. Faktiski
tam būtu jānotiek automātiski, kļūstot par mobilo sakaru operatora klientu.
Savukārt datu aizsardzībā ir jānodala sabiedrībai un personai būtiskais,
iespējams, nosakot ierobežojumus arī aplikāciju īpašniekiem datu vākšanā.
Šīs divas tehnoloģijas varētu uzlabot mūsu privātumu internetā :
02-10-21
These
two technologies could supercharge our privacy on the internet
To bring back privacy, we need both encryption and
decentralization.
BY STEVEN WATERHOUSE
In recent years, the negative impacts of
social media and other global technology platforms have become a top concern
for people around the world. The danger seems to grow by the day: Recently, we
learned that the popular encrypted messaging service WhatsApp has been sharing user data with Facebook since 2016. The news comes as social media giants such as Twitter
and Facebook, once lauded for facilitating the free dissemination of ideas, are
increasingly seen as having failed to effectively moderate misinformation and
conspiracy theories on their platforms. The internet, as currently constituted,
has a dark side.
Government action to legislate privacy
protection, from Europe to California, is a reflection of the public’s
increasing concern for their online safety. But bewilderingly, in the midst of
the growing demand for strong privacy protections, governments around the world
are also working to kneecap the very encryption that makes true privacy
possible in the name of public safety.
When it comes to strengthening digital
privacy, the most important technologies are end-to-end encryption and
decentralization. They’re even more powerful when they’re combined. Here’s how
encryption and decentralization could work together to protect your safety and
privacy online.
NOT ALL ENCRYPTION IS CREATED EQUAL
“Encryption” is a widely used and poorly understood
term. When we say something is encrypted, what we mean is that its
characteristics have been scrambled—encoded—while it is in transit between two
places. Only the sender and the receiver have the “key” to unscramble or
“decrypt” its contents, meaning hackers or other third parties can’t intercept
it and steal the information in transit.
Digital services, particularly those focused
on financial transactions and messaging, often use a form of encryption. These
include Facebook, WhatsApp, WeChat, PayPal, and Venmo, as well as most major
financial institutions. But just because something is encrypted doesn’t make it
private.
Many services that advertise themselves as
encrypted do not protect their users’ privacy in a meaningful way. Most
financial institutions, for example, encrypt the contents of transactions while
they are in transit, but then decrypt them when they reach the
institution’s online server. As a result, even though information is private
while en route from place to place, the records of the activity are ultimately
stored in cloud-based databases and are just as susceptible to online threats
as any other information.
The claims of many messaging services are
similarly misleading. Like big banks, they encrypt messages while they’re in
transit but decode them when they reach the companies’ web servers. This means
that, encryption or no, these tech giants can see the contents of every message
sent over their networks. These messaging services, if they desired or were
compelled, could share every message their users have exchanged.
For true privacy, we need to look for services
that employ end-to-end encryption. With end-to-end, the
contents of communications are not known to anyone except the sender and the
receiver. When you send a message over a service that is end-to-end encrypted,
it is only decrypted on the device that sends the message and the device that
receives it. It doesn’t live anywhere in the online ether; neither the
operators of the service nor any other third party can see what the message
says. The rapid growth of Signal, an end-to-end encrypted messaging app,
demonstrates the surging consumer demand for digital privacy.
The future of end-to-end encryption is
uncertain. Over the past year, governments around the world, from the U.S. and
E.U. to Russia and China, have introduced or tightened rules that, if fully
implemented, would make true end-to-end encryption impossible. Most of these
proposed laws would require tech companies to design “backdoors” that would
allow authorities to demand that the contents of messages and other activities
be decrypted and turned over. Once such backdoor keys exist, it’s a matter of
when, not if, they fall into the wrong hands.
THE MOST RESILIENT SYSTEMS ARE ENCRYPTED AND
DECENTRALIZED
In order to have meaningful digital privacy,
the world needs end-to-end encryption. And for encrypted systems to be
resilient, they should also be decentralized, adopting a key technical
foundation of the many blockchain projects promising to reshape finance and
other sectors in the coming years.
To visualize the way decentralization works in
practice, think of a hard drive. If all your files are stored in a single
place, and it fails or is damaged, your files are lost. To mitigate this risk,
then, you might back up your files to a cloud server. That way, even if one or
all of your physical hard drives fail, your files are safe, stored digitally in
the cloud.
But the problem is not solved. What happens
if, for instance, Amazon or Google or Apple decides to suddenly deny you
access? In that scenario, you are out of luck again: The storage provider, not
you, ultimately has control over those files. For true security, you need
multiple backups over which you have the ultimate control.
Decentralization applies this approach to all
digital activity. Decentralized networks such as blockchains are designed to
operate by consensus across many different nodes, removing the risk of a single
point of failure. They offer new possibilities around network governance as
well, with incentives and standards of behavior that can be implemented by
consensus rather than by corporate executives. Given these benefits, mainstream
platforms are increasingly looking to decentralized alternatives. Even Twitter
has revealed plans for a decentralized open standard for social media.
Blockchains facilitate their users’ privacy
through end-to-end encryption. And they are resilient to third-party
manipulation because of decentralization. Unlike centralized servers, a
blockchain cannot be compromised by a single breach.
This principle can be applied across many
different technical areas, including social media, to strengthen and advance
digital privacy. There can be no safeguarding privacy without end-to-end
encryption; government efforts to undermine this important tool should have us
all worried. But as long as there are end-to-end encrypted services, the most
resilient will be those that are decentralized. If we work to advance privacy
with these two technical concepts in mind, 2021 can be the year people around
the world start to truly reclaim their online privacy.
https://www.fastcompany.com/90602972/encryption-and-decentralization-privacy
Viedoklis: Datu aizsardzības regulas
izaicinājumi. Ar ko sākt?
Autori: Anrijs Šnipke, IT
kompānijas «Oracle» pārdošanas vadītājs
2017. gada 27. decembris
Vispārējās datu aizsardzības regulas
(General Data Protection Regulation – GDPR) ieviešana, kuras mērķis ir
novērst nepamatotu personas datu lietošanu un noplūdi, jāuztver nevis kā
slogs, bet gan nopietns iemesls sakārtot nereti novārtā atstātos datu drošības
un aizsardzības jautājumus. Saskaņā ar Gārtnera pētījumu vairāk nekā 50%
uzņēmumu, valsts un pašvaldību iestādes nebūs gatavas izmaiņām, kas stāsies
spēkā no nākamā gada 25. maija. Mūsu vērojumi liecina, ka tendences
Latvijā ir ļoti līdzīgas.
Regula nozīmē jaunas
prasības uzņēmējiem, kā strādāt, apkopot un glabāt klientu, partneru un
darbinieku datus. Faktiski mūsdienās tas skar gandrīz visus uzņēmumus un valsts
sektora institūcijas. Viena no redzamākajām jomām ir, piemēram, tirdzniecība,
kur tādu personas datu kā vārds, uzvārds, personas kods, adrese, tālrunis u.tt.
ievākšana ir ikdiena. Jo īpaši, veicot pirkumus interneta vidē. Regula
uzņēmējiem liek izvērtēt vairākus jautājumus. Vai sistēma, kā personas dati tiek
ievākti un uzglabāti, ir droša? Vai mērķis, kāpēc dati ir vajadzīgi, ir
skaidrs? Vai ir pietiekams kontroles mehānisms, kam ir pieeja datiem? Vai varu
garantēt, ka, pēc personas pieprasījuma, datu glabāšana tiek tūlītēji
pārtraukta?
Lai atbilstu GDPR nosacījumiem,
nepieciešams veikt vairākus mājasdarbus. Tie ir komplicēti un prasa ne tikai
laiku, finanses un resursus, bet arī vairāku līmeņa darbinieku iesaisti. Tas ir
viens no iemesliem, kāpēc uzņēmēju vidū vērojama pretestība jaunajai regulai un
gatavošanās tai tiek atlikta uz vēlāku laiku. Nevēlēšanos novirzīt
nepieciešamos līdekļus datu drošībai var skaidrot ar to, ka šo izdevumu atdevi
nevar tiešā veidā izmērīt ar peļņas kāpumu, jauniem un apmierinātiem klientiem
vai strauju biznesa paplašināšanos. Sagatavošanās un pārejas posms ir vērtējams
kā īss, īpaši ņemot vērā IT drošības speciālistu deficītu Latvijas tirgū. Tie
ir izaicinājumi, kas apgrūtina GPDR veiksmīgu ieviešanu Latvijā.
Vienlaikus regula aktualizē
jautājumu par datiem kā galveno biznesa vērtību. Uzņēmumi, kas prot
tos analizēt un pielietot, ir ievērojami konkurētspējīgāki. Bieži biznesa
izaugsme un attīstības iespējas ir atkarīgas tieši no datiem. Tieši tāpēc būtu
likumsakarīgi, ja valsts un privātais sektors apzinātos zaudējumu apmēru un to
negatīvo ietekmi uz biznesu, ja noplūst sensitīva informācija. Vērtējot regulas
nepieciešamību no šāda skatu punkta, regula ir sava veida biznesa
apdrošināšana un jaunu iespēju izmantošana, tāpēc datu aizsardzības
jautājumiem visbeidzot ir jānokļūst uzņēmēju un valsts pārvaldes iestāžu
dienaskārtībā.
Tā kā GDPR ir jauns personas
datu lietošanas standarts, kas jāņem vērā visiem, kuri strādā Eiropas
Savienības tirgū, to nevar ignorēt. Katrai organizācijai būs sava situācija un
pieredze, ņemot vērā to, cik iepriekš darīts esošo informācijas sistēmu
uzturēšanā, jo regula nav kaut kas revolucionāri jauns. Tie ir drošības
papildinājumi, ņemot vērā laikmetu, tehnoloģisko progresu un iespējamo
apdraudējuma kāpumu.
GDPR ieviešana ir jāsāk ar jurista atzinumu, kā regula attiecas uz
konkrētu uzņēmumu un kas tam jāņem vērā. Pēc tam seko IT audits, kas novērtē
sistēmu tehnisko drošību. Pamata datu drošībai un aizsardzībai jau tagad ir
jāievēro standarta soļi, kas GDPR ieviešanu tikai atvieglos.
Pirmkārt, regulāri ir jāinstalē drošības atjauninājumi. Otrkārt,
datus nepieciešams šifrēt, lai tos noplūdes gadījumā nav iespējams izmantot.
«Oracle» novērojumi liecina, ka diemžēl ne vienmēr tas tiek darīts un datu
bāzes tiek pakļautas ārkārtīgi augstam riskam. Treškārt, jāievieš indentitāšu pārvaldības sistēma, kas dod
pieejas konkrētai informācijai tikai tad, ja cilvēks strādā amatā, kurā šie
dati ir vajadzīgi darba pienākumu veikšanai. Ceturtkārt, ne vienmēr
organizācijā ir ieviesti vajadzīgie ierobežojumi,
kurai informācijai, kurš darbinieks ir tiesīgs piekļūt, kas rada papildus
drošības riskus. Piektkārt, izmantojot mākoņu pakalpojumus, ir jādomā par to datu drošību, kas ir ārpus uzņēmuma.
GDPR rosinātās izmaiņas nav
absolūtas un tās nebeigsies ar nākamā gada maiju, kad regula stāsies spēkā. Tas
ir atskaites punkts, kas liek mobilizēt neizdarītos darbus un uzlabot esošās
sistēmas, atceroties, ka tehnoloģijas un sistēmas mainās nepārtraukti,
tāpēc arī mainās prasības attiecībā uz drošības risinājumiem. Tā ir kombinācija
starp finansiālajām iespējām, labo praksi un risku menedžmentu.: http://m.db.lv/zinas/viedoklis-datu-aizsardzibas-regulas-izaicinajumi-ar-ko-sakt-470251
15.07.2019
12:10
SAB iedzīvotājiem sagatavojis ieteikumus,
lai izvairītos no specdienestu kiberspiegošanas
LETA
Satversmes aizsardzības birojs (SAB) sagatavojis
un savā mājaslapā publicējis iedzīvotājiem paredzētus ieteikumus, lai
izvairītos no specdienestu organizētas kiberspiegošanas.
Lasi
vēl
SAB
norāda, ka ārvalstu izlūkdienesti arvien intensīvāk izmanto kibertelpu izlūkošanas
informācijas iegūšanai. "Arī tu vari būt mērķis, jo tavs darbs un tev pie-
ejamā informācija ir interesanta izlūkdienestiem. Nenovērtē sevi par
zemu!", teikts SAB informatīvajā materiālā.
Mērķtiecīgi
izstrādāti un īpaši pieskaņoti kiberuzbrukumi var tikt vērsti gan pret
iestādes, gan personīgajām mobilajām iekārtām un datoriem. Mērķis - piekļūt
informācijai, kas tiek apstrādāta datoros, e-pastu sarakstē, tālruņos un
planšetēs. SAB brīdina, ka brīdī, kad piekļuve šīm ierīcēm ir iegūta, tā tiek
uzturēta ilgstoši un nemanāmi.
SAB
vērš uzmanību, ka lai atlasītu potenciāli interesējošās personas un detalizēti
tās analizētu, ārvalstu izlūkdienesti izmanto sociālos tīklus. Tur
savāktā informācija tiek izmantota, lai izstrādātu tālākas darbības -
kontaktētos ar cilvēku klātienē vai uzsāktu sazinu internetā.
"Mobilās
iekārtas - tālruņi, planšetes, portatīvie datori, viedpulksteņi un citas
viedierīces - var tevi izsekot, noklausīties un filmēt. Neņem līdzi mobilās
iekārtas, kad risini sensitīvus, privātus vai profesionālus jautājumus,"
brīdina SAB.
SAB
vērš uzmanību, ka pilnībā drošu mobilo iekārtu nav. Jebkura ražotāja iekārtās
un lietotnēs ir drošības nepilnības, ko spēj izmantot ārvalstu izlūkdienesti.
SAB iesaka izvērtēt, kādas lietotnes tiešām ir
nepieciešamas un kādām iekārtas funkcijām tās prasa piekļuvi.
Piemēram, ja telefona lukturīša aplikācija prasa piekļuvi kontaktu sarakstam,
tad nav ieteicams to izmantot.
SAB
iesaka saglabāt piesardzību un neizpaust sensitīvu informāciju, lietojot
"Whatsapp", "Viber", "Signal",
"Telegram" un citas saziņas aplikācijas, jo neviena no tām nav
pilnībā droša.
Tāpat
birojs rosina izslēgt bezvadu savienojumu un atrašanās
vietas noteikšanas funkcijas, kad tās nav nepieciešamas.
Speciālisti
arī iesaka neizmantot bezvadu internetu publiskās
vietās - viesnīcās, lidostās, kafejnīcās un citās vietās. Ārvalstu
izlūkdienesti var izmantot šo platformu, lai iegūtu kontroli pār mobilo
iekārtu, kas tiks saglabāta arī pēc tam, kad konkrēto "Wi-Fi" vairs
nelietos.
SAB
atgādina par nepieciešamību regulāri veikt mobilo
iekārtu un lietotņu atjaunināšanu, bet mobilajās iekārtās jāaktivizē funkciju
ierīces satura šifrēšanai.
"lzvērtē
situāciju, vai atstāt savas mobilās iekārtas bez pieskatīšanas. Esi īpaši
piesardzīgs, apmeklējot valstis, kas nav NATO un
ES dalībnieces," teikts SAB rekomendācijās.
SAB
norāda, ka nebūtisku sīkumu nav, tāpēc nepieciešams iedziļināties visos
drošības un privātuma iestatījumos, kā arī pārdomāt, cik plašam personu lokam
ļaut sekot līdzi savām aktivitātēm sociālajos tīklos.
SAB
norāda, ka sociālajos tīkos ziņas par dzīvesvietu, darbavietu, ģimenes
stāvokli, absolvētajām mācību iestādēm var izmantot ārvalstu izlūkdienesti, lai
veiktu personas padziļinātu izpēti.
Iedzīvotājiem
ir jārēķinās, ka profils var tikt "uzlauzts" un pilnīgi privātu
aktivitāšu sociālajos tīklos nav. Tāpat ārvalstu izlūkdienesti sociālajos
tīklos veido viltus profilus un var uzdoties par personai zināmiem cilvēkiem,
lai iekļūtu to draugu lokā.
"Seko
līdzi, ko par tevi, tavu ģimeni un darba vietu var uzzināt, pētot radinieku,
draugu un kolēģu sociālo tīklu aktivitātes," norāda SAB.
Ņemot
vērā minēto SAB rosina klasificētu informāciju apstrādāt tikai tam paredzētās
informācijas sistēmās, kā arī rūpīgi izsvērt sensitīvas informācijas apstrādi
internetam pieslēgtās iekārtās un tās pārrunāšanu pa tālruni.
SAB
iesaka nelietot privātās iekārtas darba vajadzībām, ja tas nav saskaņots ar
tavas iestādes IT drošības speciālistu. Piemēram, nepieciešams
konsultēties, vai drīkst lietot privāto viedtālruni, lai piekļūtu darba
e-pastam, vai izmantot privāto datoru profesionālām vajadzībām.
Katrai iekārtai, informācijas sistēmai, e-pastam, sociālajiem tīkliem
un internetbankai nepieciešams lietot atšķirīgu paroli, regulāri tās jāmaina un
jāveido pietiekami sarežģītas.
SAB
rosina nelietot svešus datu nesējus pirms darbavietas
IT speciālists nav tos pārbaudījis. Pārbaude jāveic arī personīgajiem
datu nesējiem, ja tie tikuši ievietoti svešās iekārtās.
Vienkārši
izdzēšot datus no mobilās iekārtas, datora vai datu nesēja, tos ir iespējams
atjaunot. Ja iedzīvotāji vēlas būt droši, ka dati tiek dzēsti neatgriezeniski,
nepieciešams konsultēties ar IT drošības speciālistu.
SAB
iesaka nevērt vaļā interneta saites, uz kurām norādīta
atsauce interneta komentāros. Ārvalstu izlūkdienesti šajās saitēs var
iestrādāt vīrusus datora inficēšanai.
Speciālisti
norāda, ka viltus e-pasta nosūtīšana ir izplatītākais kiberuzbrukumu veids.
Vīruss tiek paslēpts e-pastā iestrādātās saitēs vai pievienotajos dokumentos un
bildēs.
"E-pasts var tikt maskēts kā pazīstamas personas sūtījums, tas
var atsaukties uz pasākumu, ko esi apmeklējis, vēstule var izskatīties kā
oficiāls paziņojums no pakalpojumu sniedzēja vai sadarbības partnera.
Pārliecinies, vai tu pazīsti autoru, kas sūta e-pastu. Vai autors
saziņai vienmēr izmanto precīzi šo adresi? Vai vēstule ieturēta ierastajā
stilā? Piezvani vēstules autoram, lai tas apstiprina vēstules īstumu,
vai arī konsultējies ar savas iestādes IT speciālistu," teikts SAB
rekomendācijās.
Jaunais 'Facebook' skandāls
ir nevis šoks, bet likumsakarība
Evija Ercmane, “P.R.A.E. Sabiedrisko attiecību” direktore
Visa civilizētā pasaule – tā, kas savu
dienu sāk ar ieskatīšanos "Facebook", – ir šokā: no sociālā tīkla
aizplūduši dati par, iespējams, 50 miljoniem cilvēku. Turklāt nevis vienkārši
aizplūduši, bet izmantoti dažādos veidos, ko daudzi uzskata par nekrietniem.
Kaut patiesībā tad jau vajadzētu būt šokētiem arī par to, ka veļasmašīna mazgā
un cepeškrāsns cep.
Mediji jau ir saskaitījuši,
ka "Facebook" dibinātājs Marks Cukerbergs kopš 2006. gada vismaz
deviņas reizes atvainojies publiski un nopietni. Lielākā daļa atvainošanos ir
bijušas par vienu un to pašu – par personas datu izmantošanu, un faktiski visas
tās bijušas uzbūvētas vienādi.
Vispirms Cukerbergs pēc
nelielas vilcināšanās atzīst notikušo. Tad viņš mēģina vainu
"izšķīdināt" un vismaz daļu novelt uz kādu citu, bet vēl pēc tam
definē problēmu tā, lai tā nekādā veidā neskartu "Facebook"
ekonomisko uzbūvi un pamatus.
Seko atvainošanās ceturtais
posms – Cukerbergs paziņo, ka tūlīt, tūlīt ieviesīs jaunus rīkus, kas padarīs
lietotājus gandrīz vai visvarenus vai vismaz neievainojamus un noteikti
novērsīs šo kārtējo problēmu. Un tad, visbeidzot, – apliecina savas rūpes un
raizes.
Tieši tā tas notika arī
šoreiz. Pauze, atzīšana, vainas "izšķīdināšana", problēmas izklāsts,
risinājumu piesolīšana, rūpju apliecinājums. Viss, varat izklīst un
nomierināties, notikušais nebija nekas labs, bet nu viss būs kārtībā.
Patiesība ir cita – nekas
nebūs kārtībā tā vienkāršā iemesla dēļ, ka nekas principā nevar būt kārtībā.
"Mūsu misija ir uzbūvēt
kopienu ikvienam pasaulē un savest pasauli tuvāk kopā," – kurš gan nezina
šo teicienu, ko Cukerbergs daudzina, kad vien var, vēl piebilstot – tas ir
iespējams tikai tad, ja šādas sistēmas individuālajiem lietotājiem viss ir par
velti vai gandrīz par velti.
Tas, ko misters Cukerbergs
piemin retāk, ir: "Facebook" biznesa modelis
tiešām nozīmē, ka lietotājiem viss ir par velti, bet par velti nekas pasaulē
ilgstoši nevar būt, tā ka par to maksā reklāmdevēji.
"Facebook" pelna
tādēļ, ka tam ir tik ļoti, ļoti, ļoti daudz personisko datu, ko piedāvāt
reklāmdevēju vajadzībām. Būtībā viss
"Facebook" ir uzbūvēts ap vienu vienīgu biznesa ideju – visvisādos
veidos komerciāli izmantot lietotāju datus. Jo nekā cita jau tam arī
nav.
Kas notika konkrētajā
gadījumā, kas izraisīja jauno skandālu? Pētnieks vārdā Aleksandrs Kogans radīja
aptauju, ievietoja to "Facebook", savāca datus no miljoniem lietotāju
un pēc tam ar tiem padalījās ar kantori vārdā "Cambridge Analytica".
Savukārt šis kantoris datus
pēc tam jau izmantoja savā biznesā un "biznesā", piedāvājot
visvisādiem interesentiem – ieskaitot dažādu nokrāsu un orientācijas politiķus
– konkrēto auditoriju uztverei īpaši piemērotus vēstījumus.
Protams, tas nebija īsti
labi un ētiski. Taču – kāpēc tas vispār bija iespējams? Atbilde ir viena –
tāpēc, ka "Facebook" pats bija radījis šādu iespēju. Pirms astoņiem
gadiem neviens cits kā Cukerbergs paziņoja par lielisko jauno rīku "Open
Graph API v1.0", kurš došot iespēju "cilvēkiem nekavējoties gūt
sociālos iespaidus, lai kur viņi dotos".
Jā, deva arī, bet vienlaikus
ļāva sākt vākt lietotāju – un arī viņu draugu – personiskos datus iepriekš
nepieredzētā apjomā. Tiesa, 2014. gadā tas bez liela trokšņa tika aizvākts, gan
dodot gadu laika vēl pavākt datus, taču vienlaikus tika paziņots par jauna,
protams, daudz labāka un pārdomātāka, rīka ieviešanu. Tā nu datu vākšana nebeidzās un arī nevar beigties, jo
līdz ar to izbeigtos arī "Facebook" ekonomiskais modelis.
Tiek gan runāts, ka ar laiku
kaut kas – nezin kas – varētu mainīties. Jau pirms septiņiem gadiem
"Facebook" iesniedza pieteikumu patentam, kas skar "maksas
profilu personalizāciju". Nav izslēgts, ka Cukerbergs domā par kaut ko
līdzīgu "VIP līmenim", kurā jūs maksājat par to, lai jūsu dati
netiktu apkopoti vai arī jūsu atvērumā nebūtu reklāmu. Bet pagaidām tie visi ir
tikai pieņēmumi...
2010. gadā Cukerbergs
publiski izziņoja piecus "Facebook" pamatprincipus: jums,
lietotāji, ir pilna kontrole pār to, kā notiek dalīšanās ar jūsu informāciju;
mēs nedalāmies jūsu personiskajā informācijā ne ar vienu, pret ko jūs
iebilstat; mēs nedodam reklāmdevējiem jūsu personisko informāciju; mēs nekad un
nevienam nepārdosim neko no jūsu informācijas; mēs nodrošināsim, ka
"Facebook" vienmēr un ikvienam būs par velti.
Tikmēr pašlaik, astoņus
gadus vēlāk, ir vairāk nekā skaidrs, ka pirmie trīs principi mūslaiku
"Facebook", maigi izsakoties, nedarbojas, un ar to ir jārēķinās
katram sociālā tīkla lietotājam. Vai tas ir labi vai slikti – tas jau ir cits
jautājums. Galu galā ikvienam būtu laiks iegaumēt senseno patiesību: ja jums piedāvā produktu un par to nav jāmaksā, tad varat būt
droši, ka patiesībā tieši jūs pats esat produkts.
Kā
iegūt “Lielā četrinieka” rīcībā esošos
datus par mani?
Tehnoloģiju milži Google, Apple,
Facebook un Amazon ir teju neatraujami no mūsu ikdienas. Šajā rakstā
izklāstam veidus, kā noskaidrot, kādus datus par jums šie uzņēmumi laika gaitā
ir ieguvuši.
Izklāstītie soļi ir jāveic
no datora, jo mobilajos telefonos veicamo darbību secība atšķiras.
Facebook
Portāla sākuma lapas augšējā
labajā stūrī uzklikšķiniet uz lejupvērstās bultiņas.
Izvēlieties sadaļu
“Iestatījumi” (Settings). Kreisajā kolonnā nospiediet uz “Your Facebook
Information”.
Sekojiet šajā sadaļā
aprakstītajiem soļiem, lai iegūtu Facebook rīcībā esošos datus par jums.
Google
Atveriet “Google Takeout”
portālu: takeout.google.com
Tad atlasiet jūs
interesējošās informācijas kategorijas, kuras vēlaties lejupielādēt.
Apple
Atveriet portālu privacy.apple.com un
pieslēdzieties ar savu Apple ID.
Noklikšķiniet uz “Request a
Copy of Your Data”, lai iegūtu pieeju datu portālam.
Amazon
Pieslēdzieties savam Amazon
kontam un atveriet portāla sadaļu “Request
My Data”.
Izvēlnē noklikšķiniet uz
“Request All Your Data” un iesniedziet savu pieteikumu.
Guntars Veidemanis
Как же так, Марк: Facebook обвинили в шпионаже
Facebook годами собирала данные о звонках и SMS
своих пользователей
Маргарита
Герасюкова 26.03.2018
У Facebook новые проблемы —
пользователи, которые решили отказаться от использования платформы, обнаружили в архивном массиве данных подробную информацию о своих
звонках и SMS-сообщениях. Компания на протяжении нескольких лет собирала
эти сведения, но, согласно официальному заявлению, делала это исключительно с
согласия своих юзеров.
Не прошло и недели с того
момента, как Марк Цукерберг публично извинился за утечку данных из Facebook и скандал
с Cambridge Analytica, как СМИ сообщили о новой неприятной истории,
связанной с социальной сетью.
Сразу несколько
пользователей Twitter заявили о том, что мобильное приложение Facebook для
Android на протяжении нескольких лет собирало информацию о всех их звонках и
SMS-сообщениях.
Архив всей жизни
Неожиданное открытие первым
совершил новозеландец Дилан МакКей. В рамках кампании #DeleteFacebook (рус.
«удали Facebook), МакКей, как и многие недовольные пользователи соцсети, решил
избавиться от своего аккаунта.
Тем не менее, перед тем, как
безвозвратно удалить конкретный профиль, Facebook предлагает скачать архив с
личными данными, который представляет собой копию
всей информации о пользователе — его фотографии, «лайки» и репосты, историю
переписок в чатах, IP-адреса и т.д.
После того, как Дилан МакКей
решил просмотреть архив, он обнаружил в нем подробный отчет о звонках и SMS,
отправленных с его смартфона. В отчете содержались данные о времени звонка и
продолжительности разговора.
Кроме того, в архиве
Facebook хранились телефонные номера всех контактов МакКея, включая те, которые
были уже удалены из памяти телефона.
Портал Ars Technica связался с Facebook, чтобы
прояснить ситуацию. Представитель социальной сети в ответ заявил о том, что основной
целью всех приложений-мессенджеров является улучшение пользовательского опыта,
а значит обеспечение легкого доступа к переписке с любым человеком.
Чтобы этого достичь,
приложения при первой загрузке часто запрашивают доступ к телефонной книге пользователя.
При этом последний может отказать приложению — в таком случае, его данные
останутся в безопасности.
Тем не менее, судя по
сообщениями пользователей, Facebook занимался сбором информации на протяжении
многих лет, в том числе и тогда, когда операционная система Android
устанавливала менее строгие требования к приложениям. Вероятно, что на старых
версиях Android API и вовсе отсутствовал запрос о доступе, а Facebook получал
данные пользователей по умолчанию.
Отмечается, что на
устройствах на базе iOS такой проблемы нет — большинство приложений, заточенных
под «яблочную» ОС, в том числе и Facebook, никак не могут считывать информацию
о звонках и сообщениях.
Черная полоса для компании
После широкого освещения
истории в прессе, Facebook решила опубликовать официальное разъяснение по поводу сложившейся ситуации. Как
говорится в блоге компании, сохранение истории звонков
и переписки — неотъемлемая часть функционала приложений Messenger и Facebook
Lite, от которой, тем не менее, можно отказаться.
«Если пользователи больше не
хотят пользоваться этой функцией, они могут отключить ее в настройках, и вся
собранная информация о звонках и сообщениях будет удалена», — сообщается в
публикации Facebook.
Социальная сеть подчеркнула,
что бережно хранит эти данные и не передает их третьим лицам.
Кроме того, у компании нет
доступа к содержанию звонков и сообщений — она обладает лишь технической
информацией.
К сожалению, заверения
Facebook о том, что информация пользователей находится в безопасности, звучат
по меньшей мере неубедительно, ведь неделю назад социальная сеть
оказалась замешана в крупном скандале — компания Cambridge Analytica свободно
пользовалась личными данными юзеров Facebook.
Платформа действительно не
передавала эту информацию третьим лицам, как и обещала — утечка произошла в
обход Facebook. Генеральный директор и создатель компании Марк Цукерберг в
минувшие выходные выкупил страницы в национальных газетах Великобритании, чтобы
опубликовать личные извинения в связи с потерей данных 50 млн человек.
«Это предательство
доверия, и я прошу прощения, что тогда мы не сделали все возможное», —
заявил бизнесмен. Будет ли Цукерберг также извиняться за новый скандал, пока
неизвестно. https://www.gazeta.ru/tech/2018/03/26/11696065/fb_steals_data.shtml
Vai tiešām pavisam tuvā nākotnē varēs “izskaitļot” ikviena cilvēka iespējas nākotnē?
Un cik daudz par tevi drīkst zināt darba devējs?
By José Luis Peñarredonda
26 March 2018
If you worked for Ford in
1914, chances are at some stage in your career a private investigator was hired
to follow you home.
If you stopped for a drink,
or squabbled with your spouse, or did something that might make you less of a
competent worker the following day, your boss would soon know about it.
This sleuthing was partly
because Ford’s workers earned a better salary than the competition. The car
manufacturer raised pay from $2.39 a day to $5 a day, the equivalent of $124
(£88) today. But you had to be a model citizen to qualify.
This ‘Big
Brother’ operation was run by the Ford Sociological Department, a team of
inspectors that arrived unannounced on employees’ doorsteps
Your house needed to be
clean, your children attending school, your savings account had to be in good
shape. If someone at the factory believed you were on the wrong path, you might
not only miss out on a promotion, your job was on the line.
This ‘Big Brother’ operation
was run by the Ford Sociological Department, a team of inspectors that arrived
unannounced on employees’ doorsteps. Its aim was to “promote the health, safety
and comfort of workers”, as an
internal document put it.
And, to be fair, it also offered everything from medical services to
housekeeping courses.
The programme lasted eight
years. It was expensive, and many workers resented its paternalism and intrusion.
Today, most of us would find it unacceptable – what does my work have to do
with my laundry, bank account or relationships?
Yet, the idea of employers
trying to control workers’ lives beyond the workplace has persisted, and
digital tools have made it easier than ever. Chances are, you use several
technologies that could create a detailed profile of your activities and
habits, both in the office and out of it. But what can (and can’t) employers do
with this data? And, where do we draw the line?
What’s my worker score?
We’re all being graded every
day. The expensive plane tickets I bought recently have already popped up in my
credit score. The fact that I‘ve stopped jogging every morning has been noted
by my fitness app – and, if it were connected with an insurance company, this
change might push up my premiums.
From
my online activity, Facebook knows I love beer, and believes my screen is a good spot for
hipster brewery adverts. One website recently claimed that I am Colombia’s
1,410 th most influential Twitter user – something
that could improve my credit score,
it seems. And, yes, my
desirability and efficiency as
a worker is also up for evaluation and can be given a number.
And we’re not just talking
the ‘rate-a-trader’ style online review process used on freelancer platforms or
gig-economy services. A scoring system of sorts has lodged itself in the
corporate world.
HR departments
are crunching increasing volumes of data to measure employees in a more
granular way
HR departments are crunching
increasing volumes of data to measure employees in a more granular way. From
software that records every keystroke, or the ‘smart’ coffee machines that will
only give you a hot drink if you tap it with your work ID badge there are more
opportunities than ever for bosses to measure behaviour.
One big aim of data collection
is to make “predictions about how long an employee will stay, and it may
influence hiring, firing, or retention of people,” says Phoebe Moore, Associate
Professor of Political Economy and Technology at Leicester University in the UK
and author of the book The Quantified Self in Precarity: Work, Technology and
What Counts.
Data collection is “changing
employment relationships, the way people work and what the expectations can
be”, says Moore.
One problem with this
approach is that it’s blind to some of the non-quantifiable aspects of work.
Some of the subtler things I do in order to be a better writer, for instance,
are not quantifiable: having a drink with someone who tells me a great story, or
imagining a piece on my commute. None of these things would show up in my ‘job
score’. “A lot of the qualitative aspects of work are being written out,” says
Moore, “because if you can’t measure them, they don’t exist”.
The dilemma of data
A healthy, physically active
person is a better worker, right? Research consistently
suggests activity decreases
absenteeism and
increases productivity. This has spawned a thriving
health and wellness industry with
programmes worth billions.
Employees value these health
initiatives not only because their bosses might allow them time off to
participate but also because if they track exercise via their phone, smartwatch
or fitness wristband they can earn rewards.
“I can just wear this
device, and I get points and buy stuff for doing things I would already (be)
doing anyway without it,” says Lauren Hoffman, a former salesperson for one of
the programmes in the US, who was also enrolled in it herself.
Furthermore, the workplace
offers an environment that can help people to reach their health goals. Research
suggeststhat fitness programmes
work better when they are combined with social encouragement, collaboration and
competition. Offices can foster all that: they can organise running clubs,
weekly fitness classes or competitions to help workers thrive.
There are several good business
reasons to collect data on employees – from doing better risk management to
examining if social behaviours in the workplace can
lead to gender discrimination.
“Companies fundamentally don't understand how people interact and
collaborate at work,”, says Ben Waber, president and CEO of Humanyze, an
American company which gathers and analyses data about the workplace. He says
that he can show them.
Humanyze gathers data from
two sources. The first is the metadata from employees’ communications: their
email, phone or corporate messaging service. The company says analysing this
metadata doesn’t include reading the content of these messages, nor the
individual identities of the people involved, but involves crunching the more
general information i.e. duration, frequency and general localisation so, will
tell them which department an employee belongs to.
The second area is data
gathered from gadgets like Bluetooth infrared sensors which detect how many
people are working in one particular part of an office and how they move
around. They also use ‘supercharged’ ID badges that, as Waber says, are beefed
up with “microphones which don't record what you say, but do voice-processing
in real time.” This allows measurement of the proportion of time you speak, or
how often people interrupt you.
After six weeks of research,
the employer gets a ‘big picture’ of the problem it wants to solve, based on
the analysed data. If the aim, for instance, is to boost sales, they can
analyse what their best salespeople do that others don’t. Or if they want to
measure productivity, they can infer that the more efficient workers talk more
often with their managers.
Waber sees it as “a lens of
very large work issues, like diversity, inclusion, workload assessment,
workspace planning, or regulatory risk”. His business case is that these tools
will help companies save millions of dollars and even years of time.
Collection and protection
But not everyone is
convinced of the usefulness of these techniques, or whether such personally
intrusive technology can be justified. A
PwC survey from 2015 reveals
that 56% of employees would use a wearable device given by their employer if it
was aimed at improving their wellbeing at work. “There should be some payback
from something like this, some benefit in terms of their workplace conditions,
or advantages,” says Raj Mody, an analyst from the firm. And Hoffman remembers
that these programmes were not always an easy sell. “You’re going to get the
data and you're going to use it against me,” she was often told by sceptical
workers.
There is a
fundamental problem: these measurements are often inaccurate
And there is a fundamental
problem: these fitness tracking measurements are often inaccurate. People are
very bad at self-reporting and fitness trackers and smartphones are not exactly
precise. A
recent evidence review shows that
different models and techniques gather different results and it is very
difficult to draw trustworthy comparisons between them.
It is also unclear if
counting steps, for instance, is actually a good way of measuring activity,
both because this measurement doesn’t take intensity into account – a step made
while running counts just as much as a step made walking at home – and walking
is more difficult for some than others.
Another issue is the amount
of data these programmes can collect. They not only track your daily activity,
but also often offer health screenings for participants, which allows them to
register things that don’t seem like your boss’s business: your cholesterol
level, your weight, or even your
DNA.
In most cases, it is illegal
in the US and Europe for companies to discriminate against workers based on
their health data or any genetic test results, but there are some grey areas.
In 2010, Pamela Fink, the PR manager of an energy firm in the US, sued
her employer because
she claimed she was sacked due to a double mastectomy to reduce her probability
of developing cancer. While the company didn’t have access to her DNA results,
she contended that they knew about the risk because the surgery showed up on
her insurance bills. The case was settled out of court.
Wellness programme providers
say that employers
only see aggregated and anonymised data, so they can’t target specific employees based on their wellness results.
Humanyze ensures its clients are not forcing their employees to be monitored,
but instead give them the chance to opt in. In a similar fashion to wellness
programmes, they anonymise and collate the information that they share with
employers. Waber is emphatic that his company never sells the data on to third
parties, and emphasises transparency throughout the process.
But this kind of data could
be used in more controversial ways, and the goodwill of the companies involved
doesn’t eliminate all the risks. Data could be stolen in a cyberattack, for
instance, or it could be used in ways that are not transparent for users. It
“could be sold to basically anyone, for whatever purpose, and recirculated in
other ways,” says Ifeoma Awunja, a sociologist at Cornell University who
researches the use of health data in the workplace.
Taking a
short-term profit on user data would damage your company’s reputation - Scott
Montgomery
There are reports
that some providers are doing just thatalready – even if they data they sell is anonymous, they could be
cross-referenced with other anonymous data to
identify people. Not all these
companies do it, and some say it is not smart business to do so. “Taking a
short-term profit on user data would damage your company’s reputation, causing
user volume to plummet and thus your value to clients to diminish” says Scott Montgomery,
CEO of Wellteq, a corporate wellness provider based in Singapore.
But even if all the
companies did the right thing and acted only in their costumers’ best interest,
people in some places are still only protected by their wellness programme’s goodwill.
The US law is “significantly behind” the European Union and other parts of the
world in protecting users, says Awunja.
In the EU, a new General
Data Protection Regulation (GDRP) will come into force thisMay, which will
outlaw any use of personal data to which the user didn’t explicitly consent. In
the US, the legislation varies between states. In some of them, sharing some
health information with third parties is not illegal as long as the data
doesn’t identify the person. Furthermore, according to Gary Phelan, a lawyer at
Mitchell & Sheridan in the US, since this data is generally not considered
medical data, it does not have the privacy restrictions as medical data.
Human
beings are evaluated in terms of the risk that they pose to the firm - Awunja
There is also the question
of return on investment for the employers. Do they actually save businesses
money? These programmes are
meant to lower health insurance premiums both for companies and employees, since they are supposed to
decrease health risk, sick days, and hospital costs. But it
is not clear if this
actually happens. A
2013 study by the Rand Corporation claims
that, while these programmes save companies enough money to pay for themselves,
they “are having little if any immediate effects on the amount employers spend
on health care.”
With all these tools, “human
beings are evaluated in terms of the risk that they pose to the firm,” says
Awunja. Still, it’s a complicated balance: dealing with the everyday habits of
employees as if they were just another hit to the bottom line sounds a lot like
the old days of the Sociological Department. Whatever benefits these
technologies can bring, they have to balance with the privacy rights and
expectations of workers.
Balance
There is an episode from TV show
Black Mirror that
offers a chilling warning. In it, every person is given a score based on their
interactions on a social platform that looks strikingly like Instagram. This
score defines almost every opportunity they have in life: what jobs they can
get, where they live, which plane tickets they can buy or who can they date. In
fact, in 2020 China will
roll a mandatory Citizen Score calculated
from a number of data sources, from your purchase history to the books you
read.
Although not quite as
sinister, this illustrates the technological, legal and ethical limitations of
doing something similar elsewhere. In most parts of the world, the law prevents
your HR department from sharing or requesting data about you from your credit
card provider, your healthcare provider, or your favourite online dating site,
unless you explicitly consent that it can do so.
This should keep the most
cynical temptations at bay for now, but how to reap the benefits of data in an
acceptable way? There is a strong case for finding this balance: as Waber says,
data can give you evidence-based advice for advancing your career, or for
enhancing your effectivity at work. Having a space for taking care of your
health at work might improve your happiness at your job, and some studies
suggest that this
also translates into a productivity push.
Part of the answer seems to
be to agree to certain ethical standards. In
a paper, Awunja
proposes some practices like informing employees of the potential risks for
discrimination with the data, not penalising those who decline to take part in
these programmes, and setting a clear ‘expiration date’ to the collected data.
This is an important
conversation to have, even if you are of those with nothing to hide. As it
turns out, it is very likely that giving away our data is going to be part of
the everyday experience of work in the near future, at least in the corporate
world.
Конец приватности: «Большой брат» узнал
все
Почему не стоит доверять
секреты смартфонам и интернет-сервисам
Роман Миров 18.02.2018
Пользовательская информация,
а также доступ к ней у крупнейших IT-компаний — одна из наиболее острых тем в
последнее время. Масло в огонь подливают сами разработчики платформ для
взаимодействия с искусственным интеллектом. Возможно ли мировое господство
ведущих IT-компаний и стоит ли доверять свои секреты интернет-сервисам — в
материале «Газеты.Ru».
Республика FAMGA
В феврале в сети
появился материал от
разработчика программ для работы с искусственным интеллектом Энди Перта, в которой
говорится о том, что через несколько лет влияние таких крупных
интернет-компаний как Facebook, Amazon, Microsoft, Google и Apple (FAMGA)
возрастет до таких масштабов, что можно будет говорить, что именно они будут
иметь власть над большинством жителей Земли.
Их влияние будет
основываться на огромном массиве информации на каждого человека, который
пользуется продуктами этих компаний — все-таки на Земле осталось мало
современных горожан, которые не пользуются сервисами Google или операционной
системой Windows на своем компьютере. По мнению Перта, именно рост спроса на
голосовые помощники говорит о таком развитии событий.
С помощью
искусственного интеллекта и постоянного сбора данных о привычках, интересах,
политических, религиозных и иных предпочтениях, можно построить очень полный
портрет человека, а самое главное — предсказать его поведение, что
является большой ценностью само по себе.
У корпораций появятся
действительно сильные экономические и политические рычаги и они смогут
выводить на рынок по-настоящему успешные продукты и сервисы. Также, по мнению
эксперта, возможно возникновение крупнейших транснациональных банков и других
коммерческих структур, организованных на мощностях «большой пятерки».
Без вины виноватые
Пользователи
голосовых ассистентов, чатботов и социальных сетей сами доверяют им большое
количество личной информации о себе,
которая формально должна впоследствии использоваться для более точных
рекомендаций и машинного обучения.
Так, большинство приложений
сразу при установке запрашивает доступ к микрофону, геолокации, списку
контактов, камере и другим инструментам взаимодействия с пользователем.
Поэтому весьма странно
удивляться подсказкам о достопримечательностях рядом с вашим местом работы,
интересных фильмах в любимом кинотеатре или предложению дружбы от человека из
дома напротив, который нашел вас по геометке в Instagram.
Большинство личной
информации, получаемой разработчиками, собирается либо при непосредственном
участии пользователя, когда он оставляет оставляет отзыв о посещенном кафе,
усердно заполняет поля с информацией о себе в социальной сети или даже просто
«лайкает» понравившиеся записи, но и когда он бездумно нажимает «принимаю»,
«согласен» и «далее», устанавливая очередную программу на свой компьютер или
смартфон.
Сложно сказать, как
используются личные данные, кроме как для машинного обучения, и есть ли
специальные базы данных с досье на каждого человека или нет. В любом случае,
данная информация является коммерческой тайной корпораций.
Сила — в правде
Можно долго рассуждать о
махинациях компаний с личными данными пользователей, но гораздо показательнее
реальные случаи, где видно, что крупные IT-гиганты вовсе не желают или не могут
дать доступ к пользовательской информации спецслужбам и правительствам стран.
Так, одним из самых
нашумевших случаев был связан с терактом в США, когда преступник Саид Фарук
пользовался смартфоном от Apple и, возможно, осуществлял подготовку к теракту и
вел переговоры с его помощью. ФБР обратилось за помощью к компании Apple с
требованием убрать ограничение на количество попыток ввода пароля, чтобы иметь
возможность разблокировать смартфон преступника.
На данное требование
руководство Apple ответило отказом. Глава компании Тим Кук в своем открытом
письме заявил, что в Apple не будут создавать лазейки в операционной системе, а
конфиденциальность личной информации — один из основных приоритетов.
Дело закончилось тем, что
спецслужбам удалось получить доступ к желаемой информации без помощи Apple,
однако как это удалось сделать, остается неизвестным.
В бой идут старики
Проблемой возможной
гегемонии IT-компаний озаботились даже бывшие сотрудники гигантов Кремниевой
долины — Facebook, Google и других.
Они запустили кампанию «Правда
о Технологиях», цель которой ограничить влияние социальных сетей на детей и
подростков, а также уменьшить время активного пребывания их в Сети вообще.
В интервью, данном The
Guardian представителями движения, они утверждают, что большое количество
молодежи проводит в социальных сетях от шести до девяти часов ежедневно, а
происходит это благодаря манипулятивному влиянию онлайн-платформ, их
построению на уязвимостях человеческой психологии.
Кроме того, социальные сети
провоцируют активно делиться с общественностью личной информацией, давая
возможность компаниям использовать получаемую информацию в своих целях,
манипулировать интересами и желаниями молодого поколения.
Суды против «Большого брата»
Распространена точка зрения
о том, что судебные и исполнительные системы разных государств активно
сотрудничают с крупными телекоммуникационными компаниями, операторами связи и
производителями мобильных устройств. В опровержение этого мнения можно привести
недавнее судебное дело, рассмотренное Апелляционном судом Великобритании.
Суть его сводится к тому,
что суд признал незаконным полный доступ следователей к личной информации
подозреваемых на ПК и смартфонах.
По мнению суда, такой доступ
противоречит нормам права Европейского Союза и нарушает базовые права человека,
такие как право тайны личной переписки.
Однако стоит отметить, что
правоохранительные органы все же могут получить доступ к необходимой
информации, но для этого они должны пройти процедуру разрешения в суде.
Другой важный судебный
процесс сейчас слушается в высшей судебной инстанции США — Верховном суде.
Решение по делу Тимати Карпентера должно стать прецедентом для всех последующих
судебных кейсов. Верховный суд может обязать следователя получать
соответствующий ордер для получения истории геолокаций смартфона подозреваемого
или оставить существующий упрощенный порядок получения.
Если суд будет на стороне
Карпентера, то правоохранительным органам будет значительно труднее получать
доступ к личной информации.
Что будущее нам готовит
Директор по росту и
исследованиям социальной сети «ВКонтакте» Андрей Законов сообщил «Газете.Ru»,
что предоставление доступа для интернет-платформ к личным данным является еще
одним этапом развития технологий, который проходит сбалансированно.
«Мессенджеры не заменили
личное общение, но сделали многие аспекты коммуникации удобнее. Электронные
книги не привели к исчезновению бумажных, но дали доступ к огромному количеству
информации. Онлайн-курсы никак не испортили университеты — наоборот, они
помогают людям в учебе и делают процесс обучения интереснее. Также и большие
данные — при правильном и ответственном подходе к вопросу это новые возможности
для компаний и удобные продукты для пользователей», — заключил Законов.
Он добавил, что социальные
сети серьезно относятся к данным и всегда запрашивают у пользователя доступ к
той или иной информации.
«Компании должны заслужить
доверие пользователей, иначе у них не будет данных», — сообщил представитель
российской соцсети.
Генеральный директор
компании «Облакотека» Максим Захаренко настроен более пессимистично и отметил,
что «Большой брат» действительно очень опасен для личной жизни любого человека.
«Просто находясь со
смартфоном в кармане, каждый абсолютно прозрачен географически уже сейчас. Никто
из нас не может скрыть никакой аспект личной жизни. За каждым, помимо
смартфона, уже следят ноутбуки, телевизоры и, как мы видели в одном рекламном
ролике, чайники... Если ваши данные используются для улучшения рекламы, это
куда ни шло, но этим же не ограничится, они обязательно будут украдены
хакерами и обращены во вред каждому из нас», — считает эксперт.
На текущий момент особенно большие
и разнообразные данные накапливаются у государства и ИТ-корпораций.
Захаренко отметил, что
наибольшую опасность представляет собой их синергия, успешное развитие которой
мы наблюдаем прямо сейчас.
«Вообще говоря, вариантов
всего два. Первый — это ликвидация понятия приватности. Так было еще 100 лет
назад в деревнях, где все про всех все знали. Но есть и второй вариант, а
именно надежда на некий общий разум человечества, которое осознает и пока
еще может пытаться регулировать эту тему. Даже в России уже идут
разговоры о расширении защиты персональных данных в сторону «биг дата»», —
заявил собеседник «Газеты.Ru».: https://www.gazeta.ru/tech/2018/02/18/11652565/information_is_everything.shtml
23 июля 2017
Греф заявил, что люди
станут "абсолютно прозрачными"
Президент-председатель
правления Сбербанка Герман Греф высказал мнение о том, что в будущем
"реальный" человек будет интересовать мир все меньше, а значение
его цифрового "аватара" станет неуклонно расти, люди будут "абсолютно прозрачными": ничего не удастся скрыть. Обо всем этом он
рассказал на лекции в Калининграде.
Греф
прочел лекцию
в Балтийском федеральном университете имени Канта,
входе которой затронул темы о новых
технологических трендах, будущем бизнеса, перспективах
искусственного разума и о новой цифровой реальности, передает РИА Новости.
По
мнению президента Сбербанка, информационная эра сменилась эрой цифровой в
2015 году. Прорыв произошел после появления технологии, позволяющей
использовать неограниченное количество необработанных данных в интернете, а
также после появления облачных технологий. Со временем всех будет
интересовать "ваша цифровая копия, которая хранится на облаках, а не
вы", утверждает Греф.
"Ключевым
трендом" на ближайшие годы он назвал прозрачность человека для цифрового
мира, отметив, что не все готовы
смириться с таким положением дел, но
деваться будет просто некуда. Даже если человек захочет оставить
что-то в тайне, с помощью специальных аналитических систем это можно будет
сделать явным, заверил Греф.
По
его словам, американец польского происхождения Михаил Косинский научился получать
информацию о людях, изучая их лайки в Facebook. Как выяснилось, 11-12
лайков достаточно для того, чтобы узнать человека так, как знают его коллеги;
230 лайков — как супруг или супруга, а 300 лайков позволят исследователю
изучить его на уровне родителей.
"Все мы и дальше будем оставлять цифровые
следы, по которым нас совсем не сложно найти и сделать о нас далеко идущие
выводы", — заключил президент Сбербанка.
Трамп разрешил сбыт
личных данных пользователей
ВЕСТИ.RU
4 апреля 2017
Президент
США Дональд Трамп отменил запрет Федеральной комиссии по коммуникациям,
одобренных при предыдущем президенте США Бараке Обаме, в соответствии с
которыми интернет-провайдерам требовалось соглашение пользователя для сбора и
обмена с другими компаниями его данными, сообщает Reuters со ссылкой на
заявление Белого дома. Президент США Дональд Трамп подписал директиву, отменяющую запрет на реализацию интернет-провайдерами личных
данных пользователей третьим лицам без
спроса клиентов. Федеральная комиссия США по связи ввела в 2016 году
запрет, в соответствии с которым компаниям, предоставляющим клиентам доступ в
интернет, запрещается без спроса передавать собранную о них информацию
коммерческим организациям.
Палата представителей проголосовала в начале
прошлого месяца за отмену
правил защиты конфиденциальности в интернете, которые были одобрены
Федеральной комиссией связи в последние дни работы администрации Обамы. Это
решение поддержал и сенат большинством голосов в 50 против 48. Напомним, указ
обязывал интернет-провайдеров заручиться согласием пользователей перед использованием
личных данных вроде геолокации, истории браузера и т. д. Против этого указа
выступали такие интернет-провайдеры, как AT&T, Comcast Corp и Verizon
Communications Inc.
Эксперты расценивают это как победу таких
крупных интернет-провайдеров, как AT&T, Comcast Corp. и Verizon
Communications, которые с введением указа оказались в неравном положении по
сравнению с Facebook, Twitter или Google, на которых ограничения не
распространялись и которые благодаря этому получали возможность доминировать на
рынке цифровой рекламы.
Председатель
Федеральной комиссии по связи (ФКС) Аджит Пай заявил на рассмотрении вопроса в
сенате, что потребители имеют гарантии конфиденциальности и без правил,
принятых администрацией Обамы. Таким образом, постановления являются излишним
регулятором и должны быть отменены.
"В прошлом году Федеральная комиссия по
коммуникациям протолкнула партийным голосованием закон об охране персональных
данных, разработанный в интересах одной группы компаний и в ущерб другой
группе, — заявил он. — Соответственно конгресс принял резолюцию,
отклоняющую такой подход разделения на победителей и побежденных, до того как
этот закон вступил в силу".
"Я
хочу, чтобы американцы знали, что ФКС будет сотрудничать с Федеральной торговой
комиссией, обеспечивая защиту персональных данных потребителей в интернете на
последовательной и всеобъемлющей основе", — подчеркнул Аджит Пай.
"Назовите мне хотя бы одну причину,
почему Comcast должен знать о медицинских проблемах моей мамы, — приводит
слова конгрессмена Майкла Капуано Guardian. — На прошлой неделя я купил
белье в интернете. Почему вы должны знать, какой размер или цвет я взял?"
По
словам представителей IT-компаний, отмена запрета просто позволит им показывать
людям более релевантную рекламу и предложения, что даст возможность
вернуть инвестиции, вложенные в инфраструктуру. Они утверждают, что история
просмотра веб-страниц и использования приложений не должна считаться
«чувствительной» информацией. Далее: https://news.rambler.ru/economics/36517347/?utm_content=rnews&utm_medium=read_more&utm_source=copylink
Piecu
līdz desmit gadu laikā mainīsies cilvēku un digitālās vides saskarsmes veids
LETA
Sestdiena,
2017. gada 11. februāris
Papildinātās
realitātes tehnoloģijas tuvāko piecu līdz desmit gadu laikā mainīs veidu, kā cilvēks mijiedarbojas ar digitālo vidi,
prognozēja papildinātās realitātes risinājumu izstrādātāja «Overly» īpašnieks
Ainārs Kļaviņš.
«Mēs
vairs neskatīsimies mazā kastītē, bet ar papildinātās realitātes briļļu
palīdzību visu redzēsim reālajā pasaulē,» norādīja Kļaviņš, piebilstot, ka
aizvadītais gads bijis nozīmīgs paplašinātās realitātes attīstībā, jo pirmie
ražotāji uzsāka paplašinātās realitātes briļļu masveida ražošanu.
«Pašlaik
tās ir ļoti dārgas, bet ar laiku nonāksim līdz plašām masām pieejamam līmenim,»
piebilda eksperts.
Оруэлловская антиутопия Си Цзиньпина
05.04.2018
Москва, 5 апреля -
"Вести.Экономика" Китайские власти заявили, что они запретили авиаперелеты более 7 млн человек, считающихся
«ненадежными». Также вышел запрет на переезды на
скоростных поездах почти 3 млн других человек, согласно докладу
Государственного комитета по развитию и реформе.
Все это наводит на мысль об амбициозной попытке Пекина создать Социальную систему кредита к 2020 году, предназначенную для создания рейтинга каждого отдельного гражданина за счет оценки 1,4 млрд граждан и «награждения тех, кто заслуживает доверия», а также «наказания тех, кто совершает нарушения».
Лю Ху, 43-летний журналист, который живет в китайской провинции Чунцин, заявил, что он был «ошарашен», когда узнал, что входит в эту систему и что он был заблокирован авиакомпаниями, когда пытался забронировать рейс в прошлом году.
Лю входит в список «недобросовестных сотрудников», потому что он проиграл судебный процесс по обвинению в диффамации в 2015 году и суд призвал его выплатить штраф, который по-прежнему не выплачен, согласно судебному протоколу.
«Никто не поставил меня в известность», - заявил Лю, который утверждает, что заплатил штраф.
Как и другие 7 млн граждан, считающихся «недобросовестными» и попавшими в «черный список», Лю не может останавливаться в отелях, имеющих «звездный» рейтинг, покупать дом, отправляться в отпуск и даже отправлять свою девятилетнюю дочь в частную школу.
А в прошлый понедельник китайские власти заявили, что они также будут стремиться заморозить активы тех, кто считается «недобросовестными гражданами».
Бонусы за донорскую крови и волонтерскую работу
Все это наводит на мысль об амбициозной попытке Пекина создать Социальную систему кредита к 2020 году, предназначенную для создания рейтинга каждого отдельного гражданина за счет оценки 1,4 млрд граждан и «награждения тех, кто заслуживает доверия», а также «наказания тех, кто совершает нарушения».
Лю Ху, 43-летний журналист, который живет в китайской провинции Чунцин, заявил, что он был «ошарашен», когда узнал, что входит в эту систему и что он был заблокирован авиакомпаниями, когда пытался забронировать рейс в прошлом году.
Лю входит в список «недобросовестных сотрудников», потому что он проиграл судебный процесс по обвинению в диффамации в 2015 году и суд призвал его выплатить штраф, который по-прежнему не выплачен, согласно судебному протоколу.
«Никто не поставил меня в известность», - заявил Лю, который утверждает, что заплатил штраф.
Как и другие 7 млн граждан, считающихся «недобросовестными» и попавшими в «черный список», Лю не может останавливаться в отелях, имеющих «звездный» рейтинг, покупать дом, отправляться в отпуск и даже отправлять свою девятилетнюю дочь в частную школу.
А в прошлый понедельник китайские власти заявили, что они также будут стремиться заморозить активы тех, кто считается «недобросовестными гражданами».
Бонусы за донорскую крови и волонтерскую работу
Поскольку национальная
система находится в стадии реализации, десятки пилотных систем социального
кредита уже опробованы местными органами власти на уровне провинций и городов.
Например, Сучжоу, город в восточном Китае, использует систему рейтинга, где каждый резидент оценивается по шкале от 0 до 200 баллов – оценка каждого жителя города начинается с базового уровня в 100 пунктов.
Можно получить бонусные баллы за участие в благотворительности и потерять очки в случае нарушения законов, правил и социальных норм.
Согласно отчету местной полиции, опубликованному в 2016 году, один из жителей Сучжоу имел самый высокий рейтинг, набрав 134 балла за пожертвование более 1 л крови и 500 часов работы в качестве добровольца.
В Сямыне, где развитие местной системы социальных кредитов началось еще в 2004 году, власти автоматически применяют сообщения для мобильных телефонах в отношении граждан, занесенных в черный список.
«Человек, которого вы вызываете, признан недобросовестным гражданином» - такое сообщение вы получаете, если пытаетесь дозвониться до кого-то, имеющего низкий рейтинг.
Может ли Китай объединить эти проекты для развития общества?
Например, Сучжоу, город в восточном Китае, использует систему рейтинга, где каждый резидент оценивается по шкале от 0 до 200 баллов – оценка каждого жителя города начинается с базового уровня в 100 пунктов.
Можно получить бонусные баллы за участие в благотворительности и потерять очки в случае нарушения законов, правил и социальных норм.
Согласно отчету местной полиции, опубликованному в 2016 году, один из жителей Сучжоу имел самый высокий рейтинг, набрав 134 балла за пожертвование более 1 л крови и 500 часов работы в качестве добровольца.
В Сямыне, где развитие местной системы социальных кредитов началось еще в 2004 году, власти автоматически применяют сообщения для мобильных телефонах в отношении граждан, занесенных в черный список.
«Человек, которого вы вызываете, признан недобросовестным гражданином» - такое сообщение вы получаете, если пытаетесь дозвониться до кого-то, имеющего низкий рейтинг.
Может ли Китай объединить эти проекты для развития общества?
Если китайским властям
удастся объединить региональные экспериментальные
проекты и огромные объемы данных к 2020 году, они смогут установить
абсолютный социальный и политический контроль и «формировать поведение людей», отметила Саманта Хоффман, независимый консультант
Министерства государственной безопасности Китая.
«Если вы осознаете, что ваше поведение негативно или положительно повлияет на ваш рейтинг, и, следовательно, на вашу жизнь и жизнь ваших близких, скорее всего, вы скорректируете свое поведение и принятие решений», - сказала Хоффман. Вопрос в том, удастся ли китайским властям реализовать это, отметила Ван.
«Министерство общественной безопасности управляет базами данных, региональные власти также используют свои базы данных. Трудно понять, как эти базы данных связаны друг с другом, как они структурированы и как они обновляются. На данный момент они обновлены, но не очень хорошо интегрированы, и интеграция будет сложной», - отметила Ван.
Ху Найхонг, профессор финансов Шанхайского университета финансов и экономики, который помогает создавать национальную систему социального кредита, похоже, согласен.
«Уже готов проект верхнего уровня, структура и ключевые документы, но остается еще много проблем, которые необходимо решить. Самая серьезная проблема заключается в том, что все виды платформ тщательно собирают данные, имея размытые юридические и концептуальные основы и границы», - сказал профессор на встрече в 2017 году в Чжэцзяне.
Многие наблюдатели опасаются, что система социального кредита может нарушать права человека и, наряду с развивающейся системой наблюдений за гражданами страны, китайское правительство может иметь возможность применить систему в отношении своих граждан.
«Китай характеризуется системой «управления по закону», а не истинным верховенством закона», - заявила Эльза Кания, эксперт в Центре новой американской безопасности.
«Этот закон можно использовать в качестве средства законного воздействия на тех, кого Компартия Китая воспринимает как угрозу.
«В подобной среде такая система может быть использована в тех же целях».
По словам экспертов, вопрос, на который еще надо будет ответить в ближайшие годы: где будет проходить граница между усовершенствованным обществом и полностью подконтрольным обществом.
Подробнее: http://www.vestifinance.ru/articles/99887
«Если вы осознаете, что ваше поведение негативно или положительно повлияет на ваш рейтинг, и, следовательно, на вашу жизнь и жизнь ваших близких, скорее всего, вы скорректируете свое поведение и принятие решений», - сказала Хоффман. Вопрос в том, удастся ли китайским властям реализовать это, отметила Ван.
«Министерство общественной безопасности управляет базами данных, региональные власти также используют свои базы данных. Трудно понять, как эти базы данных связаны друг с другом, как они структурированы и как они обновляются. На данный момент они обновлены, но не очень хорошо интегрированы, и интеграция будет сложной», - отметила Ван.
Ху Найхонг, профессор финансов Шанхайского университета финансов и экономики, который помогает создавать национальную систему социального кредита, похоже, согласен.
«Уже готов проект верхнего уровня, структура и ключевые документы, но остается еще много проблем, которые необходимо решить. Самая серьезная проблема заключается в том, что все виды платформ тщательно собирают данные, имея размытые юридические и концептуальные основы и границы», - сказал профессор на встрече в 2017 году в Чжэцзяне.
Многие наблюдатели опасаются, что система социального кредита может нарушать права человека и, наряду с развивающейся системой наблюдений за гражданами страны, китайское правительство может иметь возможность применить систему в отношении своих граждан.
«Китай характеризуется системой «управления по закону», а не истинным верховенством закона», - заявила Эльза Кания, эксперт в Центре новой американской безопасности.
«Этот закон можно использовать в качестве средства законного воздействия на тех, кого Компартия Китая воспринимает как угрозу.
«В подобной среде такая система может быть использована в тех же целях».
По словам экспертов, вопрос, на который еще надо будет ответить в ближайшие годы: где будет проходить граница между усовершенствованным обществом и полностью подконтрольным обществом.
Подробнее: http://www.vestifinance.ru/articles/99887
ЦБ
предложит банкам собирать биометрические данные россиян
Банк
России готовит законопроект, согласно которому все банки будут обязаны собирать
биометрические данные россиян —изображения
лица и голосовые слепки. Об этом в понедельник, 28 августа, пишут «Известия»
со ссылкой на источники.
Регулятор
намерен создать единую биометрическую систему (ЕБС) для внедрения удаленной идентификации
клиентов. «Благодаря новации граждане смогут стать вкладчиками любого банка не
приходя в его офис, пройдя проверку с помощью биометрии», — рассказал
собеседник издания.
Работа
над созданием соответствующей технологической инфраструктуры уже началась,
отметили в ЦБ. В рабочую группу по формированию ЕБС входит Сбербанк, ВТБ,
Бинбанк и Россельхозбанк. Новация позволит максимально упростить процесс
совершения любых банковских операций, считают в Банке России. При этом
биометрические данные должны быть хорошо защищены от злоумышленников.
В
июне «Коммерсантъ» писал о
том, что в ЦБ обсуждается идея введения сквозной системы уникальных номеров
кредитных договоров на всей территории России. Цель системы — избежать
дублирования номеров кредитных договоров различных банков, чтобы по номеру
можно было однозначно идентифицировать конкретный кредит.
26
мая в Сбербанке сообщили, что финансовая
организация тестирует роботов, которые
будут идентифицировать клиентов по лицу, узнавать и запоминать их в нескольких
ракурсах.
В
марте президент Сбербанка Герман Греф заявил, что кредитное учреждение работает
над технологией идентификации клиентов
по движению губ.
Зачем
банку биометрия по лицу и голосу
20
февраля 2017
Разработка
компании «ЦРТ-инновации» поможет банку ВТБ24 защитить данные своих клиентов в
системах дистанционного обслуживания.
Компания
«ЦРТ-инновации», резидент Фонда «Сколково», разработала эффективный способ
защиты пользователей мобильного приложения – биометрическую идентификацию по
голосу и лицу.
Пароли
и PIN-коды как способы защиты личной информации постепенно остаются в прошлом.
Хакеры и киберпреступники научились взламывать даже самые сложные
последовательности символов. К тому же длинный пароль пользователи могут забыть
или потерять бумажку, на которой записана комбинация нужных цифр.
Биометрическая аутентификация устраняет
эту проблему: пользователю больше не придется заучивать длинные пароли.
Теперь
он сам, а точнее, его лицо и голос, становятся паролем.
Внедрить
биометрическую аутентификацию – подтверждение личности по уникальным физическим
характеристикам – решил банк ВТБ24. По замыслу, это защитит клиентов банка
в системах дистанционного обслуживания от киберпреступности – преступности в
виртуальном пространстве, среди которой чаще всего встречаются кражи при
совершении онлайн-платежей. По словам генерального директора «ЦРТ-Инновации»
Дмитрия Дырмовского, биометрическая аутентификацию касается как телефонного
обслуживания (обслуживания через контакт-центр), так и веб-канала (интернет- и
мобильного банка).
Использование
бимодальной биометрии в
дистанционных каналах уже становится отраслевым стандартом. С одной стороны
технологии «ЦРТ-Инноваций» сводят к минимуму риск мошенничества, а с другой,
упрощают доступ к финансовым сервисам ВТБ24. Также нужно отметить, что сбор и
обмен биометрической информацией вскоре станет обычным процессом и позволит
банкам реализовать новые естественные способы коммуникаций с клиентом. Я рад,
что старт этому проекту был дан в 2016 году на площадке «Сколково» при самом
активном участии руководства Фонда, группы ВТБ и «ЦРТ-Инновации», –
прокомментировал Павел Новиков, директор центра финансовых технологий Фонда
«Сколково».
Почему
именно мобильное приложение?
Более
полутора миллиона клиентов ВТБ24 пользуются мобильным приложением банка. В нем
операции со своим счетом пользователи совершают даже чаще,чем в интернет-банке.
Клиенты готовы доверять мобильному приложению, в том числе при операциях с
большими суммами.
ВТБ24
решил лучше защитить счета пользователей, снизив финансовые риски, как для
клиентов, так и для себя.
Популярная
биометрия по отпечатку пальца оказалась недостаточно универсальной из-за того,
что не все мобильные устройства оснащены сканером отпечатков.
Выбор
ВТБ24 пал на биометрию по голосу и лицу. В большинстве современных устройствах
есть камеры и встроенные микрофоны, поэтому дополнительное оборудование для считывания
информации не требуется. Кроме того, использование двух технологий — и особенно
разработанного «ЦРТ» детектора живого пользователя — сводит возможность
мошенничества к минимуму, предлагая абсолютно новый уровень безопасности.
В
прошлом году представители руководства и эксперты банка ВТБ во главе с
заместителем президента-председателя правления банка Ольгой Дергуновой дважды –
в июле и в декабре – приезжали в «Сколково» для знакомства с разработками наших
резидентов в сфере финтеха. И вот уже сегодня некоторые из этих разработок, в
том числе бимодальная биометрия от компании «ЦРТ-инновации», нашли применение в
работе банка. Мы рады тому, что доказали эффективность нашего взаимодействия с
группой ВТБ, и гордимся тем, что банк выбирает наши технологии для создания
новых конкурентных преимуществ и сервисов для клиентов. Уверен, что уникальные
разработки наших резидентов помогут ВТБ оставаться лидирующей финансовой
группой страны, – сообщил Игорь Богачев, вице-президент и исполнительный
директор ИТ-кластера Фонда «Сколково»: https://finance.rambler.ru/news/2017-02-20/zachem-banku-biometriya-po-licu-i-golosu/
Нейросеть
Google научилась распознавать объекты на видео
09.03.2017
Главный
ученый в области искусственного интеллекта и машинного обучения в Google Cloud
Фей-Фей Ли рассказала о новой технологии, способной "узнавать"
объекты на видео. Выступая на конференции Next Cloud, она представила интерфейс
Video Intelligence API, благодаря которому компьютерные алгоритмы могут
"понять" суть того или иного ролика.
В
качестве примера Ли включила короткое рекламное видео, а новый API сумел
распознать таксу, как только собака появилась в кадре, и прийти к выводу, что
коммерческим был целый ролик. А на другой демонстрации алгоритмы Google смогли
найти все релевантные клипы, отвечающие запросу "пляж".
Технология
компьютерного зрения Google и ранее умела угадывать объекты, но только на
неподвижных, статических изображениях. "Ассистент", встроенный в
фотосервис "Google Фото", автоматически наносит на карту места, в
которых побывал пользователь, а также распознает достопримечательности,
запечатленные на фотографиях, и привязывает к ним соответствующие теги.
Кроме
того, там можно найти любую интересующую его фотографию, просто введя поисковый
запрос — например, "пицца" выдаст все снимки с этим блюдом, а
"Санкт-Петербург" покажет фотографии, сделанные в этом городе.
По
словам Ли, ранее алгоритмы Google были не в состоянии определить смысл видео
без проставленных вручную тегов. "Мы готовы пролить свет на темную материю
цифровой вселенной", — сказала она.
Источник: The Verge
Террориста
узнают по голосу
Facebook случайно выдал данные
модераторов потенциальным террористам
Маргарита
Герасюкова 16.06.2017
Социальная
сеть Facebook объявила о внедрении новейших технологий в свой план по борьбе с
терроризмом. Тем не менее недавний шквал критики в адрес компании Цукерберга,
утечка внутренних документов о политике модерации и многочисленные проблемы с
сотрудниками, просматривающими контент, ставят этот проект под сомнение.
В
ответ на критику в адрес Facebook за недостаточные усилия в борьбе с
экстремистским контентом социальная сеть опубликовала большую запись, в которой
детально объясняет, как она намерена пресекать противоправные действия на своей
площадке.
Представители
Facebook рассказали, какие современные технологии внедряются в социальную сеть,
чтобы противостоять международному терроризму, а также подчеркнули, что ранее
не разглашали эту информацию публично.
Вербовщика
выдаст голос
«Наша
позиция проста: на Facebook нет места терроризму», — говорится в
официальном сообщении. Соцсеть Марка Цукерберга рассказала, что
активно удаляет аккаунты и публикации, связанные с террористическими
организациями, в том числе ИГ и «Аль-Каидой» (запрещены на территории России. —
«Газета.Ru»).
Кроме
того, в случаях «неминуемой угрозы» Facebook незамедлительно сообщает об этом
властям.
Соцсеть
обозначила три направления работы в данной области: искусственный интеллект
(ИИ), человеческий опыт и сотрудничество с другими проектами компании.
Нейросети
и ИИ на службе Facebook будут сличать похожие изображения, связанные с
терроризмом, анализировать голос возможных вербовщиков, а также внедрять
кросс-платформенные методы совместно с принадлежащими компании Instagram и
WhatsApp.
Команда
из 150 человек, специализирующихся на противодействии терроризму, будет
ежеминутно отслеживать нежелательные публикации, а сотрудничество с Microsoft, Twitter,
YouTube, правительствами и неправительственными организациями поможет вести
борьбу на разных уровнях.
«Мы
верим, что технологии и Facebook могут помочь с решением проблемы», —
утверждают в компании.
Примечательно,
что спустя менее суток после заявления соцсети, в издании Guradian появилась
заметка о том, что из-за ошибки в программном обеспечении во время поиска
экстремистского контента личные данные 1000 модераторов Facebook попали в руки
потенциальных террористов — администраторов сомнительных сообществ внутри
сервиса.
Штраф
как призыв к действию
Заявления
Facebook могут быть вызваны недавней критикой социальных сетей и мессенджеров
от первых лиц Великобритании, Франции и других стран. Британский
премьер-министр Тереза Мэй назвала интернет-компании чуть ли не «рассадником
терроризма».
Также
она заявила, что соблюдение прав
человека не должно вставать на пути борьбы с террористами, а если такое случится, то свой выбор Мэй сделает не в пользу
гражданских свобод.
Совместно
с президентом Франции Эммануэлем Макроном Тереза Мэй разработалаконтртеррористический план, согласно
которому владельцы социальных сетей и мессенджеров будут привлечены к
ответственности за «неспособность противостоять пропаганде террора».
«Опасный
и безответственный подход к экстремизму в социальных медиакомпаниях слишком
долго оставался безнаказанным», — сказала член парламента от Лейбористской
партии Иветт Купер в поддержку инициативы Мэй.
Похожие
заявления делал и госсекретарь США Рекс Тиллерсон,
призвав Кремниевую долину объединиться ради борьбы с терроризмом. Правда, ни о
каких штрафах пока речи не идет — политик предложил углубить сотрудничество в
этой сфере.
«Цифровой
халифат не должен процветать вместо халифата физического», — заявил Тиллерсон.
На
фоне этой кампании, развернутой в крупнейших европейских странах и США,
Facebook в качестве одного из лидеров индустрии не мог не отреагировать на
вызов и подготовил план дальнейшей работы. Пока предстоит выяснить, насколько
он станет успешным, так как главная цель проекта размыта — пытается ли соцсеть
отвадить людей от вступления в террористические организации или отбить желание
писать о терроризме в своем профиле на Facebook?
Модераторы
не справляются
Существуют
сомнения насчет пропускной способности модераторов Facebook — контента
становится так много, что 150 экспертов по борьбе с терроризмом не хватит даже
для проверки публикаций на одном из мировых языков.
В
мае 2017 года Guardian выложила в общий доступ выдержки из правил модерации
пользовательского контента на Facebook, которые вызвали общественный резонанс
своей неоднозначностью. К примеру, за фразу «убейте уже Трампа» могут отправить
в бан, а на сообщение «надеюсь, кто-нибудь тебя прикончит» никто не обратит
внимание, так как оно не содержит конкретики.
Видео
с насильственной смертью или издевательствами над животными просто помечаются
плашкой «шокирующий контент», так как Facebook полагает, что они повышают
пользовательский уровень осведомленности о проблеме.
Таким
образом решается проблема с недостаточным количеством модераторов социальной
сети — проверяется и удаляется только «наиболее экстремистский» контент.
Модераторы
Facebook, пожелавшие остаться неизвестными, пожаловались на низкую оплату и большой уровень
стресса. По их словам, на принятие решения об удалении иногда остается всего 10
секунд, а сама работа негативно отражается на психике. Сообщается, что многие
модераторы, которые ежедневно отсматривают нежелательные публикации, плохо
спят, им снятся кошмары, они вынуждены посещать психологов.
«Ъ»:
ЦБ ведет переговоры с ПФР о предоставлении банкам доступа к базе СНИЛС
28.09.2016
Банк
России ведет переговоры с Пенсионным фондом России (ПФР) о предоставлении
банкам доступа к базе страховых номеров лицевых счетов (СНИЛС) российских
граждан. Подобный шаг связан с вступлением в силу с 1 января 2017 года
требования запроса кредитной истории только при наличии СНИЛС. Об этом
пишет «Коммерсантъ».
С
1 января следующего года в России вступает в силу норма закона «О кредитных
историях». Это означает, что с начала года банки смогут отправлять запросы в
бюро кредитных историй (БКИ) только с
указанием номера СНИЛС гражданина. Отмечается, что данный идентификатор
имеется у всех граждан, однако не все его знают и могут предоставить банку. Без
номера СНИЛС, согласно новой норме, банки не получат доступа к кредитной
истории и, соответственно, будут отказывать в предоставлении кредита. Полная
база СНИЛС всех граждан имеется лишь в распоряжении ПФР.
Центробанк
в связи с этим продолжает переговоры с ПФР о предоставлении коммерческим банкам
данной информации. Отмечается, что окончательного отказа со стороны Пенсионного
фонда не было. По словам источника издания, ЦБ и ПФР проведут совещание по
данному вопросу уже на следующей неделе.
Подчеркивается,
что в данном вопросе Центробанку готова помочь Федеральная налоговая служба
(ФНС), которая с начала 2017 года займется администрированием страховых
взносов, в том числе пенсионных. Таким образом, у ФНС также появится база
данных с номерами СНИЛС. По словам заместителя главы ФНС Светланы Бондарчук,
служба предоставит информацию, если не увидит при этом рисков.
3 января 2018
Родина знает
Китай следит
за всеми гражданами и подчиняет их всемогущему роботу
Точно знать, что думают, что
читают и о чем разговаривают на кухнях граждане, — заветная мечта каждого
тоталитарного правителя. Технологии слежки постоянно шлифовались: в дело шли
прослушка телефонных разговоров, перлюстрация писем и поощрение доносов — но
полный контроль установить так никому и не удавалось. И вот теперь Китай,
кажется, намерен исполнить тоталитарную мечту: граждане страны уже
несколько лет находятся под прицелом сотен миллионов камер, объединенных единой
системой контроля и анализа изображений и распознавания лиц. На основании
собранной информации искусственный интеллект каждому гражданину выставляет
оценку, которая потом во многом определят всю его жизнь. «Лента.ру»
разбиралась, как коммунистическая партия стремится взять каждого гражданина
Китая под свой неусыпный контроль.
«Весь мир стал гигантской
съемочной площадкой, и в этой студии миллионы камер смотрят на тебя отовсюду»,
— китайский режиссер Сюй Бин показывает свое творение: фильм, смонтированный из
10 тысяч часов видеозаписей с камер наблюдения. Нет ни актеров, ни операторов,
но все персонажи связаны друг с другом, а сюжет рассказывает историю любви на
фоне повседневной жизни тысяч обычных китайцев.
Новые формы киноискусства
лишь отражают современную китайскую реальность. Власти КНР вкладываются в
разработку все более совершенной системы распознавания лиц, которая позволит с
высочайшей точностью идентифицировать человека по расстоянию между бровями,
овалу щек, длине носа и форме подбородка.
Разработчики китайских
компаний SenseTime Group, Face++ и DeepGlint шагнули дальше Apple с ее
инновационной технологией FaceID на флагманских смартфонах iPhone X. Как
уверяют китайцы, их система станет незаменимой в повседневной жизни: с ее
помощью, например, можно будет запросто оплатить обед, примерить новую прическу
или макияж, проследить, дошел ли ребенок до школы — не свернул ли по пути в
нелегальное интернет-кафе (вход в легальные детям заказан). Работодатель всегда
будет в курсе, кто из подчиненных зарабатывает ему деньги, а кто бездельничает
на рабочем месте.
Доходит до смешного: так,
например, в некоторых общественных туалетах Пекина бумага выдается после сканирования
лица и лишь один раз: следующей порции придется ждать 9 минут. В ресторанах
сети KFC предлагают скидки тем клиентам, чье лицо система сочтет наиболее
миловидным. То есть, если у вас нос не самый изящный или уши лопоухие, платить
придется сполна, а вот те, чью внешность китайский искусственный интеллект
сочтет достаточно привлекательной, получат скидку.
Разработчики систем
распознавания лиц рассказывают о своем изобретении с оптимистичной улыбкой.
«Рынок систем распознавания лиц огромен, — восхищается своим творением Чжан
Шилян, ассистент профессора, специалист по машинному обучению и обработке
изображений. — Безопасность для Китая чрезвычайно важна, к тому же у нашей
страны такое большое население!»
«Удобство системы — вот что
привлекает китайских пользователей. Управляющие компании некоторых жилых
комплексов применяют распознавание лиц в качестве пропуска на территорию,
а рестораны и магазины стремятся внедрить технологию, чтобы повысить качество
обслуживания. Дело не только в том, что клиент может расплатиться с помощью
системы, но и в том, что система предупреждает сотрудников о прибытии клиента,
и они уже с порога приветствуют меня: "Здравствуйте, мистер Тан!"» —
говорит консультант компании Face++.
Между тем все это можно
назвать побочными эффектами. Глобальная система слежки нужна прежде всего
китайскому государству. По словам представителей правящей партии, основная цель
внедрения научного новшества — контроль уровня преступности и коррупции.
В городе Шэньчжэнь, например, стражи порядка используют эту систему для
выявления нарушителей правил дорожного движения — количество задержанных по
этому поводу, правда, не приводится.
Я тебя вижу
Будущее вовсе не наступило
так внезапно, как может показаться. Новая технология лишь дополняет и развивает
уже действующую масштабную систему по маркировке и ранжированию граждан.
Еще в 2005 году правительство Китая запустило в Пекине специальную систему,
которая позволяет государству контролировать поведение граждан (читай: следить
за их личной жизнью) с помощью камер, установленных буквально по несколько
штук на каждом углу. Творение айтишников и инженеров Поднебесной не получило
громкого названия и буднично именуется «система видеонаблюдения» (CCTV, 视频监控), однако западные медиа окрестили ее SkyNet,
сравнив с могущественным искусственным интеллектом из вселенной «Терминатора».
К 2008 году в Пекине насчитывалось более 300 тысяч камер. Сегодня по всей
стране установлено около 170 миллионов камер, а к 2020 году SkyNet
обзаведется еще 450 миллионами следящих устройств.
В 2013 году с шанхайской
активисткой движения за права человека, адвокатом Ли Тяньтянь произошла
любопытная история. «Однажды утром я направлялась в суд на слушание и вызвала
такси заранее. Полиция использовала мой телефон, чтобы отследить движение
машины к моему дому. Стражи порядка уже ждали рядом, чтобы задержать меня. Те,
кто разбирается в информационных технологиях, говорят, что полиция может по
вашему личному телефону следить за вами и даже прослушивать разговоры», —
говорит она. По ее словам, во время дружеских посиделок они с друзьями всегда
уносят телефоны в другую комнату. Учитывая, как развивается система
всекитайской слежки, эту осмотрительность Ли трудно назвать паранойей.
Специалисты, правда,
отмечают, что у системы есть и серьезные недоработки. Например, недостаточная
точность. Как только фотография, пол и возраст человека внесены в базу, система
должна найти совпадения в течение 80 секунд с уровнем точности более 88
процентов. Но, по словам экспертов, средняя точность не превышает 60 процентов,
максимум — 70. Таким образом, пока эту систему все же можно считать «бумажным
тигром».
Один из исследователей
факультета информатики Пекинского политехнического университета считает, что
среди 1,5-миллиардного населения есть граждане, чьи лица почти идентичны друг
другу, — таких порой не могут различить даже родители. Сейчас доступ к базам
данных системы ограничен, пользоваться ими могут лишь некоторые компании, тесно
связанные с министерством общественной безопасности, но более широкий доступ
для «выставления оценок» неизменно приведет к утечке личной информации.
Исследователь считает, что это приводит к необходимости выбора между
безопасностью и правом на неприкосновенность частной жизни.
Либерально настроенные
граждане Китая подвергают технологию еще более жестокой критике: «Мы
практически полностью охвачены системой Sky Net, которая просто огромна и
направлена на то, чтобы контролировать людей на улицах», — сообщил
некоммерческой компании Radio Free Asia Ху Цзя, китайский диссидент,
проживающий в Пекине.
Во время дискуссии о будущем
Китая в тайваньском исследовательском институте Academia Sinica вообще
прозвучали слова об «оцифрованном тоталитаризме». Профессор политологии
университета Сунь Ятсена выразил озабоченность тем, что данная технология способна рубить на корню любые формы политического
несогласия еще до того, как они возникнут, и назвал это «современной
формой политической инженерии». Китайские интернет-пользователи
тоже задаются вопросом целесообразности введения системы. «Почему же
совершается так много правонарушений в отношении детей, если система рабочая?»
— удивляется пользователь xianzaihe_89. «У нас вообще не остается личного
пространства, все под надзором правительства!» — возмущается Neidacongmin.
Шоу Трумана по-китайски, или
социальный рейтинг граждан
Системы
распознавания лиц — часть так
называемой системы социального доверия или кредитования граждан,
которая уже действует в ряде китайских городов. Ее концепция, представленная
китайскими властями в 2014 году, заключается в том, что каждый шаг
обладателя смартфона (а в Китае это около 633 миллионов человек) фиксируется и
вносится в базу данных системы.
Та накапливает
информацию о человеке, отслеживает его кредитную историю, лайки и шеры в
социальных сетях, историю покупок на онлайн-платформах, геометки и прочее. И вовсе не для контекстной рекламы. Данные Sky
Net используются для присвоения рейтинга каждому гражданину. Чем выше рейтинг,
тем больше социальных бонусов: легче совершить покупку, оформить кредит, отдать
ребенка в детский сад или получить медицинскую помощь. Если по какой-то причине
рейтинг слишком низкий (неправильный с точки зрения партии лайк или
неоплаченный штраф за мелкое нарушение), то возникает риск стать не просто
социально-опасным элементом, а своего рода неприкасаемым.
Друзья, знакомые и даже
семья будут опасаться контактов с таким человеком, поскольку это, в свою
очередь, может понизить и их рейтинг. Публичной дискуссии о том, что
правильно, а что нет, не ведется — все уже давно решено и регламентировано в
высоких партийных кабинетах. Весьма ироничным выглядит то, что в стране
с такой жесткой и развитой цензурой, как Китай, личная жизнь простых людей
может стать доступной любому по одному клику мышки — трансляции со многих камер
уже доступны в интернете.
Как же изменится жизнь в
Поднебесной и что сами китайцы думают об этом? Большинство граждан КНР не
слишком озабочены последствиями повсеместного введения системы распознавания
лиц и слежения. Это можно объяснить старой китайской традицией: жить на виду у
всех, с распахнутыми шторами и без замка на дверях китайцам приходилось долгие
годы до начала экономических преобразований 1980-х.
Старшее поколение буквально
делило кровать со своими родителями и братьями, дом — с соседями и
сослуживцами. Понятие личного пространства стерлось из менталитета китайцев
окончательно еще в Культурную революцию, бушевавшую к Китае в 60-70-е годы
прошлого века и унесшую жизни сотен тысяч инакомыслящих.
С развитием экономики в
период реформ рос и уровень жизни, благосостояния граждан, поэтому китайцы,
родившиеся в 80-е и 90-е годы, ценят свое личное пространство: у них уже была
собственная кровать или даже комната в родительском доме. Граждане КНР в
возрасте до 30 лет имеют опыт учебы и работы за границей, на Западе — это тоже
оставило либеральный след в их сознании. На родину они возвращаются другими
людьми, с новыми и идеями, далекими от официальной партийной пропаганды. Эти
молодые люди не готовы обменять личную жизнь на новые блага цивилизации.
Они мыслят критически и видят недостатки существующего режима.
К сожалению, пока у тех, кто
не согласен с формированием общества глобального наблюдения, есть лишь два пути
— встроиться вопреки своим идеалам в систему или эмигрировать в страны, где о
правах человека известно чуть больше, и постить свои претензии к компартии в
Twitter, которые вряд ли когда-нибудь увидят их адресаты.: https://lenta.ru/articles/2018/01/03/chinese_surveillance/
Чем
грозит потеря контроля над персональными данными
21.07.2017
Информацию
о гражданах хранит множество организаций. При этом во многих случаях источником
информации выступает человек, многократно оставляющий информацию о себе на
различных онлайн-сервисах и площадках или участвующий, например, в
промо-кампаниях. По мнению международных экспертов в
области информационной безопасности, пользователи давно потеряли контроль над
своими данными.
Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек персональных данных, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией. Пользователь предоставляет данные в распоряжение операторов сервисов, как правило, в полной уверенности, что они не окажутся в распоряжении третьих лиц.
С одной стороны, конфиденциальность персональных данных гарантирована государством в виде законодательных требований и контроля их соблюдения, с другой — существует и гражданская ответственность самих операторов за нарушение конфиденциальности предоставляемых им данных. Однако даже такая «двойная» система ответственности часто дает сбой, и на практике наши данные все равно рано или поздно становятся доступными любому в виде очередного выброшенного архива.
По данным исследования Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей персональных данных — в три раза больше, чем годом ранее.
В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow Jones & Company, которому также принадлежит издание The Wall Street Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало в открытом доступе данные нескольких миллионов своих клиентов, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и данные банковских карт.
По словам представителей Dow Jones, в хранилище содержится информация о 2,2 миллионах клиентов, однако независимые эксперты считают, что число пострадавших может достигать четырех миллионов. В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.
Проблема защиты персональных данных имеет несколько аспектов. Первый – технический. Внутри любого документа, базы данных или электронного письма легко выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты. Персональные данные хранятся в виде упорядоченных массивов информации и легко формализуются. Поэтому с учетом современных технологий анализа трафика, технических проблем защиты организаций от утечек фактически не возникает.
Второй – формально-юридический, в рамках которого во многих странах, включая Россию, на законодательном уровне закреплено понятие персональных данных, правила их хранения, обработки и передачи, а также определены сами операторы персональных данных, которые и несут ответственность за соблюдение требований закона в части их защиты.
Казалось бы – нормативно необходимость защиты персональных данных закреплена, ответственные определены, технических препятствий нет, но почему же тогда утечки все-таки происходят?
В защите данных участвуют три стороны – это государство, бизнес и сами субъекты данных – граждане. Государство, по сути, навязывает бремя заботы о защите данных граждан бизнесу, который в реальности не особо заинтересован в этой нагрузке. Ответственность организаций за персональные данные скорее является номинальной. Отсюда и существующее представление о том, что операторам персональных данных достаточно «бумажной» безопасности на уровне принятия регламентов, приказов, наличие которых проверяют регулирующие органы, не более.
Бизнес не видит ценности персональных данных, и, как правило, не ощущает реальной опасности. Если за утечками баз не следует крупный штраф или необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень большого количества персональных данных клиентов или сотрудников для компании не несет серьезной угрозы. Основные риски при утечке данных связаны со штрафными санкциями регуляторов, в то время как суммы таких штрафов смехотворны.
Исключение составляют так называемые «мега-ликвидные» персональные данные — сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями о гражданине, которые могут привести к крупным финансовым потерям. Более-менее о безопасности данных задумываются в отраслях, для которых персональные данные являются бизнес-активом, как страхование и финансовый сектор. Например, база данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в типовом страховании очень короткий цикл продаж, а предпочтения клиента очевидны.
Сами пользователи, как правило, тоже не проявляют большой заинтересованности в защите своих данных и не заботятся о них. В силу общей низкой культуры в области информационной безопасности большинство пользователей с легкостью предоставляют свои данные практически по любому требованию, и в случае утечек за редкими исключениями не обращаются в органы судебной власти и не требуют компенсации. До сих пор реальных потерь от утечек данных пользователи практически не ощущают, и сложно представить, что граждане добровольно примут на себя издержки, связанные с защитой персональных данных.
Усилия глобальных компаний и геополитические риски просто не оставляют государствам выбора – они либо заботятся о защите данных своих граждан самостоятельно либо об этом «позаботятся» другие.
Основной механизм, который использует любое государство в процессе защиты пользовательских данных – это введение нормы обязательного опубликования компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в России операторы данных не обязаны разглашать информацию об их утечке, однако с недавнего времени этот путь имеет шансы укорениться и в нашей стране.
В таком случае по существу, рядом с государственным «кнутом» в виде системы штрафов за нарушения правил обработки персональных данных появляется и «пряник» — система, в которой компаниям становится действительно невыгодно допускать утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную безопасность.
Такая система позволяет государству замотивировать бизнес на соблюдение социальной ответственности за безопасность персональных данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к агрегированным данным пользователей для удовлетворения своих нужд, например, проведения рекламных и маркетинговых активностей, анализа потребительского поведения.
Как это будет работать на практике, пока неизвестно. По словам генерального директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и о подобных инцидентах компаниям как правило проще умолчать. «Что касается штрафных санкций, то если они будут небольшими, то некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».
Но такая модель, где государство задает рамки для саморегулирования целой сферы (а обязанность информировать об утечках общественность – не что иное, как саморегулирование), выглядит наиболее многообещающей перед лицом растущей год от года ликвидности персональных данных, стремительно увеличивающихся объемов утечек и все новых способов мошенничества с использованием личной информации граждан.
Подробнее: http://www.vestifinance.ru/articles/88527
Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек персональных данных, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией. Пользователь предоставляет данные в распоряжение операторов сервисов, как правило, в полной уверенности, что они не окажутся в распоряжении третьих лиц.
С одной стороны, конфиденциальность персональных данных гарантирована государством в виде законодательных требований и контроля их соблюдения, с другой — существует и гражданская ответственность самих операторов за нарушение конфиденциальности предоставляемых им данных. Однако даже такая «двойная» система ответственности часто дает сбой, и на практике наши данные все равно рано или поздно становятся доступными любому в виде очередного выброшенного архива.
По данным исследования Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей персональных данных — в три раза больше, чем годом ранее.
В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow Jones & Company, которому также принадлежит издание The Wall Street Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало в открытом доступе данные нескольких миллионов своих клиентов, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и данные банковских карт.
По словам представителей Dow Jones, в хранилище содержится информация о 2,2 миллионах клиентов, однако независимые эксперты считают, что число пострадавших может достигать четырех миллионов. В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.
Проблема защиты персональных данных имеет несколько аспектов. Первый – технический. Внутри любого документа, базы данных или электронного письма легко выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты. Персональные данные хранятся в виде упорядоченных массивов информации и легко формализуются. Поэтому с учетом современных технологий анализа трафика, технических проблем защиты организаций от утечек фактически не возникает.
Второй – формально-юридический, в рамках которого во многих странах, включая Россию, на законодательном уровне закреплено понятие персональных данных, правила их хранения, обработки и передачи, а также определены сами операторы персональных данных, которые и несут ответственность за соблюдение требований закона в части их защиты.
Казалось бы – нормативно необходимость защиты персональных данных закреплена, ответственные определены, технических препятствий нет, но почему же тогда утечки все-таки происходят?
В защите данных участвуют три стороны – это государство, бизнес и сами субъекты данных – граждане. Государство, по сути, навязывает бремя заботы о защите данных граждан бизнесу, который в реальности не особо заинтересован в этой нагрузке. Ответственность организаций за персональные данные скорее является номинальной. Отсюда и существующее представление о том, что операторам персональных данных достаточно «бумажной» безопасности на уровне принятия регламентов, приказов, наличие которых проверяют регулирующие органы, не более.
Бизнес не видит ценности персональных данных, и, как правило, не ощущает реальной опасности. Если за утечками баз не следует крупный штраф или необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень большого количества персональных данных клиентов или сотрудников для компании не несет серьезной угрозы. Основные риски при утечке данных связаны со штрафными санкциями регуляторов, в то время как суммы таких штрафов смехотворны.
Исключение составляют так называемые «мега-ликвидные» персональные данные — сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями о гражданине, которые могут привести к крупным финансовым потерям. Более-менее о безопасности данных задумываются в отраслях, для которых персональные данные являются бизнес-активом, как страхование и финансовый сектор. Например, база данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в типовом страховании очень короткий цикл продаж, а предпочтения клиента очевидны.
Сами пользователи, как правило, тоже не проявляют большой заинтересованности в защите своих данных и не заботятся о них. В силу общей низкой культуры в области информационной безопасности большинство пользователей с легкостью предоставляют свои данные практически по любому требованию, и в случае утечек за редкими исключениями не обращаются в органы судебной власти и не требуют компенсации. До сих пор реальных потерь от утечек данных пользователи практически не ощущают, и сложно представить, что граждане добровольно примут на себя издержки, связанные с защитой персональных данных.
Усилия глобальных компаний и геополитические риски просто не оставляют государствам выбора – они либо заботятся о защите данных своих граждан самостоятельно либо об этом «позаботятся» другие.
Основной механизм, который использует любое государство в процессе защиты пользовательских данных – это введение нормы обязательного опубликования компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в России операторы данных не обязаны разглашать информацию об их утечке, однако с недавнего времени этот путь имеет шансы укорениться и в нашей стране.
В таком случае по существу, рядом с государственным «кнутом» в виде системы штрафов за нарушения правил обработки персональных данных появляется и «пряник» — система, в которой компаниям становится действительно невыгодно допускать утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную безопасность.
Такая система позволяет государству замотивировать бизнес на соблюдение социальной ответственности за безопасность персональных данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к агрегированным данным пользователей для удовлетворения своих нужд, например, проведения рекламных и маркетинговых активностей, анализа потребительского поведения.
Как это будет работать на практике, пока неизвестно. По словам генерального директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и о подобных инцидентах компаниям как правило проще умолчать. «Что касается штрафных санкций, то если они будут небольшими, то некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».
Но такая модель, где государство задает рамки для саморегулирования целой сферы (а обязанность информировать об утечках общественность – не что иное, как саморегулирование), выглядит наиболее многообещающей перед лицом растущей год от года ликвидности персональных данных, стремительно увеличивающихся объемов утечек и все новых способов мошенничества с использованием личной информации граждан.
Подробнее: http://www.vestifinance.ru/articles/88527
Каждый ваш лайк и репост в социальных
сетях теперь известен полиции
Силовые структуры получили новейшее ПО для
слежки за соцсетями
Стало известно, что в России полиция получила
программное обеспечение, которое дает возможность взять под полный контроль
любого пользователя социальных сетей. Новое ПО призвано брать под
автоматическое наблюдение абсолютно любого человека, что позволит фиксировать,
кого он добавляет в друзья, посты какого содержания выкладывает, есть ли в его
публикациях «стоп» слова, а также на какие группы подписывается пользователь.
Кроме того, теперь сотрудникам правоохранительных органов не представляет труда
следить и за тем, какие снимки и видео человек выкладывает и удаляет, а также с
кем и с какой периодичностью общается. То есть получается, что каждое
сообщение, лайк, или репост, под контролем у силовиков, и доведена система
теперь до полного автоматизма.
Безусловно, и ранее у МВД были подобные технологии, в
общем-то и секрета из этого никто не делал. Разные модификации подобных модулей
использовались по назначению, однако последняя версия, как предполагается,
будет отличаться большей мощностью и точностью.
Стоит напомнить, что ГУ МВД по Свердловской области
еще летом 2016 года сообщало о закупке программно-аналитического модуля для
информационной системы «Зеус», которая уже широко применяется
правоохранителями.
Автор: rusmonitor.com
: http://ru24ru.net/kagdiy_vash_layk_i_repost_v_sotsialnih_setyah_teper_izvesten_politsii/
25
сентября 2016
Жители
Швейцарии разрешили спецслужбам следить за собой
Жители
Швейцарии в ходе референдума поддержали инициативу о расширении полномочий
службы разведки. Как сообщает в воскресенье, 25 сентября, BBC News, в поддержку
новшества, по предварительным данным, выступили 65,5 процента проголосовавших.
Противникам
этой меры, опасавшимся нарушения гражданских свобод, не удалось заручиться
поддержкой большинства ни в одном из 26 кантонов или полукантонов.
Согласно выносившемуся на рассмотрение народа закону, власти
получат право прослушивать телефоны, следить за электронной почтой, вести
наблюдение на частной территории. Все это, по мнению сторонников
инициативы, позволит повысить безопасность в условиях террористической угрозы.
В
правительстве утверждают, что спецслужбы будут использовать эти новые
полномочия примерно раз в месяц ради слежки за наиболее подозрительными людьми.
Закон о наблюдении был принят еще в прошлом году, но так и не вступил в силу,
поскольку его противникам удалось собрать число подписей, необходимое для его
пересмотра.
Помимо
этого, жители Швейцарии голосовали на референдуме по вопросу о повышении пенсий
на 10 процентов. Избиратели отклонили предложение, выдвинутое левыми, но
считающееся слишком дорогостоящим. Кроме того, не получила одобрения инициатива
о переходе к «зеленой экономике» к 2050 году. Она также считается чересчур
затратной.
Изобретатель
Интернета назвал три вещи, угрожающие будущему сети
13.03.2017
Британский
ученый Тим Бернерс-Ли, один из изобретателей Интернета и глава W3C (Консорциум
Всемирной паутины), назвал три основные угрозы, препятствующие развитию
Сети. К таковым "отец Интернета" причислил потерю контроля над персональными данными,
распространение дезинформации и непрозрачность политической рекламы.
"Сотрудничая
— или путем принуждения — с компаниями, правительства увеличивают слежку за каждым нашим шагом Интернете,
а также принимают крайне резкие законы, которые ущемляют наши права на неприкосновенность частной жизни, — пишет
Бернерс-Ли, — При репрессивных режимах легко увидеть вред, который может быть
причинен: блогеров могут арестовать или убить, а действия политических
оппонентов — отследить. Но даже в странах, где правительства, как принято
считать, руководствуются лучшими побуждениями для собственных граждан,
тотальная слежка переходит все границы".
К
еще одному важному вызову для Интернета ученый отнес распространение информации, вводящей в заблуждение. По его
словам, распространители фейковых новостей извлекают финансовую и политическую
выгоду, а сайты соцмедиа и поисковые системы, зная о предпочтениях
пользователей, финансово заинтересованы в показе ссылок, на которые они захотят
кликнуть. Например, сказал Бернерс-Ли, в рамках одной политической кампании
двум совершенно разным группам людей могут показываться "нацеливаемые" объявления, полностью противоречащие друг
другу.
Изобретатель
Сети предложил IT-компаниям рассмотреть другие модели заработка, такие как
подписки и микроплатежи, а также создать новые технологии, например "капсулы данных" для защиты
персональной информации. Кроме того, Бернерс-Ли призвал Google и
Facebook лучше объяснять пользователям суть работы алгоритмов, на основе
которых им показывается политическая реклама.
Источник: Quartz
19
сентября 2017
WikiLeaks
опубликовал схему слежки за россиянами
Сайт
WikiLeaks опубликовал серию документов о российской компании, которая якобы
поставляет оборудование для наблюдения за российскими пользователями. Ссылка на
архив опубликована в Twitter.
В
публикациях речь идет о петербургской компании Peter-Service, основанной в 1992 году. По данным WikiLeaks, она
разрабатывает софт для телекоммуникационных компаний и может быть связана с
российскими спецслужбами.
Документы
в архиве охватывают период с 2007 по 2015 год. В опубликованных материалах
значится, что, помимо биллинга, компания занимается наблюдением и контролем за
абонентами мобильных операторов. В частности, в документах речь идет о записях разговоров, сообщениях и
идентификаторах устройств (IMEI, MAC-адреса).
В
материалах не упоминается, о каких конкретно спецслужбах идет речь. Также из
публикации следует, что компания добровольно сотрудничала с государственными
ведомствами на взаимовыгодных условиях.
В
самой компании Peter-Service заявили «Ленте.ру», что действуют «в строгом
соответствии с законодательством стран, в которых присутствуют наши клиенты».
«Неприкосновенность частной жизни — один из постулатов нашей работы. Сотрудники
компании не имеют доступа к абонентским данным, тем более компания никогда не
передавала информацию об абонентах наших клиентов спецслужбам какой-либо
страны», — заявил представитель Peter-Service.
WikiLeaks
уточнил, что это только первая часть цикла публикаций о России в рамках
проекта Spy Files Russia («Шпионские документы России»): https://lenta.ru/news/2017/09/19/fromrussia/
Порядковый номер
02.07.2018
Георгий
Бовт о том, какие возможности открывает идентификация по мобильнику
Родилась чудная идея —
приравнять номер мобильного телефона к удостоверению личности. Прямо-таки чуть
ли не паспорту. Будет почти как в песне Цоя: «Мой порядковый номер — на рукаве».
Только не на рукаве, а в телефоне…..
все на учете и оцифрованы.
…. Дальше всех продвинулся в
создании «цифрового паспорта на смартфоне» Китай. Это, мне кажется, должно
воодушевлять наших цифровых паспортистов. Поскольку открывает огромные, ранее неосвоенные возможности по контролю
за обществом в целом и каждой отдельной личностью. И чем больше
говорят вокруг о защите ваших персональных данных (поздравляю всех с
вступлением в силу «пакета Яровой» с 1 июля), тем больше, будьте уверены, их
анализируют, накапливают и используют компетентные в этих делах люди и органы.
Используют не только «против вас» (как вам кажется), но и для вашего же блага,
как они его понимают.
Новый тоталитаризм будет максимально комфортен для обывателя. Он
будет гораздо комфортнее, чем свобода.
Он войдет в вашу жизнь тихо в мягких тапках. Со свободой этой обыватель
мучается (например, под тяжестью ответственности выбора), а тут все решат и выберут за него. Еду, развлечения,
путешествия, род деятельности и правила этой деятельности. Вам предложат
«комфортные» правила поведения в обществе, за которые, если вы будете им
следовать, вы получите «ништяки» — бонусные баллы, скидки, повышенный класс
обслуживания, что-нибудь в подарок и т.д.
В Китае в провинции Гуанчжоу
в конце прошлого года был запущен пилотный проект удостоверения личности по
смартфону. В этом году он уже распространяется по стране. После предоставления
необходимых данных (включая фото и отпечатки пальцев) ваш ID (ваш смартфон)
привязывается одновременно к базе данных полиции и популярному в Китае
мессенджеру WeChat, который выступает носителем данной платформы. С этим
«цифровым паспортом», который содержится в его телефоне, человек может свободно
путешествовать по стране на всех видах транспорта, получать кредитные карты и
открывать банковские счета, брать кредиты, открывать и закрывать собственный
бизнес, въезжать в Гонконг или Макао. Мобильник заменяет также водительские
права, содержит информацию о месте регистрации и т.д. Кстати, поменять
адрес регистрации тоже можно через мобильное приложение. На экране смартфона
такой «паспорт» выглядит как обычный QR-код. Для того, чтобы третье лицо
удостоверило личность такого человека, достаточно сканировать этот код. В том
числе это можно сделать дистанционно. Украсть и подделать такое ID можно, лишь
украв и подделав лицо и отпечатки пальцев владельца. Что довольно трудно,
согласитесь.
Вообще непонятно, над чем,
собственно, размышляют наши разработчики. Как непонятно, где применять? Да
везде. У нас ведь так любят ссылаться на китайский опыт. Вот вам китайский
опыт, берите и внедряйте.
Авторы антиутопий, начиная
от Джорджа Оруэлла и Олдоса Хаксли и кончая Евгением Замятиным, будут
ворочаться в могилах от зависти. Они-то рисовали «тоталитарный мир» будущего
как страшный и мрачный, пронизанный страхом и подчинением. А тут — сплошные
потребительские удобства, блеск и изящное совершенство новейших технологий, рай
для хипстеров, превращение вашей жизни в сплошную онлайн-игру, порой даже
весьма увлекательную.
Нетрудно
догадаться, что система мобильной идентификации личности в том же Китае, а
затем и во многих других странах будет интегрирована с анализом поведенческих
моделей граждан. Тут точно дойдут до каждого. В том же Китае уже активно
развивается система «социального кредита» или «социального доверия».
Она очень похожа на советскую систему характеристик по месту работы или, если
применить более современную терминологию, на систему банковского скоринга.
Только это скоринг охватывает всю вашу жизнь, все
ваши поступки, а по сути — и все ваши мысли тоже, как они отражаются в ваших
записях, скажем, в соцсетях, в вашей электронной переписке, которая становится
все более прозрачной для «аналитиков в штатском».
На основании анализа вашего
поведения в онлайн-режиме (а все привязано к вашему «цифровому паспорту») вам присваивается определенный рейтинг. Более того, рейтинг
каждого гражданина открыт и опубликован для всеобщего обозрения. Для
порицания и поощрения. Нарушил правила дорожного движения — минус столько-то
баллов. Ребенок получает в школе отличные отметки — плюс баллы, родители,
значит, воспитывают достойного патриота страны. Побродил-поискал в интернете по
«не тем сайтам» — минус «в карму». А если бродил только «по тем, по которым
надо», то плюс. Слишком много играл в онлайн игры — выходит, ты слишком
азартен. Скачивал запрещенный контент — уже почти опасен для общества. А если
вы, гражданин, еще и пользуетесь анонимайзерами в интернете, то это уже на
грани «экстремизма/терроризма». Минус много баллов. Ну и к вам придут, скорее
всего. Сначала — просто побеседовать. Упредить от дальнейших, так сказать,
ошибок.
Учитывается своевременность
оплаты коммунальных услуг и взятых кредитов, а также всевозможные нарушения. На
гражданина «стучат» все государственные и муниципальные, а также судебные,
коммерческие и правоохранительные органы. За донесение о «неблаговидном»
поведении соседа тоже положены премиальные баллы. Или, например, за информацию
о том, что кто-то выбросил мусор в окно автомашины на обочину. Анализируются
десятки тысяч параметров поведения. При этом единого кодекса поведения нет. Есть
общие Понятия, что такое хорошо и что такое плохо. Сам угадывай. И
подстраивайся.
Имея рейтинг
ниже определенного уровня, нельзя будет устроиться на работу в государственные
и муниципальные органы, еще ниже — вообще никуда. Уже были случаи отказа продажи людям с низким
рейтингом билетов на самолеты и скоростные поезда. На скоростных поездах должны
ездить только добропорядочные граждане. Даже велосипед напрокат людям с
«пониженной социальной ответственностью» и то не дадут без залога. А если у
вас, гражданин, обнаружится повышенное количество друзей (в тех же соцсетях) из
разряда «низкорейтинговых граждан», то и тебе понизят рейтинг. Не водись с
кем ни попадя потому что. И, наоборот, людям с «повышенной социальной
ответственностью» — и кредиты по пониженной ставке и без поручителя. И
улучшенное медицинское обслуживание. Не говоря о всяких скидках. Кстати, в
сборе и анализе поведенческой информации участвуют крупнейшие системы
интернет-торговли и платежные платформы Alibaba, WeChatPay (владелец корпорация
Tencent), а также сервис микроблогов Weibo.
Как видим, в развитом виде
подобны системы общественного скоринга работают, когда вся интернет-сфера в государстве полностью подконтрольна
именно этому одному государству. Никаких неподконтрольных
«внешних игроков», как можно более полный контроль за потоками персональных
данных, что предполагает рано или поздно изгнание из страны всяких Facebook и
Twitter (в Китае они и не работали никогда).
Полагаю, наша «цифровизация»
и «мобильная идентификация» будут развиваться преимущественно именно в
«китайском направлении», сколько бы ни отрицали это разного уровня
ответственности чиновники. И для подавляющей части населения это будет не
только необременительно, но и, повторю, удобно.
Будь как все — так выгоднее (в
буквальном смысле слова), не высовывайся, тебе что, больше всех надо? Теперь эта веками прививаемая на нашей почве
формула поведения, наконец, будет оцифрована….: https://www.gazeta.ru/comments/column/bovt/11821405.shtml
Совок в цифре — антиутопия по-русски
24.07.2017
Георгий Бовт о том, как выстраивается новое сословно-кастовое общество
С анонимностью в интернете в этом году в России будет покончено. Официально, по крайней мере. Перед уходом на каникулы Дума приняла закон, обязывающий мессенджеры устанавливать личность пользователей по номеру телефона, — под угрозой блокировки за отказ это сделать. SIM-карты, выданные по ложным паспортным данным, заблокируют. Прокси- и VPN-сервисы и анонимную сеть Tor сразу не запретят, но обяжут ограничивать доступ к запрещенным в России сайтам. Поскольку иностранные владельцы ресурсов, скорее всего, будут саботировать указания Роскомнадзора, то вопрос их блокировки — это вопрос лишь политического решения. Законодательная база уже готова. Как это собираются сделать (без всяких оговорок блокировать все анонимайзеры) в Китае весной следующего года.
В полной мере наш закон заработает в ноябре, ну а весной, видимо, мы Китай догоним и перегоним, приурочив это достижение к нашим президентским выборам. Какие-то возможности обхода блокировок, конечно, все равно останутся. Для продвинутых пользователей. Но как показывает практика, современный человек, дитя эпохи легкого всеобщего потребления, ленив в поиске альтернативной информации и довольствуется той (даже если это низкопробная пропагандистская жвачка), которую легче потреблять и которая комфортно вписывается в уже привычную картину мира. Так что новой революции по этому поводу не будет.
Любопытна оговорка в принятом законе: государственным организациям и даже частным фирмам будет оставлена некая возможность пользоваться VPN, если доступ к соответствующей информации будут гарантированно иметь только их сотрудники, без выхода вовне. И это станет лишь очередным, но не первым шагом к выстраиванию сословно-кастового общества на принципиально новой технологической основе.
Теперь слегка пофантазируем.
Возможно, уже в недалеком будущем у каждой «касты» будет свой, отличный от других и обособленный информационный статус. Разная степень доступа к той или иной информации и, соответственно, разная степень открытости по отношению к другим «кастам».
Информационно-цифровой профиль будет привязан к определенному положению в общественной иерархии, обозначать разную степень доступа к материальным и иным благам. Возможно, разную степень дозволенности в поведении. В какой-то мере будет воссоздана советская система с ее распределителями, спецзаказами, спецхранами для допущенных к определенной информации лиц, для которых были даже отдельные материалы ТАСС (так называемый «красный ТАСС» — с красной полосой, доступный только номенклатуре определенного уровня).
То есть мигалками на дорогах дело не ограничится. Уже сейчас высшие чиновные лица и аффилированные с ними представители «неокупеческого» сословия ограждены от плебса не только высокими заборами и шлагбаумами своих элитных поселков-бантустанов. Совсем недавно был принят закон, позволяющий засекречивать доступ к информации об имуществе высшей номенклатуры. Это станет «противоправным контентом». Данное понятие и так сегодня трактуется правоохранителями широко, а будет трактоваться еще шире.
Уже, полагаю, скоро не в меру любопытных блогеров, обнародовавших сведения об элитной недвижимости или «показном потреблении» представителей правящей номенклатуры, будут приговаривать к реальным срокам заключения. И случаев, подобных недавно нашумевшему и возмутившему публику рассказу о нескромной свадьбе краснодарской судьи Хахалевой, будет утекать все меньше.
Высшая номенклатура со временем окажется за большой и мощной Firewall.
Тот же закон «о забвении в интернете», который пока работает не очень споро, направлен в нашей стране прежде всего на ретуширование биографии или сокрытие нежелательных фактов из жизни людей из власти. Чтобы обывательские мозги не встали в раскоряку оттого, что, мол, как же так: известная депутатка Яровая в свое время училась в Школе политических исследований Лены Немировской, этом «гнезде либерализма», впоследствии объявленной «иностранным агентом», — и надо же, такая идейная эволюция. Или что там говорила прокурор Крыма Наталья Поклонская, когда оный был в составе Украины? Работа такого закона, полагаю, со временем наладится, люди при власти станут безупречными в их биографии. Это лишь вопрос повышения «законопослушности» разных «гуглов». Ну или их блокировки.
Для чиновничества, к примеру, уже сооружают свой отдельный мессенджер – чтоб враг не подслушал. Его, правда, обещают сделать открытым для всякой публики. Однако логика реставрации «совка в цифре» говорит, что там непременно будет свой «красный ТАСС» — свои информационные сервисы и возможности, «VIP-информресурсы», которые будут недоступны простым смертным. Полагаю, если дело пойдет, то для номенклатуры как главной опоры режима будет создаваться и своя отдельная информационная картина происходящего в мире и стране. Индивидуализация новостного контента — технически давно решенная задача.
И не составит большого труда сделать так, чтобы простые обыватели и правящий класс со своей идейно-информационной обслугой окончательно поселились в разных информационных пространствах и с друг другом пересекались как можно меньше. Ради стабильности и спокойствия.
Тут, правда, есть свои издержки: многим представителям правящего класса — для начала силовикам, а дальше как пойдет — уже запретили шастать по заграницам. Чтоб не насмотрелись там чего-нибудь. Логика фильтрации «вредной информации» должна получить свое логическое продолжение и в сети.
При этом по отношению к «плебсу» отгораживающееся от него правящее сословие требует все большей информационной прозрачности. Простые люди не должны гулять по «неправильным» сайтам и потреблять «противоправный контент». По аналогии с тем, как раньше глушили «вражеские голоса».
Механизм обратной связи с теми, кто номинально является «избранными народными представителями», давно нарушен, последние давно живут в своей реальности. И даже в ходе формальных выборов вся та повестка, все те законы, в том числе об ограничении информации и интернета, что напринимала ушедшая отдыхать Дума, ни минуту не обсуждались в ходе так называемой предвыборной кампании, они не фигурировали ни в одной из предвыборных платформ (вышеупомянутый закон о запрете анонимности в интернете был принят по инициативе трех думских фракций).
Простолюдины, разумеется, не должны пользоваться анонимайзерами. Вся их переписка, все телефонные разговоры, история навигации по отфильтрованной сети должны быть открыты, как на ладони, компетентным и не очень органам.
При том что на публичном уровне даже не ставится вопрос о том, как общество могло бы контролировать, не говоря уже о том, чтобы ограничивать фантазии этих органов в данной сфере.
Проще говоря, ваши паспортные данные переписывают всякие охранники порой по несколько раз в день, но вы не можете даже знать, где они потом окажутся и как будут использованы. Мы, по сути, ничего не знаем о том, как работает «белый» и «черный» рынки персональных данных в нашей стране.
Мы не знаем, что уже умеют наши спецслужбы (поскольку ни один «русский Сноуден» на сей счет не раскололся), ни то, как собранная о нас информация используется в чисто коммерческих целях. Пока вам, к примеру, отказывают в ипотечном кредите на основе доморощенной скоринговой программы конкретного банка. Но, возможно, уже скоро ваша кредитная (не)благонадежность будет коррелироваться с вашим общественно-политическим поведением, участием в общественных организациях, с покупками, с лайками в соцсетях и даже тем, как учатся в школе ваши дети, не курят ли они траву по подъездам. В прошлом году, по данным компании InfoWatch, у российских компаний и госорганов украли (а может, продали на сторону сами сотрудники) 128 млн персональных записей. Как они могут быть использованы?
На наше счастье (но оно временно и скоротечно), остается надеяться, что пока технологии обработки больших массивов метаданных еще не поставлены на желаемую «органами» высоту. Но это дело поправимое, причем относительно быстро.
Как говорили в советское время, «разоружись перед партией!».
При этом в нашей стране, лишенной исторических традиций индивидуализма, граждане в массе своей не очень дорожат тем, что называется не вполне переводимым на русский язык термином privacy. За анонимность в интернете — лишь 26% россиян (весенний опрос Левада-центра). Хотя почти половина (46%) наших сограждан знают о возможности третьих лиц получить доступ к их персональным данным через соцсети или иными способами (пятая часть, святая простота, впервые услышали об этом от самих проводивших опрос социологов), 49% это никак не смущает. Всего 19% россиян защищают персональную информацию паролями. Не размещать о себе конфиденциальную информацию в интернете предпочитают 15% респондентов. Как опять же говорили в советское время, «честному человеку нечего скрывать от народа».
Осознание того, что использование персональных данных или, что вернее, метаданных «может быть использовано против вас» — для создания вашего «оцифрованного профиля», еще не проникло на уровень массового сознания. Впрочем, это не является уникальной чертой нашей страны. Вряд ли такое осознание проникло на массовый уровень даже в самых развитых странах, столь стремительно развиваются технологии обработки массивов информации. Которая затем может быть использована как в чисто маркетинговых и рекламных целях (для таргетирования конкретного покупателя или групп), так и в целях манипуляции общественным сознанием, для тоталитарного контроля и выявления неблагонадежных, с тем чтобы заблокировать им продвижение по карьерной лестнице, поступление на госслужбу и вообще на общественно значимые должности и т.д.
И хотя, например, в Америке похищение персональных данных традиционно уже не первый год входит в топ-10 обывательских страхов, даже там вряд ли люди глубоко осознают, сколь далеко все зашло. В этом смысле упорная борьба наших властей за непременную обработку персональных данных россиян на родной земле отчасти бессмысленна, отчасти направлена лишь на облегчение работы наших спецслужб. В любом случае ее следует честно переименовать в борьбу за обработку персональных данных россиян В ТОМ ЧИСЛЕ на родной земле.
Уже сегодня только по лайкам в соцсетях (скажем, в Facebook) можно определить (не зная имени конкретного человека) национальность человека (на 95%), пол (на 93%), политические взгляды (на 85%), пристрастие к алкоголю и табаку (на 70–73%), состоит ли он в отношениях или одинок (на 67%) и даже то, находятся ли родителя этого человека в разводе (на 60%).
И это только одно направление анализа/профилирования. Тот же Facebook анализирует свою аудиторию по 52 тысячам показателей. Одна из крупнейших страховых компаний Aviva определяет индивидуальный риск заболеть диабетом, раком или гипертонией на основе анализа данных покупательского поведения (это нас пока не касается, в силу неразвитости рынка медицинского страхования в принципе). Конвертируя знания в повышенные страховые взносы.
Одна из крупнейших баз данных покупательского поведения Acxiom ведет учет поведенческих типов более 700 млн потребителей в Европе и Америке по 3 тысячам параметров. А корпорация Oracle собрала базу данных на 2 млрд покупательских профилей по более 30 тысячам показателей.
Остается лишь гадать, на каком уровне находится умение соответствующих органов собирать и анализировать наши метаданные. И уповать, как ни парадоксально, на родную спасительную коррупцию. Если на нас будут «лепить профили» и встраивать в «цифровую сословную иерархию», то наверняка найдутся лазейки, чтобы, подкупив кого надо или договорившись с кем надо, поправить себе цифровую карму или выкупить место в более привилегированном цифровом сословии.
Впрочем, возможно, и наши спецслужбы уже скоро достигнут такого высочайшего мастерства, что ты еще даже не успел подумать плохо о нашем президенте, а тебе уже отключили газ, воду, электричество, замуровали канализацию, аннулировали водительские права, отрубили интернет и вызвали в налоговую звонком на мобильный телефон, симку для которого ты покупал вроде как в переходе на паспорт прабабушки своего давно умершего соседа.
«Фейсбук» им в помощь
02.10.2017
Георгий Бовт о том, почему спецслужбам невыгодно «убивать» соцсети
.... использование возможностей всех соцсетей для мониторинга политических (называемых у нас террористическими или экстремистскими) угроз в целях более эффективного их предотвращения. А также для манипуляции общественным сознанием. Каковую задачу, теоретически, на мой взгляд, легче выполнить, имея под рукой не только полностью подконтрольные ресурсы.
На примере СССР этот урок вроде должны были выучить. Но вот выучили ли те, кто пишет доктрины «информационной безопасности» для Совбеза России? Во всяком случае в последней (прошлогоднего издания) доктрине почти 100% текста посвящено именно угрозам и их предотвращению, но не возможностям интернета в части развития страны в целом, ее науки и технологий, а также экономики.
Предупреждение «Фейсбуку» со стороны РКН подоспело на фоне нового витка скандала в США дела о «русском вмешательстве в выборы в США».
Расследователи накопали, как якобы некие русские фирмы, включая известную «фабрику троллей» под Питером, закупили через ФБ социальной рекламы не менее чем на 100 тысяч долларов с целью «сеять рознь и ненависть в американском обществе».
Технология начала отрабатываться еще до президентской предвыборной кампании и вне связи с Трампом – во время расовых беспорядков в городах Балтимор и Фергюсон в 2014-2015 годах. Якобы для этого «коварные русские» завели десятки фейковых аккаунтов и использовали компанию-стартап Geofeedia для точного географического таргетирования рекламы («Фейсбук» сейчас заблокировал ей доступ).
Если даже часть этих обвинения – правда, притом что сами же расследователи признают, что никакого нарушения законов США в закупке социальной рекламы (без поддержки конкретных политиков со стороны иностранного государства) нет, то речь идет «всего лишь» об использовании Москвой той самой «мягкой силы», которую в свое время «придумали» (Джозеф Най — автор термина) в Америке.
Но тогда где, спрашивается, логика в том, чтобы отказываться (предположительно – тем же спецслужбам) от методики, отработанной на территории «вероятного противника», применительно к угрозам режиму внутри собственной страны? Тем более, что пока и отечественные законодатели, да и безразличное по большей части к вопросам privacy российское общество дают нашим «органам» практически полную и бесконтрольную свободу рук на данном поприще.
По пути использования соцсетей для мониторинга социальных угроз давно идут правоохранители в самих США. Другое дело, что поскольку сервера большинства популярных интернет-ресурсов находятся в Америке, то их системе электронной слежки Prism (Programfor Robotics, Intelligence Sensingand Mechatronics) работать относительно проще, чем отечественной СОРМ (Система оперативно-розыскных мероприятий, разработанной ФСБ, устройствами СОРМ оснащен каждый российский провайдер и сотовый оператор), имеющей проблемы, насколько известно, с закрытыми аккаунтами в ФБ, с почтовой перепиской Gmail и т.д.
Собственно, вся борьба за «суверенизацию» персональных данных россиян и защиту их от злокозненных янки и ЦРУ – она про технические возможности слежки за ними внутри страны.
Однако и открытых данных в соцсетях предостаточно – наряду с метаданными – для толкового использования как различными госструктурами (в том числе далекими от спецслужб), так и коммерческими. Это огромный бизнес. На анализе, в том числе маркетинговом, во многом уже построена современная экономика, а также госуправление.
Ослеплять себя сознательно на один глаз, блокируя популярный интернет-ресурс — недальновидно экономически и неэффективно с точки зрения противодействия общественным угрозам.
Кстати, по некоторым оценкам, система ограничения свободы интернета в том же Китае уже обходится экономике КНР в потерю от 1 до 3% роста ВВП в год.
Полиция в тех же США во время тех же расовых беспорядков использовала данные, собранные мониторинговыми фирмами вроде Geofeedia. Она, в частности, помогала отслеживать аккаунты отдельных «сильно резвых» активистов организации чернокожих Black Lives Matters (российских «троллей», заказавших рекламу в ФБ, как раз обвиняют в том, что они популяризировали деятельность этой организации). Есть и другие фирмы: Snap Trends, Media Sonar, X1 Social Discovery.
Помощь правоохранителям могут оказать и такие ресурсы, как Statigram или Instamap, которые способны анализировать «тенденции» в части видео- или фоторяда с привязкой к местности, включая изображения конкретных людей с их опознанием. Echosec может помочь как полиции, так и маркетологам отслеживать, собирать и обрабатывать посты в соцсетях – тоже с привязкой к местности.
Таким образом, по аналогии с ВПК, речь идет о постоянной «конверсии», работающей в обоих направлениях – и «на безопасность», и на мирную «цифровую экономику». Причем большая свобода в Интернете, минимальное число «тупых»запретов и блокировок как раз создает больше возможностей для всех — и для инноваторов-предпринимателей, и для правоохранителей. Хотя вряд ли данная мысль найдет много сторонников среди российских силовиков, привыкших комфортно действовать методами запретов и ограничений.
Кстати, любопытно, что в такой стране, как Узбекистан с весьма жестким политическом режимом спецслужбы не пошли на блокировку того же ФБ, а активно работают в нем, создавая фальшивые аккаунты-приманки для оппозиционеров, имитирующих реальные оппозиционные режиму ресурсы. Не без восточного коварства, конечно, метод.
Современные технологии дают возможности, анализируя только «лайки» в ФБ, оценить политические взгляды пользователя с точностью до 85%, пристрастие к алкоголю, наркотикам или табаку на 60-75%.
Даже использование VPN-сервисов – не панацея от слежки. Это все равно выдает вовне определенное количество метаданных о пользователе, которые могут быть увязаны с другим его действиями.
Только на основе анализа обезличенных метаданных, без всяких «пакетов Яровых», еще несколько лет назад технически было возможно установить личность пользователя с точностью выше 95%. Просто надо уметь работать, а не ждать, пока дядя Цукерберг из ФБ принесет на блюдечке готовое досье на диссидента. Но такое умение лучше и эффективнее формируется в открытом обществе и в открытой экономике, а не в парализованной запретами и ограничениями, часто бессмысленными.
Ведущие компании по обработке цифровых данных, полезных для маркетологов, финансистов (на предмет кредитоспособности клиента), страховщиков, не говоря о спецслужбах, «просвечивают» среднего американца примерное по 70 показателям.
Количество фирм, анализирующих в интересах разных отраслей экономики интернет и соцсети, множится в развитых странах с огромной скоростью. Это многомиллиардный бизнес. Он не может развиваться только в рамках спецслужб.
При формально открытом интернете и фактически полном отсутствии блокировок в привычном нам виде, в США уже во многом покончено с анонимностью в сети в тех случаях, когда это действительно касается вопросов общественной безопасности, а не блокировки порносайта или маргиналов от оппозиции. И даже не запретами VPN-сервисов или Tor, каковым путем собираются идти почти синхронно у нас (с ноября) и в Китае.
При этом недавно правоохранители США получили поддержку Верховного суда, признавшего конституционным «правило 41» федерального уголовно-процессуального кодекса. ФБР получило право, с ордером на обыск от суда, обыскивать, взламывать с помощью хакерских средств и изымать компьютеры граждан США, использующих VPN или Tor, если это используется для нарушения другого закона.
Ключевой вопрос – в масштабах использования такого права и независимости судов, чтобы не отвечать «да» на каждый запрос следователей.
Притом, что у нас уже под десяток силовых ведомств получили право на перехват и прослушку коммуникации россиян,(ежегодное число таких случаев, по данным Верховного суда России, исчисляется сотнями тысяч и постоянно растет), анализом контента, в том числе, социальных сетей занимаются и отечественные мониторинговые компании.
Например, такие как «Аналитические бизнес решения». Ее «семантический архив», как утверждает один из авторов нашумевшей книги «Битва за Рунет» Андрей Солдатов (о методах электронной слежки за россиянами, книга сначала вышла на английском под названием «TheRedWeb») является не единственным продуктом, используемым спецслужбами для мониторинга соцсетей.
Как указано на сайте вышеупомянутой компании, Semantic Archive Platform позволяет «проводить комплексную проверку контрагентов, партнеров, сотрудников в разных странах мира, вести конкурентную и бизнес-разведку, искать любую информацию о физических и юридических лицах, формировать досье…, проводить глубокий анализ связей собственников компаний, исследовать связи крупных холдингов и корпораций и пр.; вести мониторинг объектов интереса в СМИ, соцсетях, блогах на различных языках мира… множество других возможностей».
Наверное, кое-кому, прочитав про то, какими темпами развивается электронная слежка, захочется самоудалиться из этого «дивного нового мира». Но, во-первых, не выйдет, слишком все далеко зашло. Во-вторых, Большой Брат сам решит, какие вам аккаунты оставить, а какие удалить, заблокировав. В-третьих, помните, что все что вы напишете, скажете или нарисуете на оставшихся ресурсах, может быть использовано против вас.
Тест провален: как пользователи сдают свои
данные
Почему
стоит избегать психологических тестов в интернете
Маргарита Герасюкова 21.05.2018
За последние три месяца
социальная сеть Facebook ненамеренно слила в общий
доступ личные данные 90 млн своих пользователей. Как выяснилось,
все пострадавшие проходили психологические тесты, которые обещали раскрыть
секреты их характера, и легкомысленно дали согласие на хранение своих ответов и
персональной информации. «Газета.Ru» разбиралась, как опросы в интернете
подрывают безопасность данных.
Что загружено в интернет, остается в
интернете
Личные данные пользователей
Facebook снова оказались под угрозой — в середине мая был опубликован доклад,
в котором сообщалось об утечке персональной информации 3 млн человек.
Как оказалось, источником
угрозы стал обычный тест, аналоги которого широко представлены в интернете — респонденты
должны ответить на несколько вопросов и получить прогноз на будущее, сведения о
своем характере, предпочтительных сферах работы, знаке зодиака своего
идеального партнера и т.д.
Тест назывался myPersonality, а его курированием занимался Кембриджский
университет. До того момента, как Facebook обнаружил угрозу и удалил тест со
своей платформы, опрос успели пройти 6 млн человек. Половина респондентов дала свое согласие на то, чтобы их
личная информация была использована в рамках учебного проекта.
Это означает, что данные 3
млн человек были собраны в один архив, который впоследствии разместили на
веб-сайте, чтобы другие исследователи могли пользоваться собранной статистикой
в своих целях.
При этом подлинные имена
респондентов были удалены, но в записях оставалась другая личная информация — в
том числе возраст, пол, геолокация и семейное положение пользователя.
По задумке весь этот кладезь
должен был быть доступен ограниченному кругу лиц, каждый из которых имел свой
пароль. К сожалению, кембриджские ученые так и не смогли обеспечить достойный
уровень безопасности своей базе данных. Так, портал New Scientist обнаружил
данные для входа на сайт с помощью обычного поискового запроса, что заняло в
общей сложности «не больше минуты». После авторизации исследователям удалось
скачать весь архив целиком.
Facebook ограничил доступ к
myPersonality в середине апреля 2018 года из-за возможных нарушений внутренних
правил компании.
Этот шаг был предпринят в
рамках расследования скандала с компанией Cambridge Analytica — тогда глава
Facebook Марк Цукерберг пообещал провести проверку всех приложений сторонних разработчиков,
у которых может быть доступ к данным социальной сети.
«Мы несем ответственность за
это перед людьми нашего сообщества», — заявил Цукерберг.
Кембриджские утечки
Однако такие радикальные
меры, как это часто случается, были приняты слишком поздно. В марте текущего
года стало известно, что личные данные 87 млн пользователей Facebook были проданы частной компании
Cambridge Analytica, которая использована их в своих целях, в том
числе в рамках президентской кампании Дональда Трампа в 2016 году.
Тогда в центре внимания
снова оказался опрос — приложение thisisyourdigitallife, которое
формировало психологический портрет пользователя, основываясь на его ответах на
вопросы. Автором приложения был профессор Кембриджа Александр Коган, собиравший данные исключительно для «академических целей».
Эта утечка нанесла ощутимый
удар по репутации Facebook и лично Марка Цукерберга, которому пришлось впервые
предстать перед Конгрессом США для дачи показаний по этому делу.
Даже спустя два месяца эта
история еще не закончена — о начале собственного расследования по данному делу
в мае объявило Министерство юстиции США и Федеральное бюро расследований (ФБР). Представители ведомств опрашивают бывших
сотрудников компании и банков, которые были с ней связаны.
Сама Cambridge Analytica
после скандала объявила о банкротстве и прекратила свою деятельность. Тем не
менее, в результате обеих утечек, виновниками которых стали психологические
тесты, в общем доступе оказались личные данные почти
ста миллионов человек по всему миру. Сложившаяся ситуация поднимает
важный вопрос — действительно ли безобидные тесты, обещающие рассказать
интересные подробности вашей личности, представляют опасность, или же
пользователи Facebook стали жертвами досадной случайности?
Подписать, не глядя
Последняя утечка данных с
Facebook произошла из-за того, что данные для входа в базу данных публиковались
публично на GitHub, рассказал «Газете.Ru» глава представительства Avast в
России и СНГ Алексей Федоров. Подобные инциденты возникают в первую очередь из-за недостаточно
высокого уровня обеспечения безопасности.
Пользователи не
всегда читают условия конфиденциальности и не осознают, как эти данные могут
быть использованы в дальнейшем правообладателями, какие данные можно получить
благодаря приложениям Facebook и т.д. Зачастую
подобные приложения запрашивают соглашение на обработку персональных данных,
где прописано, кому могут быть переданы полученные сведения, поэтому следует всегда внимательно читать пользовательские
соглашения.
«Когда пользователь делится
личными данными, он теряет над ними контроль. То же самое происходит, когда
пользователи размещают личную информацию в социальных сетях. Несмотря на
настройки конфиденциальности, которые можно установить, пользователь все равно теряет контроль над размещенными данными», —
заключил эксперт.
Как пояснил руководитель
проектов по информационной безопасности КРОК Павел
Луцик, сбор и хранение информации о тех, кто проходит психологические тесты,
вполне законны, но лишь в том случае, если опрашиваемый явно дал на это
согласие, а состав запрашиваемых персональных данных соответствует целям их
обработки.
Как правило, пользователи дают согласие на обработку своих персональных
данных, не глядя соглашаясь со всем, что им предлагают. В последнее
время организаторы подобных тестов становятся все более подкованными в
юридическом плане, снабжая их всеми необходимыми запросами на согласие
обработки персональных данных, при этом делая основной упор на
невнимательность пользователей, которые забывают про элементарные меры цифровой
гигиены (на подозрительные сайты не заходить, лишние данные не вводить,
разрешения на обработку персональных данных на незнакомых сайтах не оставлять и
т.п.).
Полученные персональные
данные могут быть переданы разным получателям и использоваться в разных целях,
в том числе рекламных или статистических. Но могут быть и более корыстные
сценарии использования данных пользователей — торговля персональными данными, в
том числе перепиской пользователей.
Важно знать, что, дав
согласие на обработку своих персональных данных, при этом не важно, произошло
ли это осознанно или под влиянием красивых рекламных «вывесок», можно в
любой момент отозвать его, потребовав от оператора персональных данных удалить
информацию о вас, в том числе отозвав их у третьего лица, которому они были
ранее переданы.
Данные правят людьми: в Google изобразили
"дивный новый мир"
НИКОЛАЙ БЕЛКИН 21.05.2018
К журналистам издания The
Verge попал видеоролик, созданный в Google — как утверждают в
компании, намеренно провокационный и ставивший целью побудить сотрудников к
дискуссии. В нем описывается мир, где гигабайты данных, собираемых о людях,
применяются для манипулирования вектором развития общества и решения разного
рода социальных проблем.
….Название ролика — "Эгоистичный
реестр" — отсылает к одной из важнейших книг по эволюционной биологии
XX века, "Эгоистичному гену" Ричарда Докинза. В ней ученый
обосновывает геноцентричный взгляд на эволюцию — то есть, доказывает, что в ее
основе лежит "стремление" генов к повышению своей способности
копироваться. Оно формирует в популяциях организмов такие эволюционные
стратегии, которые максимизируют распространение данных генов, однако совершенно
не обязательно являются наилучшими для отдельных организмов или популяции в
целом.
"Что если с данными
будет так же?" — решили пофантазировать в Google.
"Когда мы используем
современные технологии, формируется информационный след в виде данных. Он описывает наши действия, решения, предпочтения,
передвижения и отношения. Этот наш закодированный двойник постоянно
усложняется, развиваясь, меняясь и деформируясь в ответ на наши действия.
В этом разрезе данный "реестр" (ledger) наших данных можно
рассматривать как "эпиген" в теории эволюции Ламарка — постоянно
развивающееся отражение нашей сущности", — говорится в ролике…..
11
августа 2017
Представлен
список обязательных к передаче в ФСБ данных интернет-пользователей
Минкомсвязи
разработало и представило на общественное обсуждение проект приказа, в котором
указывается, какие данные интернет-сервисы должны передавать в ФСБ в рамках
проведения оперативно-разыскных мероприятий (СОРМ). Документ размещен на портале проектов
нормативных актов.
Приказ
описывает требования к программно-техническим средствам и оборудованию, которое
должны будут установить «организаторы распространения информации» (ОРИ),
вошедшие в специальный реестр. В этом списке, к примеру, значатся «ВКонтакте»,
«Одноклассники», «Яндекс», Rambler, Mail.ru, Snapchat, Telegram и другие.
В
свою очередь оборудование СОРМ должно собирать следующую информацию из
реестра ОРИ: идентификатор
пользователя, дату и время регистрации, фамилию, имя и отчество, псевдоним,
дату рождения, IP-адрес, адрес проживания, номер телефона, данные паспорта,
список родственников, пересланные сообщения, передаваемые файлы, записи аудио-
и видеозвонков.
Кроме того, обязательной
передаче могут подлежать данные о местоположении, совершенных платежах, а также
информация об учетных записях в других сервисах, используемой программе, дате и
времени авторизации и выхода из сервиса.
Мессенджер
Telegram был внесен в реестр организаторов распространения
информации 28 июня. По данным Роскомнадзора, сервис «начал работать в правовом
поле Российской Федерации».
21
сентября 2016
Интернет-омбудсмен
выступил против идеи ФСБ дешифровать весь трафик в России
Уполномоченный
по защите прав предпринимателей в интернете Дмитрий Мариничев прокомментировал
обсуждаемую в правительстве идеюрасшифровывать
весь интернет-трафик россиян в режиме реального времени. В интервью
радиостанции «Говорит
Москва» он заявил, что такая мера дискредитирует цифровые технологии и
приватность передачи данных.
По
его мнению, отслеживание интернет-трафика допустимо для лиц, в отношении
которых ведутся расследования или уголовные дела, но не для обычных пользователей.
Кроме
того, по словам Мариничева, технологически невозможно одновременно
расшифровывать трафик всех пользователей. «Я пока не владею информацией, что
существует система, способная дешифровать налету все и вся», — сказал
омбудсмен.
Ранее
в среду, 21 сентября, газета «Коммерсантъ» сообщила,
что ФСБ, Минкомсвязи и Минпромторг обсуждают технические решения, которые
позволят дешифровать интернет-трафик россиян в режиме
онлайн. Источники издания утверждают, что ФСБ предлагает расшифровывать
весь трафик real-time и анализировать его по ключевым параметрам, к примеру по
слову «бомба».
В
то же время в министерствах считают, что расшифровка допустима только по тем
абонентам, которые привлекут внимание правоохранительных органов.
Банки РФ начнут собирать биометрию клиентов
02.07.2018
Москва, 2 июля - "Вести.Экономика" С 1 июля в России начала работать единая биометрическая система. Она позволит россиянам, после сдачи всех необходимых параметров, удаленно получать услуги финансовых организаций.
Собирать биометрические данные клиентов начали уже около 400 отделений 20 российских банков. В перспективе к системе подключатся все российские организации.
Как это работает
Как это работает
Пройти идентификацию клиенту нужно будет только один раз. После чего он сможет получать услуги дистанционно в любом выбранном банке.
Регистрация проходит в два этапа. Сначала клиенту должен создать учетную запись в Единой системе идентификации и аутентификации (ЕСИА) или на портале госуслуг. Затем нужно прийти в один из банков, указанных на сайте ЦБ, чтобы сдать свои биометрические данные — запись голоса и видео с изображением лица.
Необходимо предоставить и пакет документов: паспорт, прописку, ИНН, номер карты социального страхования и телефон для связи. Нужно также дать согласие на на обработку всей введенной информации. К маломобильным гражданам, которые не могут приехать в банк для регистрации, сотрудники организаций приедут на дом.
Все полученные данные будут размещаться в ЕСИА и в единой биометрической системе. Отвечать за сбор и хранение данных будет оператор системы "Ростелеком". Выполнение мер безопасности будет под контролем Центробанка. За каждое результативное обращение к ЕБС банк должен будет перечислить "Ростелекому" 200 руб. Но для граждан услуга будет бесплатной. …:
Подробнее: http://www.vestifinance.ru/articles/103333
Регистрация проходит в два этапа. Сначала клиенту должен создать учетную запись в Единой системе идентификации и аутентификации (ЕСИА) или на портале госуслуг. Затем нужно прийти в один из банков, указанных на сайте ЦБ, чтобы сдать свои биометрические данные — запись голоса и видео с изображением лица.
Необходимо предоставить и пакет документов: паспорт, прописку, ИНН, номер карты социального страхования и телефон для связи. Нужно также дать согласие на на обработку всей введенной информации. К маломобильным гражданам, которые не могут приехать в банк для регистрации, сотрудники организаций приедут на дом.
Все полученные данные будут размещаться в ЕСИА и в единой биометрической системе. Отвечать за сбор и хранение данных будет оператор системы "Ростелеком". Выполнение мер безопасности будет под контролем Центробанка. За каждое результативное обращение к ЕБС банк должен будет перечислить "Ростелекому" 200 руб. Но для граждан услуга будет бесплатной. …:
Подробнее: http://www.vestifinance.ru/articles/103333
21
сентября 2016
СМИ
узнали об обсуждении ведомствами средств дешифровки трафика россиян
ФСБ,
Минкомсвязь и Минпромторг обсуждают технические решения, которые позволят
реализовать дешифровку интернет-трафика россиян в режиме реального времени. Об
этом в среду, 21 сентября, сообщает «Коммерсантъ».
По
словам источников, просто хранить массивы шифрованного интернет-трафика не
имеет смысла. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме
real-time и анализировать его по ключевым параметрам, условно говоря, по слову
«бомба».
В
то же время министерства настаивают на расшифровке трафика лишь по тем
абонентам, которые привлекут внимание правоохранительных органов, пишет
издание.
Владельцы
интернет-площадок, позволяющих передавать электронные сообщения, то есть
почтовые сервисы, мессенджеры, социальные сети, согласно «закону Яровой»,
обязаны уже с 20 июля сдавать ключи шифрования по требованию ФСБ.
Один
из собеседников издания прогнозирует, что иностранные компании этому требованию
не подчинятся, «а российские, может, и сдадут ключи после многочисленных
требований».
«Но
в интернете огромное количество сайтов, которые не являются организаторами
распространения информации и используют защищенное https-соединение. Без
расшифровки трафика не всегда можно понять, на какой сайт заходил пользователь,
не говоря о том, что он там делал», — добавил он.
Один
из обсуждаемых вариантов — установка на сетях операторов оборудования,
способного выполнять MITM-атаку (Man in the Middle). Для пользователя это
оборудование притворяется запрошенным сайтом, а для сайта — пользователем.
Таким
образом, пользователь будет устанавливать SSL-соединение с этим оборудованием,
а уже оно — с сервером, к которому обращался пользователь. Оборудование
расшифрует перехваченный от сервера трафик, а перед отправкой пользователю
заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим
центром.
Антитеррористический
пакет законов, внесенный депутатом Ириной Яровой совместно с главой комитета
Совфеда по обороне и безопасности Виктором Озеровым, был принят летом этого
года. Нормативным актом, в частности, предусматривается обязательство для
операторов связи, мессенджеров и социальных сетей хранить всю информацию о
содержании разговоров и переписки пользователей: https://lenta.ru/news/2016/09/21/traffic/
ФСБ
читает шифры
Как ФСБ расшифрует трафик
Мария
Лацинская 21.09.2016
Основные
пункты так называемого закона Яровой вступили в силу 22 июля. Все это время
ведомства во главе с ФСБ пытаются продумать технические решения для исполнения
документа. Почему спецслужбам не удастся расшифровать сообщения пользователей,
а инициатива по импортозамещению оборудования обречена на провал — в материале
«Газеты.Ru».
В
среду, 21 сентября, СМИ сообщили об инициативе ФСБ, Минкомсвязи и Минпромторга
по дешифровке и анализу данных, передаваемых в сетях операторов связи, в режиме
реального времени. Сейчас ведомства изучают возможные технические решения для
реализации этого предложения.
Одним
из обсуждаемых вариантов дешифровки является установка на сетях операторов
оборудования, способного выполнять MITM-атаку (Man in the Middle — человек
посередине). Для анализа нешифрованного и уже расшифрованного трафика
предлагается задействовать системы DPI,
которые уже используются телеком-корпорациями для фильтрации запрещенных
сайтов.
Буквально
сразу же после появления этой информации инициатива подверглась критике со
стороны интернет-сообщества. В частности, «профильный» омбудсмен Дмитрий
Мариничев в разговоре с радиостанцией «Говорит Москва»назвал
недопустимой расшифровку трафика пользователей.
Основатель
«Общества защиты интернета» Леонид Волков в своем Facebook-аккаунте подробно разобрал
предлагаемые властями методы.
«MITM
— это вид хакерской атаки, который заключается в том, что злоумышленник П
встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают,
что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П,
который вскрывает сообщения, потом перешифровывает их и отправляет дальше», —
пояснил эксперт.
Проблемой
для выполнения этой задачи, как пишет Волков, является тот факт, что для
используемого в интернете программного обеспечения попытка подмены сертификата
для перешифровки контента выглядит как обман. Когда операционная система или
браузер выявит, что предъявлен поддельный сертификат, они его тут же
заблокируют.
В
беседе с «Газетой.Ru» Волков отметил, что свежая инициатива ведомств выглядит
реальнее, чем полное хранение данных, но «все же далека от реализуемости прямо
здесь и сейчас».
В
свою очередь, ведущий вирусный аналитик ESET Russia Артем Баранов полагает, что
с технической точки зрения предложения ФСБ, Минкомсвязи и Минпромторга являются
реальными. «Пока инициативы ограничиваются анализом незашифрованного трафика и
сбором базовой информации о пользователях. Новое предложение может потребовать
от провайдеров и пользователей установки в систему специального цифрового сертификата
для анализа зашифрованного трафика, например HTTPS», — рассказал он
«Газете.Ru».
Зашифрованные
иностранцы
Директор
информационно-аналитического агентства TelecomDaily Денис Кусков рассказал
«Газете.Ru», что дешифровка трафика — непростой процесс. «Министерства, которые
берутся за эту задачу, не до конца представляют, что могут с этим и не
справиться», — добавил он.
Аналитик
обратил внимание, что по-прежнему не решен вопрос деятельности зарубежных
компаний, отвечающих за пользовательские коммуникации. В первую очередь речь
идет о мессенджерах с end-to-end-шифрованием.
«Я
не вижу каких-то сдвигов в плане работы с организациями, которые с юридической
точки зрения находятся не в России. Но с нашими компаниями проще, на них всегда
можно надавить», — отметил Кусков.
В
антитеррористическом пакете поправок помимо операторов связи говорится о так
называемых организаторах распространения информации. Для них с 2014 года в
российском законодательстве предусмотрен собственный реестр, ведением которого
занимается Роскомнадзор.
В
настоящее время перечень включает в себя около 70 наименований. Среди них
социальные сети «ВКонтакте», «Одноклассники», «Мой круг», почтовые службы
Mail.Ru, «Яндекс» и «Рамблер», хранилища «Яндекс.Диск», «Облако@Mail.Ru»,
порталы «Хахбрахабр». «Роем», сайт знакомств «Мамба», видеосервис RuTube,
блог-платформа LiveInternet, имиджборд «Двач» и другие.
В
реестр за все время его работы не попал ни один зарубежный портал и ни один
мессенджер.
«Если
подобные планы властей начнут реализовываться, то прогнозируемо появление
мессенджеров, содержащих дополнительную защиту от атак типа MITM. Например,
подмешивания в шифрование секретного ключа с распространением его между
абонентами. Проще говоря пароля, о котором договориваются участники переписки»,
— заявил «Газете.Ru» директор дивизиона безопасности группы компаний Softline
Евгений Акимов.
Как
сломать HTTPS
Известным
широкому кругу способом шифрования является не только end-to-end, но и HTTPS —
защищенный протокол, используемый веб-сайтами.
Генеральный
директор REG.RU Алексей Королюк полагает, что имеющиеся технические возможности
Минкомсвязи, Минпромторга и ФСБ позволят снять шифрование только в
«централизованных узлах», таких как сайты, защищенные по протоколу HTTPS.
«Но
при этом никаким образом не повлияют на зашифрованные P2P-шифрованием
сообщения, что сделает систему громоздкой, дорогостоящей и почти бесполезной в
борьбе с технически оснащенными лицами, совершающими правонарушения», —
заключил эксперт в разговоре с «Газетой.Ru».
В
свою очередь исполнительный директор Unolabo Константин Никонов считает, для
«анализа трафика по ключевым словам» закон Яровой не нужен. «Для этого есть
интернет-бекап-серверы, где хранится все необходимое для такого анализа и так.
Все сведется к текстовой базе, которую ФСБ будет анализировать командой «поиск
по ключевому слову», поделился своим прогнозом с «Газетой.Ru» эксперт.
«Железо»,
которого нет
Еще
одним аспектом, тесно связанным с реализацией закона Яровой, по версии «Коммерсанта»,
является полный переход на российское телеком-оборудование. Авторы «дорожной
карты» в рамках подгруппы «IT+Суверенитет» при Институте развития интернета
(ИРИ) якобы предложили обязать операторов связи и ЦОДы к 2020 году на 85%
перейти на оборудование российского производства. В качестве одного из
идеологов такого подхода издание указало бывшего министра связи и нынешнего
помощника президента Игоря Щеголева.
При
этом позднее, беседуя с «Роем»,
глава Фонда информационной демократии Илья Массух, который как раз и занимается
вопросами IT-независимости рунета в рамках ИРИ, назвал подобную идею «бредом».
Кусков
в разговоре с «Газетой.Ru» возможный шаг по полному импортозамещению также
окрестил маловероятным.
«Сотовая
связь в настоящее время на 100% является
импортной. Это не просто базовые станции, а аппаратно-программный
комплекс. В настоящий момент все это заменить невозможно.
Пока
не будет сделан серьезный шаг со стороны Минфина, Минкомсвязи и Минпромторга,
ничего хорошего не предвидится в этом направлении. Я не вижу реальных действий,
которые позволили бы сказать, что Россия может перейти на отечественное
оборудование в ближайшее время», — заключил телеком-эксперт.
Операторы
мобильной связи отказались от комментариев. В Минкомсвязи на запрос «Газеты.Ru»
не ответили.
ЗА ВОДИТЕЛЯМИ УСТАНОВЯТ ТОТАЛЬНУЮ
СЛЕЖКУ С ПОМОЩЬЮ "ЧЕРНЫХ ЯЩИКОВ"
Правительство
готово пойти на беспрецедентные меры в борьбе с нарушителями правил дорожного
движения: предлагается в обязательном порядке устанавливать в новые автомобили устройства,
аналогичные "черным ящикам", которые, по сути, будут контролировать
каждое действие водителя в реальном времени.
По
информации "Известий", заместитель
министра транспорта Алексей Цыденов в ходе совещания с вице-премьером Дмитрием
Рогозиным предложил сформировать "Единую государственную среду передачи
навигационной информации, получаемой от тахографов и иных технических устройств
с измерительными функциями". Идея получила поддержку, ее реализацией в
данный момент занимаются Минпромторг, Минтранс, Минэкономразвития, Минкомсвязи
и госкомпания АО "ГЛОНАСС".
"…ЕГСНИ
может быть использована в том числе в целях фиксации нарушений правил дорожного
движения и привлечения нарушителей к административной
ответственности", — говорится в тексте протокола, выпущенного по
итогам прошедшего заседания. Причем на разработку проекта ведомствам
предоставили не так много времени: "черные ящики" хотят начать
встраивать в новые автомобили уже в 2020 году.
Базовой инфраструктурой для работы "черных ящиков" станет ЭРА-ГЛОНАСС - терминалы этой системы в любом случае обязательны к установке на все новый автомобили в России с того же 2020 года. Изначально ЭРА-ГЛОНАСС разрабатывалась и внедрялась как система экстренного реагирования при авариях - в случае серьезного ДТП система автоматически посылает сигнал тревоги на пункт управления экстренных служб.
Как рассказал "Известиям" президент Московского транспортного союза Юрий Свешников, ранее Минтранс уже озвучивал идею отслеживать манеру вождения автомобилистов через ГЛОНАСС, но тогда речь шла об интересах страховщиков: якобы это позволило бы страховым компаниям рассчитывать страховые коэффициенты исходя из того, как водитель ездит. И уже тогда идея была раскритикована. Скептически эксперты относятся к ней и в новом контексте.
"Непонятно, кто будет платить за передачу данных. Также неясно, как будет осуществляться фиксация таких нарушений, как проезд на красный свет, поворот в неразрешенном месте. По данным ГЛОНАСС можно будет определить только превышение скоростного режима. В России 42 млн транспортных средств, и анализировать информацию по каждому случаю превышения скорости будет не так просто — потребуется внушительный ресурс, у нас ведь не везде одинаковые ограничения установлены, где-то они меняются в зависимости от ряда факторов: видимости, состояния дороги и т.д. Каждый случай нужно будет отдельно реконструировать и принимать решение", - заявил Свешников: http://auto.vesti.ru/news/show/news_id/663396/
Базовой инфраструктурой для работы "черных ящиков" станет ЭРА-ГЛОНАСС - терминалы этой системы в любом случае обязательны к установке на все новый автомобили в России с того же 2020 года. Изначально ЭРА-ГЛОНАСС разрабатывалась и внедрялась как система экстренного реагирования при авариях - в случае серьезного ДТП система автоматически посылает сигнал тревоги на пункт управления экстренных служб.
Как рассказал "Известиям" президент Московского транспортного союза Юрий Свешников, ранее Минтранс уже озвучивал идею отслеживать манеру вождения автомобилистов через ГЛОНАСС, но тогда речь шла об интересах страховщиков: якобы это позволило бы страховым компаниям рассчитывать страховые коэффициенты исходя из того, как водитель ездит. И уже тогда идея была раскритикована. Скептически эксперты относятся к ней и в новом контексте.
"Непонятно, кто будет платить за передачу данных. Также неясно, как будет осуществляться фиксация таких нарушений, как проезд на красный свет, поворот в неразрешенном месте. По данным ГЛОНАСС можно будет определить только превышение скоростного режима. В России 42 млн транспортных средств, и анализировать информацию по каждому случаю превышения скорости будет не так просто — потребуется внушительный ресурс, у нас ведь не везде одинаковые ограничения установлены, где-то они меняются в зависимости от ряда факторов: видимости, состояния дороги и т.д. Каждый случай нужно будет отдельно реконструировать и принимать решение", - заявил Свешников: http://auto.vesti.ru/news/show/news_id/663396/
18
мая 2017
В
России появится портал по контролю за персональными данными
В
России будет создан сайт по контролю за распространением персональных данных,
сообщает в четверг, 18 мая, газета «Известия».
Появление ресурса призвано
решить проблему неконтролируемого сбора персональных данных.
За его ведение будет отвечать Роскомнадзор.
Пользователь сможет,
авторизовавшись на сайте, увидеть, кто использует его персональные данные‚ и
при желании запретить организации работать с ними.
Для
создания нового портала потребуется выработать ряд законодательных актов, в
частности, об ответственности компаний, которые забудут внести на него необходимую
информацию.
О
необходимости создания ресурса говорится в проекте программы «Цифровая
экономика», направленном Минкомсвязью в начале мая в правительство: https://lenta.ru/news/2017/05/18/portal/
5 июля 2018
«Яндекс» проиндексировал Google Docs
и раскрыл тайны пользователей
«Яндекс» начал
индексировать файлы с сервиса Google Docs, не защищенные
настройками приватности. Об этом сообщил паблик MDK в
Twitter.
Из-за действий поисковика стали доступны находящиеся в публичном доступе документы, в том числе
персональные данные и пароли. …. https://lenta.ru/news/2018/07/04/docs/
Мобильные приложения уличили в записи
содержимого экрана
НИКОЛАЙ БЕЛКИН 05.07.2018
Исследователи из Северо-восточного университета США
предприняли попытку опровергнуть одну из самых живучих теорий заговора,
связанных с мобильными устройствами — что те якобы подслушивают разговоры
пользователей, чтобы затем точнее нацеливать рекламу в соцсетях. Изучив 17
с лишим тысяч мобильных приложений, такого поведения они не нашли ни в одном из
них. Зато обнаружили кое-что еще.
Как передает издание
Gizmodo, авторы исследования в течение года следили на десяти разных смартфонах
за поведением тысяч приложений, включая принадлежащие Facebook, а также 8
тысяч, отправлявшие в Facebook данные. Не обнаружив доказательств
подслушивания, ученые столкнулись с другой пугающей тенденцией: подсматриванием за содержимым экрана.
В исследовании использовалось специальное оборудование
(см. фото выше) и ПО, задачей которого было фиксировать отсылку приложениями
звуков, изображений или видео, в особенности если они отправлялись на
неожиданные адреса. Как выяснилось, некоторые
приложения отправляют "на сторону" записи происходящего во время их
использования на экране.
Одно из них, приложение сервиса GoPuff для доставки еды, записывало все взаимодействия с ним и передавало аналитической фирме Appsee. В отправляемые данные включались и экраны, где
пользователи вводят информацию — например, свой почтовый индекс. При этом в
политике конфиденциальности GoPuff, с которой пользователи соглашались, начиная
использовать сервис, о передаче данных Appsee не было сказано ни слова.
По мнению исследователей, такое стало возможным, в том
числе, из-за производителей программного обеспечения смартфонов — аппараты на
Android не уведомляют пользователей, когда
приложение записывает содержимое экрана. А ведь такой метод может
использоваться, в том числе, для кражи платежной информации и паролей.
https://hitech.vesti.ru/article/878243/
Sanita
Pētersone: Kā sagatavoties jaunās datu aizsardzības regulas piemērošanai
6.
aprīlis 2017
Sanita Pētersone, KPMG
Zvērinātu advokātu birojs
Rakstot
par jauno Vispārīgo datu aizsardzības regulu (turpmāk – Regula), visbiežāk tiek
uzsvērti tajā minētie lielie sodi. Savukārt ļoti maz tiek runāts par
uzņēmumiem, organizācijām un iestādēm veicamajiem priekšdarbiem, lai ar Regulā
minētajām sankcijām nākotnē nemaz nebūtu jāsaskaras.
Regula
tiešām paredz lielus sodus par personas datu aizsardzības pārkāpumiem – līdz
20 miljoniem eiro vai līdz 4% no personas datu apstrādes veicēja iepriekšējā
gada apgrozījuma. Piemēram, aptuvenās aplēses Lielbritānijā liecina, ka
2018. gadā, kad tiks uzsākta Regulas piemērošana, tās uzņēmumiem piemēroto
naudas sodu kopsumma varētu sasniegt pat 122 miljardus GBP. Laiks rādīs, vai
šis paredzējums piepildīsies, tomēr Latvijā, biedējot ar lieliem sodiem, šī
informācija ļoti reti tiek papildināta ar Regulas paredzēto tiešām būtisko
izmaiņu aprakstu un ieteikumiem, kā sagatavoties jaunajām izmaiņām.
Veicot
atbilstošus priekšdarbus un ievērojot šos ieteikumus, ikviens uzņēmums,
organizācija vai iestāde var pietiekami labi sagatavoties jaunās Regulas
ieviešanai.
Darbinieku
izglītošana – iepriekšējā pieredze liecina, ka
lielākoties Latvijā trūkst pareizas izpratnes par to, kas ir personas dati,
kādi ir personas datu aizsardzības pamatprincipi. Šos jautājumus Regula būtiski
nemaina. Līdz ar to, pirms sākt gatavoties Regulas prasību izpildei, ir
nepieciešams apmācīt darbiniekus – gan tos, kuru darba pienākumi jau šobrīd ir
saistīti ar personas datu izmantošanu, gan tos, kuri iesaistīsies Regulas
ieviešanā Ja Regulu ieviesīs, neņemot vērā un nepareizi saprotot, uz ko tā
attiecas, tad šāda ieviešana nenodrošinās Regulas ievērošanu un nepasargās no
pārkāpumiem un attiecīgi – no sodiem.
Esošās
situācijas apzināšana, datu apjoma mazināšana – pēc tam,
kad procesā iesaistītajiem ir skaidrs, kādu darbību veikšanas kārtību Regula
nosaka, ir nepieciešams apzināt visas datu plūsmas. Jāidentificē, no kurām personām, kādi dati un kādam mērķim tiek iegūti,
kā arī kādi dati, kurām personām un ar kādu mērķi tiek nodoti. Šis ir
priekšnosacījums, lai saprastu, vai un kādas anketas, līgumi, iesniegumu formas
ir jāmaina. Tas ļaus arī secināt, vai tiek apstrādāti personas dati, kuri nav
nepieciešami vai vairs nav nepieciešami tiesiska mērķa sasniegšanai. Piemēram,
darba devējam nav nepieciešamības no darbinieka iegūt gan deklarētās, gan
faktiskās dzīvesvietas adresi. Līdz ar to šos liekos personas datus vajadzētu dzēst,
tādā veidā samazinot aizsargājamo personas datu apjomu.
Jāmaina
anketas, iesniegumu formas, zīmes par videonovērošanas veikšanu –
Regula paredz stingrākas prasības piekrišanai kā personas datu apstrādes
pamatam. Līdz ar to izmaiņas būs jāveic dažādās iesniegumu formās, piemēram,
anketās, kuras tiek izmantotas klienta kartes iegūšanai, anketās, ar kurām
persona izsaka piekrišanu piedalīties klientu pētījumā vai saņemt reklāmu. Ar
Regulu būtiski tiek palielināts apjoms informācijai, kura "automātiski"
ir jāsniedz pirms tās personas datu iegūšanas. Vairs nebūs pietiekami sniegt
informāciju tikai par personas datu apstrādes mērķi un pārzini. Anketās būs
jāietver daudz lielāks informācijas apjoms, būs jāmaina arī daudzi līgumi, kuri
tiek slēgti ar fiziskām personām. Tāpat būs jāmaina informatīvās zīmes par
videonovērošanas veikšanu.
Izmaiņas
līgumos ar pakalpojumu sniedzējiem un to sniegto garantiju pārbaude –
lai izpildītu Regulas prasības, būs jāmaina arī līgumi, kuri tiek slēgti ar
ārpakalpojumu sniedzējiem, ja šie pakalpojumi ietver personas datu apstrādi, jo
Regula nosaka, kādam ir jābūt šī līguma saturam. Piemēram, ja tiek izmantoti
cita uzņēmuma servera pakalpojumi, cits uzņēmums veic jūsu uzņēmuma darbinieku
algu aprēķinu, sagatavo un izsūta jūsu klientiem rēķinus vai veic jūsu uzņēmuma
dokumentu iznīcināšanu, tad šie līgumi būs jāpapildina ar Regulā noteikto
saturu. Papildus tam Regula paredz, ka pirms šāda līguma noslēgšanas ir jāpārbauda
pakalpojuma sniedzēja nodrošinātās garantijas attiecībā uz personas datu
aizsardzību. Līdz ar to varētu būt nepieciešams pirms līguma noslēgšanas
pārbaudīt, vai un kādos apstākļos pakalpojuma sniedzējs izmantos jūsu uzņēmuma
klientu vai darbinieku personas datus, vai un kāda ir uzņēmumā noteiktā
iekšējā kārtība, kas attiecas uz personas datu izmantošanu.
Aizsardzības
pasākumiem ir jābūt atbilstošiem riskiem – Regula paredz, ka
tehniski un organizatoriski datu aizsardzības pasākumi un procedūras ir
jāievieš atbilstoši iespējamajiem riskiem fizisko personu tiesībām un brīvībām,
un to pakāpei. Līdz ar to pēc datu plūsmas apzināšanas vajadzētu novērtēt riskus (dažādas iespējamības
un smaguma pakāpes riskus), ko rada datu apstrāde. Īpaša vērība jāpievērš
nejauši vai nelikumīgi nosūtītu, uzglabātu vai citādi apstrādātu personas datu
iznīcināšanai, nozaudēšanai, pārveidošanai, neatļautai izpaušanai vai piekļuvei
tiem. Ir jāapzina riska iestāšanās iespējamība, negatīvo seku veidi un apmēri,
un jānodrošina to pārvaldība. Piemēram, konstatējot, ka visu darbinieku datiem,
tai skaitā veselības datiem, piekļūst liels darbinieku skaits (visi personāla
un grāmatvedības struktūrvienības darbinieki) un šo datu aplūkošana netiek
fiksēta, var secināt, ka pastāv liela šo datu nelikumīgas izmantošanas
iespējamība, kas var radīt būtisku kaitējumu personai, piemēram,
diskrimināciju. Līdz ar to organizatoriski un tehniski nepieciešams nodrošināt,
lai vismaz veselības datiem piekļūst tikai atsevišķi darbinieki un katra piekļūšana tiek fiksēta,
identificējot tās veicēju, apstrādāto datu apjomu un apstrādes veidu.
Pasākumu,
procesu, instrukciju dokumentēšana – saskaņā ar Regulu
tajā noteiktajām datu aizsardzības prasībām būs jābūt ne vien ieviestām dzīvē,
bet arī dokumentētām – aizsardzības procedūras un pasākumi būs jāapraksta
iekšējos normatīvajos aktos. Būs arī jānodrošina, lai darbinieki personas
datu apstrādi veic, ievērojot instrukcijas. Piemēram, lai izpildītu Regulu,
nebūs pietiekami birojā izvietot dokumentu smalcinātājus, bet iekšējos
noteikumos vajadzēs arī noteikt darbinieku pienākumu tos lietot dokumentu
iznīcināšanai. Līdz ar to uzņēmumiem, iestādēm un organizācijām liela uzmanība
būs jāvelta iekšējo procesu aprakstam, instrukciju sniegšanai darbiniekiem,
darbinieku uzraudzīšanai un apmācīšanai. Šo prasību izpildi būs jāspēj pierādīt
personas datu aizsardzības uzraudzības iestādei arī gadījumā, ja nebūs saņemta
sūdzība vai nebūs aizdomu par personas datu aizsardzības pārkāpumu. Līdz ar to
ieteikums ir jau šobrīd uzsākt iekšējo procesu aprakstu un instrukciju
sagatavošanu darbiniekiem.
Pārkāpumu
identificēšana un paziņošana par tiem – jaunums ir arī pienākums nodrošināt datu
aizsardzības pārkāpuma identificēšanu un paziņošanu par to personas datu
aizsardzības uzraudzības iestādei un atsevišķos gadījumos – arī fiziskām
personām, uz kuru personas datiem attieksies pārkāpums. Piemēram, ja kļūdas pēc
uz nepareizu e-pasta adresi ir nosūtīta vēstule, darba dators vai telefons ir
pazaudēts vai nozagts vai uzņēmuma mājaslapa ir "uzlauzta". Ja šo
darbību rezultātā trešās personas ir piekļuvušas personas datiem vai personas
dati ir nozaudēti, būs pienākums par to paziņot personas datu aizsardzības
uzraudzības iestādei. Līdz ar to arī šī pienākuma izpildei būs jāīsteno gan
tehniska, gan organizatoriska rakstura pasākumi, kā arī jāapmāca darbinieki.
Regulas
ieviešanas organizēšana – ņemot vērā to, ka jauno
prasību ieviešana ir visai laikietilpīgs un atbildīgs process, uzņēmumiem un
iestādēm jau šobrīd vajadzētu nozīmēt par Regulas ieviešanu atbildīgos
darbiniekus. Vislietderīgāk ir veidot dažādu kompetenču darbinieku grupu, tajā
apvienojot gan juristus un IT speciālistus, gan personāla vadības speciālistus
un darbiniekus ar riska novērtēšanas, vadības un projektu vadīšanas pieredzi.
Atsevišķos gadījumos, protams, ir lietderīgi izvērtēt kompetentu speciālistu
piesaisti no malas, kas ātri un, iespējams, daudz efektīvāk varētu palīdzēt
sagatavoties jauno prasību izpildei. Jāņem vērā, ka Regula ir apjomīgs
dokuments (gandrīz 100 lpp.) un tajā tiešām ir paredzēti daudzi jauni
pienākumi.
Mūsdienās
cilvēki kļūst arvien zinošāki par savām tiesībām datu aizsardzības jomā –
arvien vairāk novērtē to, vai viņu tiesības tiek ievērotas, un daudz biežāk
pamana, vai nav notikuši kādi pārkāpumi. Tāpēc personas datu aizsardzības
nosacījumu ievērošana nav vairs tikai Regulas prasība, bet arī iespēja
laikus izvairīties no morālā aizskāruma atlīdzināšanas pienākuma vai pat
nopietnāka kaitējuma uzņēmuma vai iestādes reputācijai.
Андрей
Суворов: события и тренды в кибербезопасности
22.05.2017
Директор
по развитию направления безопасности критической инфраструктуры
"Лаборатории Касперского" Андрей Суворов в ходе VI Форума
Vestifinance рассказал о том, какие риски для компаний скрывают кибератаки, чем
руководствуются и на что нацелены хакеры, а также поведал о главных трендах в
кибербезопасности.
Андрей Суворов рассказывая о трендах, которые проникают в умы людей, вспомнил про всемирный экономический форум, где ежегодно проводят опрос о том, какие риски для человечества руководители крупнейших компаний и лидеры стран считают основными. В 2017 г. кибератаки заняли более высокую позицию, нежели даже традиционные атаки, террористические угрозы, межгосударственные конфликты. Это означает, что люди, не являющиеся профессионалами в кибербезопасности, достаточно высоко оценивают эту опасность. Первые лица крупнейших компаний, в России в том числе, говорят о киберрисках и кибербезопасности вполне серьезно. Раньше считалось, что обо всех этих задачах должны помнить лишь те, кто занимается IT в компании.
Кроме того, наряду с политическими анонсами будущего, прогнозы аналитиков относительно кибервойн и кибератак занимают важное место. Почему эти вопросы достаточно серьезны и почему про это надо говорить? Если посмотреть на количество вредоносных файлов, то можно увидеть колоссальный рост их числа на всех существующих платформах.
Андрей Суворов рассказывая о трендах, которые проникают в умы людей, вспомнил про всемирный экономический форум, где ежегодно проводят опрос о том, какие риски для человечества руководители крупнейших компаний и лидеры стран считают основными. В 2017 г. кибератаки заняли более высокую позицию, нежели даже традиционные атаки, террористические угрозы, межгосударственные конфликты. Это означает, что люди, не являющиеся профессионалами в кибербезопасности, достаточно высоко оценивают эту опасность. Первые лица крупнейших компаний, в России в том числе, говорят о киберрисках и кибербезопасности вполне серьезно. Раньше считалось, что обо всех этих задачах должны помнить лишь те, кто занимается IT в компании.
Кроме того, наряду с политическими анонсами будущего, прогнозы аналитиков относительно кибервойн и кибератак занимают важное место. Почему эти вопросы достаточно серьезны и почему про это надо говорить? Если посмотреть на количество вредоносных файлов, то можно увидеть колоссальный рост их числа на всех существующих платформах.
Лидирует
здесь Microsoft с 448 млн уникальных вредоносов, рост их числа в сравнении с
прошлым годом достаточно серьезный. Тренд, который мы наблюдаем, говорит о том,
что чем более массовой становится платформа, тем более она привлекает тех, кто
попытается ее взломать и использовать в своих интересах. Ожидается, что в этом
году вырастет число вредоносов и для iOS, несмотря на то что эта платформа
является сама по себе достаточно изолированной.
Рост числа компьютерных вирусов начался в эру распределенных вычислений, в 1994 г. писался один вирус в час. Сегодня мы имеем порядка 300 тыс. новых вредоносных фрагментов каждый день, и эта цифра постоянно растет.
Рост числа компьютерных вирусов начался в эру распределенных вычислений, в 1994 г. писался один вирус в час. Сегодня мы имеем порядка 300 тыс. новых вредоносных фрагментов каждый день, и эта цифра постоянно растет.
Конечно,
кибератаки и создание вирусов — это серьезный бизнес. Согласно официальным
отчетам компаний, которые занимаются финансовыми рисками, убытки от киберпреступлений составили от $400 млрд до $500
млрд за прошлый год. Много это или мало? Это больше двух федеральных
бюджетов РФ на 2016 г. Или примерно стоимость 10 сочинских олимпиад. И согласно
прогнозам аналитиков эта цифра достаточно скромная по сравнению с тем, что нас
ждет в будущем.
Что вообще надо знать про киберугрозы, для того чтобы понимать, как к ним готовиться и быть на шаг впереди тех, кто хочет во времена четвертой промышленной революции завладеть чужими активами или информацией посредством технологий? Первое - надо понимать, что мы с вами живем в век очень стремительных изменений. Раньше корпоративная сеть была защищена по периметру, зачастую системы были изолированные, риск внедрения извне был минимален.
Что вообще надо знать про киберугрозы, для того чтобы понимать, как к ним готовиться и быть на шаг впереди тех, кто хочет во времена четвертой промышленной революции завладеть чужими активами или информацией посредством технологий? Первое - надо понимать, что мы с вами живем в век очень стремительных изменений. Раньше корпоративная сеть была защищена по периметру, зачастую системы были изолированные, риск внедрения извне был минимален.
Сегодня
мы с вами живем во времена, когда крупнейшие корпорации мира запускают
инициативы, которые называются Bring your own device ("Принеси свое
собственное оборудование"). Это позволяет экономить, в крупнейших
компаниях порядка 25% оборудования им не принадлежит. Теперь на персональных устройствах сотрудников
установлен финансовый софт, хранятся клиентские данные, личные и корпоративные
приложения. Это удобно, так как в любое время в любом месте есть возможность
нажать кнопочку "утверждаю", либо что-то посчитать, либо ответить на
звонок и т. д.
Но, с другой стороны, это означает достаточно серьезное повышение уязвимости таких корпоративных систем, потому что на компьютерах, планшетах, смартфонах используются практически все виды приложений, которые раньше находились на компьютерах компаний и были защищены специалистами.
В 2017 г., и это тренд на будущее, мы имеем дело с атаками, в которых участвуют группы из ряда стран, где идет активное объединение усилий хакеров. Это означает, что финансовые и интеллектуальные ресурсы у таких компаний практически не ограничены в обучении специалистов, в подготовке высокопрофессиональных команд, что, конечно, представляет достаточно серьезную угрозу.
Существует устойчивый термин на рынке кибербезопасности – это APT (Advanced Persistent Threat), или сложная целевая атака. По мнению аналитиков и компаний, которые занимаются этими вопросами, это самая серьезная на сегодня киберугроза. Хорошо подготовленная целевая атака являет собой комбинацию действий, при которых ее нельзя обнаружить даже после того, как она закончилась. К примеру, цель вируса Stuxnet, атаковавшего ряд заводов по производству обогащенного урана, была не в том, чтобы вывести из строя дорогостоящее оборудование, а в том, чтобы на протяжении долгого времени производители не могли получить тот продукт, который, следуя правильной технологии, требовалось изготовить.
Целевая атака была направлена на подмену информации о технологическом процессе, и это не позволяло выполнить производственную задачу. Целевых атак не так много, но это очень серьезно с точки зрения потенциального ущерба. Если мы говорим про затраты, то компании тратят огромные деньги, миллионы долларов, чтобы ликвидировать последствия такой атаки.
Подробнее: http://www.vestifinance.ru/articles/85635
Но, с другой стороны, это означает достаточно серьезное повышение уязвимости таких корпоративных систем, потому что на компьютерах, планшетах, смартфонах используются практически все виды приложений, которые раньше находились на компьютерах компаний и были защищены специалистами.
В 2017 г., и это тренд на будущее, мы имеем дело с атаками, в которых участвуют группы из ряда стран, где идет активное объединение усилий хакеров. Это означает, что финансовые и интеллектуальные ресурсы у таких компаний практически не ограничены в обучении специалистов, в подготовке высокопрофессиональных команд, что, конечно, представляет достаточно серьезную угрозу.
Существует устойчивый термин на рынке кибербезопасности – это APT (Advanced Persistent Threat), или сложная целевая атака. По мнению аналитиков и компаний, которые занимаются этими вопросами, это самая серьезная на сегодня киберугроза. Хорошо подготовленная целевая атака являет собой комбинацию действий, при которых ее нельзя обнаружить даже после того, как она закончилась. К примеру, цель вируса Stuxnet, атаковавшего ряд заводов по производству обогащенного урана, была не в том, чтобы вывести из строя дорогостоящее оборудование, а в том, чтобы на протяжении долгого времени производители не могли получить тот продукт, который, следуя правильной технологии, требовалось изготовить.
Целевая атака была направлена на подмену информации о технологическом процессе, и это не позволяло выполнить производственную задачу. Целевых атак не так много, но это очень серьезно с точки зрения потенциального ущерба. Если мы говорим про затраты, то компании тратят огромные деньги, миллионы долларов, чтобы ликвидировать последствия такой атаки.
Подробнее: http://www.vestifinance.ru/articles/85635
Кибербезопасность:
как хакеры меняют нашу жизнь?
ВЕСТИ.RU
28 февраля 2017
Буквально
на днях было официально объявлено о том, что в России появился новый род
войск — войска
информационных технологий. Об этом, напомним, заявил министр
обороны Сергей Шойгу. По его словам, создание таких войск делает проведение
информационных операций гораздо эффективнее и сильнее. Что же это значит? С
уверенностью можно сказать, что это еще одно подтверждение того факта, что
кибербезопасность, как, собственно, и киберугрозы, занимает все более важное
место в нашей жизни. Если еще несколько лет назад киберугрозы воспринимались
как нечто отдаленное, то в теперь они плотно вошли в нашу жизнь. От хакеров
страдают все: киберпреступники взламывают банки, похищают миллионы и даже
миллиарды долларов. Но самое главное, что их жертвами становятся не только
маленькие банки или компании, но порой и центральные банки и даже могущественная
Федеральная резервная система. На очередном форуме VESTIFINANCE, который
пройдет в Москве в Центре Digital October 10 и 11 марта, среди спикеров будет
генеральный директор InfoWatch, сооснователь «Лаборатории Касперского» Наталья
Касперская. Она в том числе будет рассказывать и об актуальных трендах в
виртуальной среде, о текущих и будущих угрозах. Приглашаем всех посетить это
мероприятие и узнать об актуальной проблеме человечества, что называется, из
первых уст. В октябре прошлого года, например, об атаках на свои серверы
сообщили региональный американский банк BB&T и производитель кредитных карт
Capital One Financial. Ранее были атакованы сайты крупнейших игроков
финансового сектора, таких как Bank of America и Wells Fargo. Глава Пентагона
тогда заявил, что растет риск «кибер-Перл-Харбора». Согласно исследованию
компании Cisco больше трети организаций, чьи информационные системы были
взломаны в 2016 г., сообщили о существенных (более 20%) потерях доходов,
упущенных возможностях и оттоке заказчиков. Вообще, потери от хакерских атак
для банков и компаний по всему миру становятся уже постоянной статьей убытков,
и они учитывают эти риски в своих бизнес-моделях. На самом деле, мы сейчас
находимся лишь на ранней стадии развития кибербезопасности, и в недалеком
будущем в интернет-сфере могут произойти серьезные изменения. Интернет
настолько плотно вошел в нашу жизнь, что представить жизнь без него сейчас
практически невозможно. Подавляющее большинство людей пользуются различными
интернет-сервисами, социальными сетями и так далее. Стоит только на минуту
задуматься, что через интернет сейчас делается практически все: операции по
банковским счетам, заказ такси, покупка товаров и услуг и многое-многое другое.
Но проблема в том, что зачастую в глобальной сети пользователи выступают
анонимами, и распознать их можно только разве что по IP-адресу, ну или если
этим вопросом занимаются профессионалы. Однако в будущем все может измениться.
Раз уж интернет-пространство является, по сути, отражением реальной жизни, то
можно предположить, что и правила пользования и требования будут намного
жестче.
О
том, как себя защитить, когда любая «умная железка», с непонятно кем и как
встроенным софтом, может угрожать личной безопасности, в эксклюзивном интервью
расскажет президент группы компаний InfoWatch Наталья Касперская.
Кстати,
сооснователь ∎Лаборатории
Касперского∎
Наталья Касперская будет говорить и на эту тему. Еще раз напомним, форум
VESTIFINANCE пройдет в Москве в Центре Digital October 10 и 11 марта. Так вот,
если в реальной жизни гражданин должен иметь при себе паспорт, почему в
интернете он может совершать все действия практически анонимно? Очевидно, рано
или поздно будут предприняты попытки исправить эту ситуацию, и в конечном итоге
при входе в интернет нужно будет пройти полную идентификацию?К чему это
приведет? Ну хотя бы к тому, что за все свои действия и высказывания нужно
будет нести такую же ответственность, как и в реальной жизни. Самый банальный
пример: если пользователь порочит чью-то честь, то его можно будет легко привлечь
к ответственности по закону о клевете. Понятно, что процесс этот не быстрый.
Невозможно просто так взять и изменить подход к пользованию интернетом, тем
более что глобальная паутина просто огромна. И если пользователь сталкивается с
какими-то ограничениями в одной стране, он может использовать IP-адреса другой
страны и спокойно обойти препятствия. Для изменения правил нужно выработать
общий подход. Однако, учитывая, что многие страны не очень легко находят
понимание между собой, на все это может уйти достаточно много времени. Если же
говорить о хакерах, то они порой оказываются в своем развитии на шаг впереди
спецслужб, и пока одни закрывают предыдущие лазейки, другие находят новые.
Проблема кибербезопасности в России и в мире будет обсуждаться на форуме
VESTIFINANCE, который пройдет в Москве в Центре Digital October 10 и 11 марта.
Лекцию на эту тему, как мы уже сказали выше, проведет генеральный директор
InfoWatch, сооснователь «Лаборатории Касперского» Наталья Касперская.7 февраля
состоялось открытие Международного форума по кибербезопасности (Cyber Security
Forum–2017), приуроченного к Международному дню безопасного интернета (Safer
Internet Day), на котором выступила заместитель руководителя Роскомнадзора А.
Приезжева с докладом «Кибербезопасность как основное условие обеспечения защиты
прав субъектов персональных данных в цифровом пространстве». Среди основных
источников угроз в киберпространстве названы хищение персональных данных при
помощи фишинга, использование пользователями «серых» мобильных приложений и
незащищенных каналов коммуникаций. Открытые источники хранения персональных
данных, геолокационные сервисы также могут представлять собой угрозу для утечек
личных данных, а повсеместная практика принятия условий пользовательского
соглашения «по умолчанию» лишь облегчает задачу злоумышленникам. По мнению
Приезжевой, большинство из рассматриваемых угроз возможно нивелировать путем
повышения уровня информированности о правах и обязанностях всех участников
процесса обработки персональных данных, уделяя особое внимание субъектам
персональных данных. Для достижения вышеуказанных целей Роскомнадзором
определены приоритетные задачи: стимулирование добросовестного поведения в сети
и совершенствование механизмов регулирования области персональных данных, в т.
ч. применение механизмов саморегулирования. Далее: https://news.rambler.ru/internet/36206572/?utm_content=rnews&utm_medium=read_more&utm_source=copylink
Эксперт: кибервойна уже идет, придется
воевать
26.10.2017
В инновационном центре
"Сколково" 25 октября прошла конференция Skolkovo Cyberday,
посвященная кибербезопасности. Эксперты обсудили, как будут развиваться
финансовые и платежные технологии, интернет вещей, межмашинное взаимодействие,
облачные системы, а также какие киберугрозы возникают перед компаниями и
обычными пользователями.
Председатель правления фонда "Сколково" Игорь Дроздов в ходе выступления заявил, что в ближайшее время две трети жителей планеты могут столкнуться с угрозами в сфере кибербезопасности.
Эксперты отмечают, что уже сейчас кибератаки и боты могут дестабилизировать ситуации в целых регионах. Генеральный директор компании "Лавина Пульс", ведущий эксперт Академии информационных систем Андрей Масалович считает, что кибервойна уже началась, а армии ботов используются для дестабилизации обстановки в целых регионах.
"Интернет населяют не столько люди, сколько боты; будущее определяется не войной между ботами и людьми, а войной между армиями умных ботов", - утверждает эксперт. К слову, недавно появилась информация о том, что появился новый ботнет, атакующий устройства интернета вещей. Он получил название IoT_reaper и с середины сентября вырос до гигантских масштабов. По оценкам исследователей из компаний Qihoo 360 Netlab и Check Point, в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.
Интернет вещей сегодня практически не защищен от киберугроз. Подавляющее большинство устройств работает на Linux, что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT-гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.
Эксперты Check Point считают, что Reaper может на некоторое время парализовать работу интернета. "По нашим оценкам, более миллиона организаций уже пострадали от действий Reaper. Сейчас мы переживаем спокойствие перед сильным штормом. Киберураган скоро настигнет интернет", – отмечается в сообщении Check Point
В рамках конференции Skolkovo Cyberday затронули и тему крупных кибератак, произошедших в последнее время. Так, в мае текущего года вирус WannaCry атаковал более 200 тыс. компьютеров в 150 странах мира. Специалисты давно знали о существовании WannaCry.
"Большинство исследователей хвастались, что они обнаружили его [вирус], научились нейтрализовать кто-то за час, кто-то за четыре, кто-то вспомнил, что он понимал, что произойдет еще 6 марта, когда Microsoft опубликовал уязвимость MS17-010, на которой троян базируется. Те, кто занимается активным противоборством в интернете и, в частности, знают, что такое закладки спецслужб, могут подтвердить, что этот вид заражения был известен с 2006 года", – рассказал Андрей Масалович.
Актуальность опасности вирусов-шифровальщиков для инфраструктур компаний очевидна в контексте не только майской атаки с использованием WannaCry, но и последующих случаев, когда использовались модификации этого вредоноса. Самый свежий случай произошел во вторник, когда ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные системы также сообщили Киевский метрополитен и Одесский аэропорт.
В ходе анализа установлено, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования, сообщается в блоге компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений. Код Bad Rabbit включает в себя части, полностью повторяющие NotPetya.
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.
История с NotPetya продемонстрировала, что для захвата контроля над корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых шагов. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании.
Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательством за неразглашение данных, а также увеличение количества хищений денежных средств и публичных разоблачений, проводимых нефинансово мотивированными атакующими.
Война в киберпространстве и кибертерроризм могут привести к авариям на атомных станциях, разрушению гидроэлектростанций, катастрофам на транспорте и других объектах инфраструктуры, приближаясь по своим разрушительным последствиям к оружию массового поражения. Кроме того, немалую опасность представляет сценарий, когда кибероружие в случае утечки может быть скопировано и распространено, к примеру, террористическими группировками.
ООН рассматривает вопрос о введение моратория на кибероружие, а эксперты готовят основу глобальных договоренностей по контролю за использованием информационно-коммуникационных технологий (ИКТ), чтобы не допустить их превращения в оружие, сравнимое по своему разрушительному потенциалу с ядерным или химическим.
Впрочем, кибервойна между США и Россией маловероятна, поскольку очевидно, что она приведет к страшным последствиям для всех сторон, заявил глава компании по расследованию киберпреступлений Group-IB Илья Сачков. "Я надеюсь, что все страны понимают, что кибервойна приведет к страшным результатам. Я считаю, что Россия и США не начнут ее, так как это обернется катастрофой… Я не верю в развитие кибервойны с участием России: это приведет к серьезной войне, к настоящей войне, грубо говоря", — сказал Сачков.
Подробнее: http://www.vestifinance.ru/articles/92986
Председатель правления фонда "Сколково" Игорь Дроздов в ходе выступления заявил, что в ближайшее время две трети жителей планеты могут столкнуться с угрозами в сфере кибербезопасности.
Эксперты отмечают, что уже сейчас кибератаки и боты могут дестабилизировать ситуации в целых регионах. Генеральный директор компании "Лавина Пульс", ведущий эксперт Академии информационных систем Андрей Масалович считает, что кибервойна уже началась, а армии ботов используются для дестабилизации обстановки в целых регионах.
"Интернет населяют не столько люди, сколько боты; будущее определяется не войной между ботами и людьми, а войной между армиями умных ботов", - утверждает эксперт. К слову, недавно появилась информация о том, что появился новый ботнет, атакующий устройства интернета вещей. Он получил название IoT_reaper и с середины сентября вырос до гигантских масштабов. По оценкам исследователей из компаний Qihoo 360 Netlab и Check Point, в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.
Интернет вещей сегодня практически не защищен от киберугроз. Подавляющее большинство устройств работает на Linux, что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT-гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.
Эксперты Check Point считают, что Reaper может на некоторое время парализовать работу интернета. "По нашим оценкам, более миллиона организаций уже пострадали от действий Reaper. Сейчас мы переживаем спокойствие перед сильным штормом. Киберураган скоро настигнет интернет", – отмечается в сообщении Check Point
В рамках конференции Skolkovo Cyberday затронули и тему крупных кибератак, произошедших в последнее время. Так, в мае текущего года вирус WannaCry атаковал более 200 тыс. компьютеров в 150 странах мира. Специалисты давно знали о существовании WannaCry.
"Большинство исследователей хвастались, что они обнаружили его [вирус], научились нейтрализовать кто-то за час, кто-то за четыре, кто-то вспомнил, что он понимал, что произойдет еще 6 марта, когда Microsoft опубликовал уязвимость MS17-010, на которой троян базируется. Те, кто занимается активным противоборством в интернете и, в частности, знают, что такое закладки спецслужб, могут подтвердить, что этот вид заражения был известен с 2006 года", – рассказал Андрей Масалович.
Актуальность опасности вирусов-шифровальщиков для инфраструктур компаний очевидна в контексте не только майской атаки с использованием WannaCry, но и последующих случаев, когда использовались модификации этого вредоноса. Самый свежий случай произошел во вторник, когда ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные системы также сообщили Киевский метрополитен и Одесский аэропорт.
В ходе анализа установлено, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования, сообщается в блоге компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений. Код Bad Rabbit включает в себя части, полностью повторяющие NotPetya.
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.
История с NotPetya продемонстрировала, что для захвата контроля над корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых шагов. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании.
Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательством за неразглашение данных, а также увеличение количества хищений денежных средств и публичных разоблачений, проводимых нефинансово мотивированными атакующими.
Война в киберпространстве и кибертерроризм могут привести к авариям на атомных станциях, разрушению гидроэлектростанций, катастрофам на транспорте и других объектах инфраструктуры, приближаясь по своим разрушительным последствиям к оружию массового поражения. Кроме того, немалую опасность представляет сценарий, когда кибероружие в случае утечки может быть скопировано и распространено, к примеру, террористическими группировками.
ООН рассматривает вопрос о введение моратория на кибероружие, а эксперты готовят основу глобальных договоренностей по контролю за использованием информационно-коммуникационных технологий (ИКТ), чтобы не допустить их превращения в оружие, сравнимое по своему разрушительному потенциалу с ядерным или химическим.
Впрочем, кибервойна между США и Россией маловероятна, поскольку очевидно, что она приведет к страшным последствиям для всех сторон, заявил глава компании по расследованию киберпреступлений Group-IB Илья Сачков. "Я надеюсь, что все страны понимают, что кибервойна приведет к страшным результатам. Я считаю, что Россия и США не начнут ее, так как это обернется катастрофой… Я не верю в развитие кибервойны с участием России: это приведет к серьезной войне, к настоящей войне, грубо говоря", — сказал Сачков.
Подробнее: http://www.vestifinance.ru/articles/92986
Вести.net: Google собирает с каждого по
гигабайту данных в месяц
Google собирает с каждого Android-аппарата гигабайт пользовательских данных в
месяц. И таким образом корпорация оправдывает свое прозвище
"Большой брат". К тому же получается, что пользователи сами
оплачивают слежку за собой рекламного гиганта.
Компания Oracle провела свое
расследование из-за недавнего скандала с Facebook. В отчете американского
производителя программного обеспечения говорится, что за месяц Google собирает
одного устройства до 1 ГБ данных. Причем на серверы Google отправляется не только информация о поисковых запросах пользователя, но
также сведения о его местоположении. Причем, это может происходить
даже без включенного GPS и вставленной СИМ-карты, через маршрутизаторы Wi-Fi.
Еще немного ужастиков на
тему слежки в интернете. Если вы пользуетесь шифрованием писем – прекратите это
делать и ни в коем случае не открывайте зашифрованные письма. Об этом
предупреждают ученые из Германии и Бельгии. Подробности – в программе Вести.net.
https://hitech.vesti.ru/article/841664/
15 мая 2018
Личные данные миллионов пользователей
Facebook попали в открытый доступ
По информации издания New
Scientist, в течение четырех лет личные данные около трех миллионов пользователей социальной сети Facebook находились в открытом доступе.
В данном случае речь идет о
данных тех пользователей, которые пользовались
приложением с психологическими тестами MyPersonality, разработанном
в Кембриджском университете. Используя его, некоторые пользователи соглашались
делиться личными данными из профилей в Facebook, в результате чего была создана
одна из крупнейших баз данных исследований в области социальных наук,
сообщает РИА Новости.
Всего тесты с использованием
приложения MyPersonality прошли более 6 миллионов человек, около половины из
которых дали согласие на доступ к своим личным данным.
Разработчики приложения собрали эти данные, сделали их анонимными и поместили
на вебсайт lkя использования исследователями.
При этом данные были
размещены на сайте без соответствующих мер безопасности: в течение четырех лет
пароль для получения доступа к ним был доступен онлайн, то есть, любой
пожелавший получить доступ к данным мог быстро найти ключ для их скачивания.
Как отмечает издание New
Scientist, данные пользователей были весьма важными и должны были храниться и
распространяться анонимно. Они включали в себя возраст, пол, местоположение,
результаты тестов и другие детали, и недостаточные меры обеспечения
безопасности могли позволить злоумышленникам использовать их не по назначению.
Как сообщалось, в
марте текущего года вокруг
компании Facebook разразился серьезный скандал. Выяснилось, что сотрудничавшая с Дональдом Трампом
во время его предвыборной кампании фирма Cambrige Analytica незаконно
получила данные 50 миллионов пользователей соцсети.
Основатель Facebook Марк Цукерберг заявил, что компания изучит все приложения,
которые имели доступ к большим объемам информации пользователей, и проведет
комплексный аудит приложений, на которых замечена подозрительная активность. https://www.vesti.ru/doc.html?id=3017296&cid=9
В протоколах PGP и S/MIME найдены
критические уязвимости. Расшифрованы могут быть любые письма
ОЛЕГ ИЛЮХИН 14.05.2018
Группа ученых обнаружила
критические уязвимости в PGP/GPG и S/MIME — двух популярных протоколах,
используемых для шифрования почтовой переписки и электронной подписи.
Злоумышленник, эксплуатирующий "дыры", сможет
прочесть содержимое не только новых сообщений — оно будет доступно ему в виде
открытого текста, — но и полученную ранее корреспонденцию.
Как сообщил один из
исследователей, профессор Мюнстерского университета прикладных наук Себастьян
Шинцель, ошибка не может быть исправлена незамедлительно. Чтобы не стать
жертвой атаки, пользователям порекомендовали немедленно выключить любые
функции, связанные с шифрованием PGP/GPG и S/MIME, в клиенте электронной почты.
В правозащитной организации
Electronic Frontier Foundation (EFF) согласились с мнением ученых и призвали
пользователей отключить инструменты, которые автоматически дешифруют письма,
зашифрованные по протоколу PGP. "До тех пор, пока описанные уязвимости не
будут изучены и устранены, пользователям следует обратиться к альтернативным
способом шифрования из конца в конец, таким как Signal", — сказали
представители EFF.
О самих уязвимостях пока
мало что известно, пишет Ars Technica. По словам Шинцеля, команда
исследователей из Европы изложит детали "дыр" позднее сегодня.
Ранее группа ученых выявляла
несколько важных атак, связанных с криптографией. В 2016-м, например, ими была вскрыта
ошибка в пакете OpenSSL, который используется для шифрования коммуникаций
между серверами и браузерами. Уязвимость, получившая название DROWN, ставила
под угрозу безопасность миллионов сайтов, обеспечивающих передачу данных по
зашифрованному протоколу HTTPS. https://hitech.vesti.ru/article/841086/
Facebook потеряла $5 млрд из-за утечки
данных
20.03.2018
Акции Facebook подешевели на более чем 7%
после сообщений о том, что британская аналитическая компания Cambridge
Analytica незаконно получила персональные данные пользователей соцсети для составления психологических портретов избирателей США,
сообщает MarketWatch….
Как отмечает издание, американские и британские законодатели в минувшие выходные начали расследовать то, как компания Cambridge Analytica получила доступ к личным данным десятков миллионов пользователей социальной сети без их ведома в период президентских выборов 2016 года.
Несколько дней назад издание New York Times опубликовало статью о том, что посредством деятельности фирмы Cambridge Analytica произошла утечка данных 50 млн пользователей соцсети. Эта цифра появилась на основании документов и рассказов бывших сотрудников, отмечает издание. Данные использовались аналитиками из штаба Дональда Трампа перед выборами 2016 г., чтобы «определить черты личности американского электората и повлиять на его поведение».
Facebook в минувшую пятницу заявила о блокировке доступа фирмы Cambridge Analytica к социальной сети на время внутреннего расследования. Кроме того, в воскресенье Facebook сообщила, что проводит широкое внутреннее и внешнее расследование инцидента.
Выяснилось, что сотрудники Facebook Джозеф Чанселлор и Александр Коган являются создателями фирмы Global Science Research, которая предоставляла данные платформе Cambridge Analytica. Последняя была тесно связана с предвыборным штабом Трампа. Как сообщает ряд зарубежных СМИ, фирма обладает информацией о нескольких десятках миллионов аккаунтов, собранной с помощью приложения для опросов под названием thisisyourdigitallife. Юзерам оно преподносилось как составитель «психологического портрета».
В распоряжении исследователtq оказались данные о 50 миллионах пользователей фейсбука, хотя сам тест прошли только 270 тысяч человек. Все эти данные позволили не просто составить представление о личностях пользователей, но и создать их полноценный профиль, в котором указаны убеждения, особенности характера, предпочтения, интересы и многое другое. Бывший сотрудник Cambridge Analytica Кристофер Уайли, подробно рассказавший журналистам о схеме работы компании, утверждает, что он сам придумал схему работы «психологического оружия Стивена Бэннона» — так он называет систему анализа личностей пользователей.
Позднее Facebook сообщила, что Коган якобы не нарушал соглашение о конфиденциальности, так как пользователи сами соглашались на обработку данных, регистрируясь в приложении. Затем в Facebook изменили отношение к ситуации: адвокат компании назвал действия Cambridge Analytica мошенничеством и пообещал предпринять любые шаги, чтобы британская компания полностью удалила информацию.
На сайте Cambridge Analytica указано, что компания занимается аналитикой данных, в том числе для политических проектов. В 2016 году разработанное сотрудниками приложение thisisyourdigitallife было заблокировано на Facebook, соцсеть потребовала удалить информацию. Однако несколько дней назад руководству компании стало известно, что Cambridge Analytica не выполнила свои обещания.
Информация о краже данных вызвала большой резонанс. Американские законодатели призвали Цукерберга объяснить действия его компании.
Подробнее: http://www.vestifinance.ru/articles/99093
Как отмечает издание, американские и британские законодатели в минувшие выходные начали расследовать то, как компания Cambridge Analytica получила доступ к личным данным десятков миллионов пользователей социальной сети без их ведома в период президентских выборов 2016 года.
Несколько дней назад издание New York Times опубликовало статью о том, что посредством деятельности фирмы Cambridge Analytica произошла утечка данных 50 млн пользователей соцсети. Эта цифра появилась на основании документов и рассказов бывших сотрудников, отмечает издание. Данные использовались аналитиками из штаба Дональда Трампа перед выборами 2016 г., чтобы «определить черты личности американского электората и повлиять на его поведение».
Facebook в минувшую пятницу заявила о блокировке доступа фирмы Cambridge Analytica к социальной сети на время внутреннего расследования. Кроме того, в воскресенье Facebook сообщила, что проводит широкое внутреннее и внешнее расследование инцидента.
Выяснилось, что сотрудники Facebook Джозеф Чанселлор и Александр Коган являются создателями фирмы Global Science Research, которая предоставляла данные платформе Cambridge Analytica. Последняя была тесно связана с предвыборным штабом Трампа. Как сообщает ряд зарубежных СМИ, фирма обладает информацией о нескольких десятках миллионов аккаунтов, собранной с помощью приложения для опросов под названием thisisyourdigitallife. Юзерам оно преподносилось как составитель «психологического портрета».
В распоряжении исследователtq оказались данные о 50 миллионах пользователей фейсбука, хотя сам тест прошли только 270 тысяч человек. Все эти данные позволили не просто составить представление о личностях пользователей, но и создать их полноценный профиль, в котором указаны убеждения, особенности характера, предпочтения, интересы и многое другое. Бывший сотрудник Cambridge Analytica Кристофер Уайли, подробно рассказавший журналистам о схеме работы компании, утверждает, что он сам придумал схему работы «психологического оружия Стивена Бэннона» — так он называет систему анализа личностей пользователей.
Позднее Facebook сообщила, что Коган якобы не нарушал соглашение о конфиденциальности, так как пользователи сами соглашались на обработку данных, регистрируясь в приложении. Затем в Facebook изменили отношение к ситуации: адвокат компании назвал действия Cambridge Analytica мошенничеством и пообещал предпринять любые шаги, чтобы британская компания полностью удалила информацию.
На сайте Cambridge Analytica указано, что компания занимается аналитикой данных, в том числе для политических проектов. В 2016 году разработанное сотрудниками приложение thisisyourdigitallife было заблокировано на Facebook, соцсеть потребовала удалить информацию. Однако несколько дней назад руководству компании стало известно, что Cambridge Analytica не выполнила свои обещания.
Информация о краже данных вызвала большой резонанс. Американские законодатели призвали Цукерберга объяснить действия его компании.
Подробнее: http://www.vestifinance.ru/articles/99093
Банки
по всему миру поражает "невидимый" вирус
08.02.2017
Летом
2015 года инженеры российской компании "Лаборатория Касперского"
обнаружили, что их собственная компьютерная сеть оказалась заражена неизвестным
ранее вирусом. Как оказалось, троянец почти целиком прятался в оперативной памяти устройства, что позволяло ему
оставаться незамеченным на протяжении полугода.
Впоследствии
эксперты выяснили, что "червь"
Duqu 2.0 произошел от Stuxnet — промышленного вируса, якобы созданного США
и Израилем, чтобы саботировать ядерную программу Ирана. Теперь
"бесфайловый" вирус, сообщили в "ЛК", начал
распространяться по всему миру.
Вредоносная
программа почти не оставляет следов, записывая себя в память компьютера,
поэтому вычислить ее крайне сложно. Идентификацию "невидимого" вируса
усложняет и то, что он пользуется широко распространенными и легитимными
инструментами для администрирования и безопасности (такими как PowerShell,
Metasploit и Mimikatz), чтобы попасть в "оперативку".
Потомок
Duqu 2.0 уже успел поразить по меньшей мере 140 банков и других предприятий. Как сообщил
эксперт "ЛК" Курт Баумгартнер, компании оказались совершенно не
готовы к такому развитию событий. Хакеры "вытягивают деньги из банков
внутри самих банков", нацеливаясь на компьютеры, которые управляют
банкоматами.
По
словам Баумгартнера, вредоносное ПО инфицировало сети финансовых организаций
(их названия не приводятся) в 40
странах, включая США, Францию, Эквадор, Кению и Великобритании. В
"ЛК" пока не уверены, кто стоит за атаками: одна банда хакеров или
конкурирующие группировки.
Источник: Ars Technica
Опасные связи: как хакеры копаются в наших
телефонах
В сетях Wi-Fi по всему миру
обнаружена критическая уязвимость
Вячеслав Остапенко 21.10.2017
В сетях Wi-Fi найдена
уязвимость, подвергающая данные пользователей большой опасности. «Газета.Ru»
разбиралась, как не дать злоумышленникам залезть в чужие гаджеты, находясь в
кафе или общественном транспорте.
На этой неделе специалисты
нашли серьезные проблемы в
программе сертификации устройств беспроводной связи WPA2 — на данный момент
самой совершенной технологии защиты беспроводной сети Wi-Fi.
Если говорить конкретно, то
недостатки, обнаруженные исследователем Мати Ванхофом из Левенского
университета, позволяют злоумышленникам находясь рядом с законной
защищенной беспроводной сетью – например, той, что у вас дома, в общественном
транспорте или у вас на работе – перехватывать и дешифровывать
Wi-Fi-трафик, передаваемый между точкой доступа и компьютером.
Android в зоне высокого риска
Найденная критическая
уязвимость получила название KRACK (аббревиатура от Key Reinstallation
Attacks). Она находит слабые места в системе проверки паролей и заставляет
пользователей произвести переустановку ключей шифрования — таким образом хакеры
нарушают прочность кодирования сети и получают доступ к сообщениям, загрузочным
файлам и истории посещения сайтов жертвы.
Самый верный
способ обезопасить себя — это
быть крайне осторожным с публичными и «открытыми» Wi-Fi сетями, так же
не стоит забывать про регулярное обновление операционных систем своих
устройств.
Руководитель направления
оптимизации и контроля сети компании КРОК Андрей Врублевский рассказал
корреспонденту «Газеты.Ru», что нужно делать, чтобы сохранить персональные
данные.
«Во-первых, после
подключения к публичным Wi-Fi-сетям по возможности использовать защищенное
VPN-соединение. Во-вторых, необходимо отключить Wi-Fi в настройках
смартфона, если в текущий момент времени он не нужен. В-третьих, стоит включить
на смартфоне настройку, которая требует подтверждения подключения к известным
сетям.
Также, лучше воздержаться от
использования подозрительных плагинов и дополнений, которые, якобы, требуется
установить для подключения к сети Wi-Fi, и самое главное, – не вводить свои
учетные данные от социальных сетей и корпоративных аккаунтов во всплывающих
порталах при подключении к Wi-Fi», — сообщил Врублевский.
Чем опасен Wi-Fi
К сожалению, KRACK — не
единственная опасность, подстерегающая пользователей Wi-Fi. Так ценители этой
беспроводной технологии подвержены сразу нескольким угрозам, которые активно
практикуют злоумышленники.
Одной из самых
распространенных уловок является так называемый Wi-Fi «honeypot». Для получения
личной информации пользователей хакеры создают
поддельные точки беспроводного доступа, которые могут выглядеть как
вы ожидали — вплоть до названия и логотипа заведения — однако, данная сеть
принадлежит и управляется злоумышленниками.
При вводе любых личных
данных они отправляются напрямую хакерам.
Кроме того, даже если точка
доступа, которую вы используете, не является обманом, а просто незащищена,
хакеры поблизости могут «подслушивать» ваше соединение, чтобы собрать полезную
информацию. Данные, передаваемые в незашифрованном виде, могут быть перехвачены
и прочитаны. Сюда входят данные из любых служб, для которых требуется протокол
входа в систему (соцсети, аутентификация в банковских приложениях и т.д).
Другой серьезной проблемой
является распространение вирусов. Незащищенные
пользователи, связанные одной и той же сетью, дают возможность кибер-преступникам
довольно легко распространять вредоносное программное обеспечение.
Хакеры также
могут воспользоваться личной сетью пользователя для незаконных целей. Злоумышленники, получающие доступ к незащищенному
Wi-Fi, могут использовать пропускную способность сети и ресурсы для транзакций
и процессов, которые не вредят сети сами по себе, но могут иметь юридические
последствия для сетевых хостов.
Wi-Fi стал опасен. Как защитить свои
данные?
17.10.2017
Бельгийский эксперт в области безопасности
Мэйти Ванхоф обнаружил уязвимость в протоколе безопасности WPA2, используемом
при беспроводном соединении Wi-Fi. Он утверждает, что "любые устройства,
которые поддерживают Wi-Fi, могут подвергнуться хакерской атаке". При этом
Ванхоф сообщает, что уязвимость возможно устранить. Однако смена пароля на
Wi-Fi-соединении не спасет пользователя от хакерской атаки.
Благодаря уязвимости любая Wi-Fi сеть может быть взломана и хакеры получат доступ ко всему трафику. «Если ваше устройство поддерживает Wi-Fi, то, скорее всего, находится в опасности», — говорится в исследовании. Атакам могут быть подвержены устройства на Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и других платформах. По информации экспертов, «исключительно разрушительному» варианту уязвимости подвержен 41% устройств на базе Android.
Сообщается, что в протоколе WPA2 содержатся несколько ключевых уязвимостей, при помощи которых хакеры смогут перехватывать информацию, которую пользователи сети интернет передают через соединение Wi-Fi. Отмечается, что некоторые маршрутизаторы в ближайшее время получат обновления, которые помогут решить проблему и обезопасят пользователей от злоумышленников.Тем не менее, многие пользователи этой технологии должны быть осведомлены о потенциальной угрозе и получить всю информацию об установке необходимых обновлениях.
Обнаруженной уязвимости подвержены практически все устройства, которые раздают Wi-Fi, за исключением устройств компаний, которые получили информацию заранее и уже исправили уязвимость: это Mikrotik, Aruba и Ubiquiti. Под угрозой оказалась половина Android-устройств. Точных данных по Apple нет, но скорее всего в зоне риска всё, что работает с Wi-Fi. Wi-Fi-роутеры и устройства из разряда интернет-вещей (например, «умные» часы) также могут быть взломаны.
Быстрее всех отреагировали производители роутеров и жертва самых частых атак — Microsoft. Там уже заявили о выпуске "заплатки". Но им в этот раз повезло: уязвимость нашли еще летом, и не хакеры, а совместная американо-германо-бельгийская группа исследователей, которые и дали фору разработчикам программного обеспечения прежде, чем выложить подробности в Сеть.
Эксперты отмечают, что обычным пользователям бить тревогу не стоит - большинство популярных сервисов, таких как электронная почта, социальные сети, банковские приложения давно используют шифрование SSL, которое делает обнаруженную уязвимость бесполезной. Зашифрованный трафик можно перехватить, но нельзя понять, что именно было передано.
Впрочем, эксперты "Лаборатории Касперского" пишут, что SSL не всегда спасает. Метод взлома назвали атакой с переустановкой ключа — key reinstallation attack, или сокращенно KRACK. В частности, в докладе описана атака на примере устройства с Android 6. Чтобы провести атаку, необходимо создать Wi-Fi-сеть с таким же именем (SSID), как у уже существующей сети, а также атаковать конкретного пользователя. Когда этот самый пользователь попытается подключиться к оригинальной сети, атакующий отправляет специальные пакеты, которые переключают устройство на другой канал и таким образом заставляют его подключиться к одноименной поддельной сети.
После этого из-за ошибки в имплементации протоколов шифрования атакующий может обнулить ключ шифрования — и получить доступ ко всему, что пользователь скачивает из Сети или загружает в нее, сообщается в корпоративном блоге "Лаборатории Касперского". Соединение с сайтом может быть зашифровано по протоколу SSL (или HTTPS). Вот только на поддельной точке доступа можно установить простую утилиту под названием SSLstrip, которая заставляет браузер подключаться не к шифрованным, HTTPS-версиям сайтов, а к обычным, HTTP, на которых нет шифрования. Это можно провернуть, если реализация шифрования на сайте содержит ошибки (а такое бывает часто, в том числе и на очень крупных сайтах). Если включить в поддельной сети эту утилиту, можно получить доступ к незашифрованным логинам и паролям пользователей — то есть, по сути, украсть их.
Дабы обезопасить себя и свои данные, специалисты советуют первым делом обновить антивирусы, а также программное обеспечение самих устройств с функцией доступа к Wi-Fi — роутеров, ноутбуков, планшетов, смартфонов и других гаджетов. Использование дополнительных средств шифрования трафика, типа VPN-сервисов, позволит существенно снизить вероятность успешной атаки, в результате чего злоумышленники, скорее всего, даже не будут пытаться ее осуществить.
Чтобы полностью исключить риск перехвата данных из-за KRACK, эксперты советуют использовать проводной или мобильный интернет вместо беспроводной сети.
Подробнее: http://www.vestifinance.ru/articles/92523
Благодаря уязвимости любая Wi-Fi сеть может быть взломана и хакеры получат доступ ко всему трафику. «Если ваше устройство поддерживает Wi-Fi, то, скорее всего, находится в опасности», — говорится в исследовании. Атакам могут быть подвержены устройства на Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и других платформах. По информации экспертов, «исключительно разрушительному» варианту уязвимости подвержен 41% устройств на базе Android.
Сообщается, что в протоколе WPA2 содержатся несколько ключевых уязвимостей, при помощи которых хакеры смогут перехватывать информацию, которую пользователи сети интернет передают через соединение Wi-Fi. Отмечается, что некоторые маршрутизаторы в ближайшее время получат обновления, которые помогут решить проблему и обезопасят пользователей от злоумышленников.Тем не менее, многие пользователи этой технологии должны быть осведомлены о потенциальной угрозе и получить всю информацию об установке необходимых обновлениях.
Обнаруженной уязвимости подвержены практически все устройства, которые раздают Wi-Fi, за исключением устройств компаний, которые получили информацию заранее и уже исправили уязвимость: это Mikrotik, Aruba и Ubiquiti. Под угрозой оказалась половина Android-устройств. Точных данных по Apple нет, но скорее всего в зоне риска всё, что работает с Wi-Fi. Wi-Fi-роутеры и устройства из разряда интернет-вещей (например, «умные» часы) также могут быть взломаны.
Быстрее всех отреагировали производители роутеров и жертва самых частых атак — Microsoft. Там уже заявили о выпуске "заплатки". Но им в этот раз повезло: уязвимость нашли еще летом, и не хакеры, а совместная американо-германо-бельгийская группа исследователей, которые и дали фору разработчикам программного обеспечения прежде, чем выложить подробности в Сеть.
Эксперты отмечают, что обычным пользователям бить тревогу не стоит - большинство популярных сервисов, таких как электронная почта, социальные сети, банковские приложения давно используют шифрование SSL, которое делает обнаруженную уязвимость бесполезной. Зашифрованный трафик можно перехватить, но нельзя понять, что именно было передано.
Впрочем, эксперты "Лаборатории Касперского" пишут, что SSL не всегда спасает. Метод взлома назвали атакой с переустановкой ключа — key reinstallation attack, или сокращенно KRACK. В частности, в докладе описана атака на примере устройства с Android 6. Чтобы провести атаку, необходимо создать Wi-Fi-сеть с таким же именем (SSID), как у уже существующей сети, а также атаковать конкретного пользователя. Когда этот самый пользователь попытается подключиться к оригинальной сети, атакующий отправляет специальные пакеты, которые переключают устройство на другой канал и таким образом заставляют его подключиться к одноименной поддельной сети.
После этого из-за ошибки в имплементации протоколов шифрования атакующий может обнулить ключ шифрования — и получить доступ ко всему, что пользователь скачивает из Сети или загружает в нее, сообщается в корпоративном блоге "Лаборатории Касперского". Соединение с сайтом может быть зашифровано по протоколу SSL (или HTTPS). Вот только на поддельной точке доступа можно установить простую утилиту под названием SSLstrip, которая заставляет браузер подключаться не к шифрованным, HTTPS-версиям сайтов, а к обычным, HTTP, на которых нет шифрования. Это можно провернуть, если реализация шифрования на сайте содержит ошибки (а такое бывает часто, в том числе и на очень крупных сайтах). Если включить в поддельной сети эту утилиту, можно получить доступ к незашифрованным логинам и паролям пользователей — то есть, по сути, украсть их.
Дабы обезопасить себя и свои данные, специалисты советуют первым делом обновить антивирусы, а также программное обеспечение самих устройств с функцией доступа к Wi-Fi — роутеров, ноутбуков, планшетов, смартфонов и других гаджетов. Использование дополнительных средств шифрования трафика, типа VPN-сервисов, позволит существенно снизить вероятность успешной атаки, в результате чего злоумышленники, скорее всего, даже не будут пытаться ее осуществить.
Чтобы полностью исключить риск перехвата данных из-за KRACK, эксперты советуют использовать проводной или мобильный интернет вместо беспроводной сети.
Подробнее: http://www.vestifinance.ru/articles/92523
9
сентября 2017
Осужденный
в США за киберпреступления Селезнев признал вину по двум другим
делам
Россиянин
Роман Селезнев, осужденный в США за кражу данных кредитных карт и личной
информации, признал себя виновным по двум другим уголовным делам, связанным с
расследованием схемы кражи личных данных на сумму 50 миллионов долларов. Об этом сообщает Reuters со ссылкой на
американский минюст.
33-летний
сын депутата Госдумы Валерия Селезнева признал себя виновным в том, что
участвовал в схеме рэкета, а также в сговоре с целью совершения банкротства.
Обвинительные документы были поданы в федеральные суды в Неваде и Джорджии.
Ранее сообщалось,
что Селезнев вновь предстал перед американским судом в штате Джорджия. В
отношении него были выдвинуты федеральные обвинения в кибермошенничестве,
связанным со взломом и кражей банковских данных в 2008 году у процессинговой
компании RBS Worldpay, расположенной в Атланте.
По
мнению обвинения, Селезнев получил два миллиона долларов после того, как хакеры
похитили более девяти миллионов долларов из 2100 банкоматов по всему миру.
В
Сиэтле 21 апреля суд приговорил Селезнева к 27 годам лишения свободы по
обвинению в кибермошенничестве.
19
апреля сообщалось, что Селезнев написал покаянное
письмо, где взял на себя ответственность за совершенные деяния, но, несмотря на
это, прокуроры потребовали приговорить его к 30 годам заключения.
25
августа 2016 года россиянин был признан виновным
по 38 преступным эпизодам из 40. Обвинение заявило о нанесенном им ущербе в размере 170 миллионов долларов.
В ходе процесса прокуроры доказывали, что в 2014 году при задержании Селезнева
на его компьютере были найдены 1,7
миллиона украденных номеров кредитных карт.
Роман
Селезнев был схвачен агентами Секретной службы США на Мальдивских
островах в июле 2014 года, а затем вывезен в Соединенные Штаты. Защита Селезнева,
его отец, а также российский МИД назвали задержание гражданина России
похищением и нарушением норм международного права.
Хакеры
атаковали серверы бюро кредитных историй Equifax
08.09.2017
В
США в результате кибератак на серверы бюро кредитных историй Equifax хакеры получили доступ к
персональным данным порядка 143 миллионов клиентов компании.
По
информации агентства Bloomberg, злоумышленникам стали известны фамилии и имена
клиентов, даты из рождения, номера страховых полисов и водительских
удостоверений. Кроме того, кибермошенники получили доступ к номерам кредитных карт 209 тысяч человек.
Главный
исполнительный директор Equifax Ричард Смит заявил: "Это печальное событие
для нашей компании. Я приношу свои извинения нашим клиентам за беспокойство и
разочарование, вызванные этим инцидентом".
Основанная
в 1899 году компания Equifax собирает и хранит информацию о более чем 800
миллионах потребителей и более 88 миллионах компаний по всему миру,
сообщает ТАСС.
4
июля 2017
"Гардиан"
сообщила о гигантской утечке персональных данных из британской клиники
Британская
больница незаконно обнародовала данные более 1,5 миллионов пациентов.
Об этом сообщает издание Guardian. Персональная информация о клиентах была
передана дочерней компании Гугл. Это произошло в рамках тестирования нового
приложения по диагностике острой почечной травмы. Руководство больницы было
уверено, что пациенты не узнают об утечке. Однако информация попала к
журналистам, сообщает телеканал "Россия
24". Теперь клиенты могут подать в суд, отстаивая свои права на защиту
персональных данных: https://www.vesti.ru/doc.html?id=2905946
20
июня 2017
Личные
данные 198 миллионов избирателей США вылились в сеть
Компания
Deep Root Analytics, работавшая на Национальный комитет Республиканской партии
США, разместила в сети персональные данные 198 миллионов американских избирателей.
На это обратили внимание специалисты по анализу киберрисков компании UpGuard,
пишет The Hill.
В
общем доступе оказались имена
избирателей, даты их рождения, домашние адреса, номера их телефонов.
Информация была выложена на одном из серверов Amazon. Объем данных составил 1,1 терабайт. Чтобы скачать всю базу,
специалистам потребовалась почти три дня.
Сооснователь
Deep Root Analytics Алекс Ландри подтвердил утечку конфиденциальных данных
избирателей и заявил, что компания несет «полную ответственность за сложившуюся
ситуацию».
Специалисты
по безопасности называют «слив» беспрецедентным. После того, как UpGuard
обнаружил базу в открытом доступе и сообщил об этом Deep Root Analytics, доступ
к ней закрыли.
24
сентября 2016
Yahoo нашла "кремлевский
след" в хакерских атаках
Компания
Yahoo заявила, что к взлому их системы в 2014 году причастны хакеры из России, действовавшие
при поддержке государства, сообщает Газета.Ru со
ссылкой на Wall Street Journal.
Руководство
Yahoo еще в 2014 году пришло к выводам о причастности российских хакеров ко
взлому, так как атака производилась с компьютеров, которые находятся на
территории России, а целью взлома были работающие в России предприниматели.
Однако только теперь руководство компании заявило о том, что хакеры действовали
не просто так, а, якобы, при поддержке государства.
Ранее
сообщалось, что Всемирное антидопинговое агентство (WADA) возложило вину за взлом своей базы данных на российских хакеров.
Кибератака на WADA показала, что многие всемирно известные спортсмены принимали
допинг с
разрешения агентства.
На
прошедшей недели Yahoo вновь подверглась кибератаке —
у нее были украдены данные 500 миллионов пользователей: https://www.vesti.ru/doc.html?id=2802546
Yahoo!
взломали репутацию
Хакеры взломали 500 млн паролей
Yahoo!
Мария
Лацинская 24.09.2016
В
результате атаки на серверы Yahoo! в 2014 году хакеры получили данные к 500 млн
аккаунтов. Руководство компании подозревает в этом российских
киберпреступников, пользователи начинают отказываться от услуг сервиса, а
корреспондент «Газеты.Ru» и сам столкнулся с последствиями взлома.
Руководство
Yahoo! полагает, что хакеры, проникшие в системы компании осенью 2014 года,
связаны с Россией. По мнению администрации корпорации, взломщики искали
сведения о 30–40 конкретных пользователях онлайн-сервисов.
Источники,
знакомые с ситуацией, рассказали The Wall Street Journal, что вторжение было
обнаружено спустя несколько недель после нападения. После этого Yahoo! сообщила
о случившемся в ФБР.
Обеспокоенность
выразили и власти США. Сенатор Марк Уорнер заявил, что значение этого взлома
Yahoo! носит крайне серьезный характер. Компания планирует обсудить ситуацию с
ним на следующей неделе.
Не
поясняется, было ли это то самое нападение, которое привело к краже информации
о 500 млн учетных записей пользователей. Информацию о том взломе в Yahoo!
подтвердили в четверг, 22 сентября. Тогда компания отметила, что данные были
украдены с серверов компании в конце 2014 года злоумышленниками, «проспонсированными
государством».
На
фоне признания акции Yahoo Inc. на бирже NASDAQ в пятницу, 23 сентября, подешевели на
2%.
Похищенные
из базы данных Yahoo! сведения включали в себя имена, адреса электронной почты,
номера телефонов, даты рождения и пароли, а также информацию о банковских
счетах.
Реакция
пользователей
Из-за
масштаба взлома и привычки пользователей задействовать одинаковые пароли в
разных сервисах эксперты по кибербезопасности прогнозируют, что атака может
сказаться на безопасности данных и на других интернет-площадках. Уязвимыми
могут оказаться счета в банках, онлайн-магазинах и т.д.
Особо
внимательно к своим данным следует отнестись пользователям фотосервиса Flickr и
блог-платформы Tumblr, которые принадлежат Yahoo!.
Компания
подверглась общественной критике за столь позднее признание о компрометации их
личных данных злоумышленниками.
Многие
пользователи, как пишет Reuters, приняли решение не просто поменять свои
пароли, но и вовсе отказаться от услуг Yahoo!, закрыв свои профили.
В
социальных сетях и вовсе начали публично высказывать свое отношение к Yahoo! в
связи со взломом.
Некоторые
владельцы профилей отметили, что изменили пароли не только в сервисах этой
компании, но и на других платформах, где использовали тот же самый пароль.
Также
сообщалось, что житель Нью-Йорка Рональд Шварц подал на Yahoo! в суд после
того, как в компании подтвердили похищение данных 500 млн аккаунтов. Американец
обвинил корпорацию в халатности. Иск направлен от лица всех граждан США,
пострадавших в результате взлома.
В
Yahoo! не прокомментировали возможное будущее судебное разбирательство.
В
мае 2016 года специалист по компьютерной безопасности Алекс Холден заявил,
что хакеры из «российского преступного
мира» похитили пароли и логины от 272 млн учетных
записей.
Из-за
масштабной атаки, по словам эксперта, больше всего пострадала Mail.Ru. Кроме
того, были взломаны аккаунты учетных записей в Google, Yahoo, Microsoft.
Компания
Hold Security, занимающаяся кибербезопасностью, нашла на одном из форумов
российского хакера, который хвастался украденными учетными записями.
Неизвестный утверждал, что ему удалось
завладеть 1,17 млрд аккаунтов.
Пока
что неясно, связано ли это со взломом, который был признан руководством Yahoo!
на днях.
Проверка
на предмет взлома
Корреспондент
«Газеты.Ru», по всей вероятности, тоже столкнулся с последствиями похищения
данных из пользовательской базы Yahoo!. На протяжении нескольких недель автор
этой заметки получает сообщения о непредвиденной попытке входа в почту Yahoo!.
При
этом пароль, используемый в сервисе, индивидуален именно для него и не похож на
комбинацию «12345678», «qwerty» и другие варианты простых паролей, который
пользователи устанавливают по ошибке.
Кроме
того, почта на Yahoo! практически не используется, не связана с другими
интернет-сайтами и нигде не указывалась. После получения тревожных сообщений пароль
несколько раз менялся, однако попытки «залогиниться» на сайте Yahoo! сторонними
лицами все еще продолжаются.
Проверить, был ли скомпрометирован аккаунт того или иного сервиса,
можно на сайтах LeakedSource или Have
I been pwned.
Так,
площадки подтвердили, что пароль от почты корреспондента «Газеты.Ru» на Yahoo!
действительно был похищен.
Эксперты
по безопасности не устают напоминать, что для надежной защиты пароль должен
содержать как минимум буквы в разном регистре и цифры.
Необходимо
использовать и разные значения для учетных записей на других площадках. В
идеале следует использовать пароль, сгенерированный случайным образом. Для
этого существует несколько специальных сервисов, которые создают комбинации
разной степени сложности.
Дополнительной
защитой является двухфакторная аутентификация. Помимо обычного логина и пароля
практически все соцсети и мессенджеры предлагают привязать аккаунт, например, к
номеру телефона. В этом случае хакер не сможет взломать профиль, поскольку,
помимо логина и пароля, ему необходимо будет ввести код, который обычно
отправляется по SMS.
Хакерская
атака затронула все 3 млрд аккаунтов Yahoo
04.10.2017
Yahoo!
раскрыла новые подробности взлома, произошедшего в 2013 г. Как выяснилось, в
ходе атаки хакеры смогли получить доступ не к 1 млрд, а к 3 млрд аккаунтам, то есть она затронула всех без
исключения пользователей почты Yahoo! и других ее сервисов, таких как
фотохостинг Flickr.
Компания Oath в свежем отчете раскрыла масштабы хакерской атаки 2013 г. на пользователей электронной почты Yahoo!. Выяснилось, что взломщики украли втрое больше паролей, чем предполагалось, — около 3 млрд.
"Проанализировав данные при участии сторонних экспертов в области кибербезопасности, Yahoo! установила, что все аккаунты, существовавшие на августа 2013 г., были, скорее всего, затронуты хакерской атакой", — говорится в распространенном компанией сообщении. Специалисты считают, что столь масштабная атака стала возможна из-за того, что информация, полученная хакерами, была защищена устаревшим методом шифрования.
"Среди похищенных данных также обнаружились секретные вопросы и запасные почтовые ящики, что облегчило взлом сети из разных аккаунтов, принадлежащих одним и тем же пользователям", — говорится в сообщении.
От крупнейшей атаки пострадали все аккаунты Yahoo!, которые действовали в 2013 г. О краже данных миллиарда аккаунтов Yahoo! сообщила в декабре 2016 г. Перед этим в сентябре компания раскрыла данные об атаке в 2014 г., затронувшей полмиллиарда пользователей. Как тогда заверяли в Yahoo!, данные о банковских счетах и кредитных картах хакерам не достались.
В Yahoo! всю вину возложили на хакеров, действовавших по заказу неназванного государства. Власти США подозревают хакеров из России . В марте 2016 г. Министерство юстиции США предъявило обвинения в кибератаке на Yahoo! трем россиянам, двое из которых сотрудники ФСБ России.
Летом этого года телекоммуникационный гигант Verizon завершил долгое поглощение Yahoo! и объединил приобретенные активы с существующим бизнесом AOL в новом дочернем предприятии под названием Oath. Оператор заплатил за Yahoo! $4,5 млрд. Сумма сделки несколько раз корректировалась, а дата переносилась, не в последнюю очередь из-за ставшей публичной информации о масштабном взломе.
Если среди пользователей есть еще те, кто имеет аккаунт Yahoo!, то им рекомендуется на всякий случай сменить пароль, придумать новый секретный вопрос, включить двухэтапную аутентификацию и не удалять аккаунт в ближайшее время.
Подробнее: http://www.vestifinance.ru/articles/91961
Компания Oath в свежем отчете раскрыла масштабы хакерской атаки 2013 г. на пользователей электронной почты Yahoo!. Выяснилось, что взломщики украли втрое больше паролей, чем предполагалось, — около 3 млрд.
"Проанализировав данные при участии сторонних экспертов в области кибербезопасности, Yahoo! установила, что все аккаунты, существовавшие на августа 2013 г., были, скорее всего, затронуты хакерской атакой", — говорится в распространенном компанией сообщении. Специалисты считают, что столь масштабная атака стала возможна из-за того, что информация, полученная хакерами, была защищена устаревшим методом шифрования.
"Среди похищенных данных также обнаружились секретные вопросы и запасные почтовые ящики, что облегчило взлом сети из разных аккаунтов, принадлежащих одним и тем же пользователям", — говорится в сообщении.
От крупнейшей атаки пострадали все аккаунты Yahoo!, которые действовали в 2013 г. О краже данных миллиарда аккаунтов Yahoo! сообщила в декабре 2016 г. Перед этим в сентябре компания раскрыла данные об атаке в 2014 г., затронувшей полмиллиарда пользователей. Как тогда заверяли в Yahoo!, данные о банковских счетах и кредитных картах хакерам не достались.
В Yahoo! всю вину возложили на хакеров, действовавших по заказу неназванного государства. Власти США подозревают хакеров из России . В марте 2016 г. Министерство юстиции США предъявило обвинения в кибератаке на Yahoo! трем россиянам, двое из которых сотрудники ФСБ России.
Летом этого года телекоммуникационный гигант Verizon завершил долгое поглощение Yahoo! и объединил приобретенные активы с существующим бизнесом AOL в новом дочернем предприятии под названием Oath. Оператор заплатил за Yahoo! $4,5 млрд. Сумма сделки несколько раз корректировалась, а дата переносилась, не в последнюю очередь из-за ставшей публичной информации о масштабном взломе.
Если среди пользователей есть еще те, кто имеет аккаунт Yahoo!, то им рекомендуется на всякий случай сменить пароль, придумать новый секретный вопрос, включить двухэтапную аутентификацию и не удалять аккаунт в ближайшее время.
Подробнее: http://www.vestifinance.ru/articles/91961
10
августа 2017
Ассанж: Россия осознанно троллит США
Основатель
сайта WikiLeaks Джулиан Ассанж считает, что постоянный троллинг Россией властей США является намеренной политикой,
и наблюдательный полет над штаб-квартирой ЦРУ в Лэнгли по договору
"Открытое небо" был частью этой политики.
Как
передает РИА Новости, об этом
Ассанж написал в Twitter, подчеркнув, что частью троллинга являются попытки
России показать, что она стоит за многими событиями, которые раздражают
истеблишмент США.
Он
отметил разницу между насмешками и проявлениями силы. По его мнению, троллинг
нацелен на то, чтобы провоцировать реакции, а не на сдерживание. Тогда
как, по словам Ассанжа, западные страны более заинтересованы в том, чтобы
раскручивать угрозу со стороны РФ для того, чтобы повысить собственную
значимость и пополнить свои бюджеты.
В
качестве примера основатель сайта WikiLeaks привел окружение канцлера Германии
Ангелы Меркель, которое перед выборами заинтересовано в росте популярности
мнений об угрозе со стороны Москвы. А вот демократы США, по мнению Ассанжа,
раскручивают данную "угрозу", чтобы оправдаться за свое поражение на
президентских выборах в 2016 году: https://www.vesti.ru/doc.html?id=2919644
OnePlus
уличили в сборе персональных данных
ОЛЕГ
ИЛЮХИН 11.10.2017
Компанию
OnePlus обвинили в сборе огромного массива статистических данных с
Android-смартфонов. Информация, которая передавалась на удаленные серверы,
включала номера IMEI и MAC-адреса, названия мобильных сетей, серийные номера, а
также префиксы IMSI (индивидуальный номер абонента), по которым может быть
установлена личность владельца устройства.
Неправомерный
сбор данных заметил инженер Кристофер Мур, изучая входящий и исходящий
интернет-трафик со смартфона OnePlus 2. Эксперт выяснил, что его аппарат регулярно
подключался к AWS-серверу open.oneplus.net и отсылал большие объемы информации.
Данные передавались в зашифрованном виде по протоколу HTTPS.
Воспользовавшись
ключом аутентификации на своем устройстве, Мур смог расшифровать содержимое
пакетов. Как оказалось, OnePlus 2 передавал не только личные данные,
позволяющие идентифицировать пользователя, но и сведения о блокировке,
разблокировке и внезапной перезагрузке смартфона.
В
комментарии сайту Android Police представители OnePlus заявили, что компания
"надежно передает аналитику двумя разными потоками через HTTPS на сервер
Amazon". Первый поток включает статистику об использовании, позволяющая
"точнее настроить наш софт в соответствии с поведением пользователя".
Эту функцию можно отключить, зайдя в
"Настройки" -> "Дополнительно" ->
"Присоединиться к пользовательской программе". Второй поток
включает "информацию об устройстве, которую мы собираем, чтобы обеспечить
лучшую послепродажную поддержку", объяснили в OnePlus. Источник: Android Police
Сервис
Cloudflare должен защищать сайты. Но он месяцами сливал данные
пользователей в открытый доступ Среди
клиентов сервиса — Uber, 1Password и «Авито»
Meduza 24 февраля 2017
23 февраля
крупнейшая сеть доставки контента Cloudflare объявила о выявлении
серьезной уязвимости. Как оказалось, сервис, который должен защищать сайты,
передавал информацию о пользователях в открытом виде,
и ее мог получить любой, кто знал об уязвимости. По счастливой
случайности, обнаружил «дыру», которой как минимум пять месяцев,
не злоумышленник, а специалист по безопасности из Google.
«Медуза» рассказывает, почему уязвимость Cloudflare — это серьезно.
Что
такое Cloudflare?
Сервис
Cloudflare существует c 2009 года и, как говорится на сайте компании,
«заставляет интернет работать так, как он должен». По сути, Cloudfare
это посредник между сайтом и пользователем, который одновременно защищает
сервера клиентов (то есть того или иного сайта или сервиса) и ускоряет
открытие сайта для обычных посетителей.
К примеру,
владельцы небольших сервисов с помощью Cloudflare избавляются
от необходимости тратиться на сервера и на защиту
от DDoS-атак — вопрос доступа к сайтам своих клиентов Cloudflare
берет на себя и фильтрует запросы, которые похожи на атаки.
Сервис также занимается защитой всех данных, проходящих через его сеть
и гарантирует их конфиденциальность. Многие функции Cloudflare
бесплатны и доступны для владельцев небольших сайтов, но компания
работает и с очень крупными клиентами: Uber, сайт знакомств OKCupid,
сервис хранения паролей 1Password и другими, в том числе российский
сайт с объявлениями «Авито».
Cloudflare —
крупнейший подобный сервис, его услугами пользуются более пяти миллионов
различных сайтов. Он не раз защищал сайты от крупных DDoS-атак.
В чем
заключается уязвимость?
Как
выяснил специалист по сетевой безопасности Google Тэвис Орманди, при
обычном обращении к определенной странице в сети Cloudflare сервис
отдавал не только запрашиваемые данные, но и часть данных
какого-нибудь другого сервиса. Сначала ему показалось, что ошибка в его
собственном коде (Орманди работал над каким-то своим проектом), но потом
он выяснил, что это уязвимость на стороне Cloudflare — так происходило,
когда та или иная страница с точки зрения одного из механизмов
сервиса была составлена с ошибками. Причем среди данных были
и персональные данные, и сведения об авторизации пользователей,
которые работают с сервисом. В том числе Орманди удалось обнаружить
информацию с сайтов Uber и OKCupid. Полученные сведения
он уничтожил.
Так
происходило примерно один раз на три миллиона запросов, однако если учесть
количество клиентов Cloudflare, то к уязвимости нужно относиться
крайне серьезно. Тем более что если один раз найти страницу с ошибками,
через которую утекают данные, то обращаться к ней можно сколько
угодно раз — и каждый раз получать конфиденциальную информацию
из сети Cloudflare.
Ошибка
закралась в систему, которая готовит страницы для распространения через
сервис Google AMP, ускоряющий просмотр сайтов на мобильных устройствах.
Из-за уязвимости случайное количество данных попадало в открытый доступ
и их индексировали поисковые машины. Как выяснили в Cloudflare
(на подробный анализ потребовалась почти неделя), уязвимость появилась не позднее
22 сентября 2016 года — то есть пять месяцев в открытый
доступ попадали случайные порции конфиденциальных данных, в том числе
личной информации пользователей крупнейших компаний.
Среди
«утекшей» информации оказался ключ шифрования, который использовали
в Cloudflare для защиты собственных сетей.
«Это
была ошибка в штуке, которая понимает HTML. Мы распознаем изменения
веб-страниц на лету, и пропускаем через наши системы, Чтобы это
работало, страницы должны быть у нас в памяти. Оказалось, что можно
дойти до конца страницы и попасть в ту часть памяти, куда
смотреть не стоило», — объясняет один из создателей Cloudflare Джон
Грэм-Камминг.
Какие
последствия?
Достоверно
не известно, какие именно данные попали в открытый доступ,
и смог ли кто-нибудь их найти. В Cloudflare утверждают, что
никакие злоумышленники уязвимостью воспользоваться не успели, потому что
не знали о ней — хотя она и существовала почти полгода.
Компания заверяет, что в противном случае обязательно обнаружила бы
подозрительную активность хакеров.
Если
эти утверждения — правда, и первым об уязвимости действительно
узнал специалист по компьютерной безопасности из Google,
у которого не было никаких дурных мотивов, то главная проблема
утечки заключается в кэшированных интернет-поисковиками данных. Cloudflare
уже начала активную работу со всеми крупнейшими поисковыми системами
и оперативно вычищает все конфиденциальные сведения практически на глазах
(«Медузе» удалось найти в одной из кэшированных страниц Google
непубличные данные с сервиса Uber, а спустя несколько часов они
перестали быть доступны).
На github
уже собран список крупнейших сайтов, которые работали
с Cloudflare и могли быть подвержены утечке данных. Наиболее важный
из них, сервис хранения паролей 1Password, уже заявил, что данные его пользователей все время находились
в безопасности — компания использует более сложные системы защиты.
Не нанесен ущерб и пользователям российского сайта объявлений
«Авито». В списке сайтов, чьи данные все же могли попасть
в открытый доступ, есть, помимо Uber, блог-сервис Medium, торрент-трекер
The Pirate Bay, сайт 4pda.ru и многие другие. Если у вас была учетная
запись на одном из этих сайтов, лучше сменить пароль.
25 июня 2018
В Китае за гражданами начали следить дроны
в виде птиц
Власти Китая запустили в
пяти государственных провинциях специальные дроны, похожие на голубей. Они
могут летать стаями и запущены, по некоторым данным, на границе с Монголией, Казахстаном
и Россией, а также в Синьцзян-Уйгурском автономном районе, где живут
мусульмане, сообщает South China Morning Post.
Дронов в виде голубей
создали сотрудники Северо-западного политического университета в Сиане.
От обычных дронов железные
птицы отличаются тем, что могут маскироваться под уличных голубей, делая резкие
нырки в воздухе и хлопая крыльями.
Кроме того, новые
беспилотники гораздо более бесшумные и маневренные, чем дроны, которые
использовались властями разных стран до этого.
"Голуби" будут оснащены
камерами, GPS-датчиками и спутниковой связью.
Разработчики говорят, что
считают подобные устройства перспективными для использования в гражданской
авиации, однако журналисты опасаются, что власти КНР
будут использовать инновационные дроны для слежки за гражданами.
По данным представителей
СМИ, железные голуби уже совершили около двух тысяч тестовых полетов.
Ранее сообщалось, что в
нескольких китайских школах установили системы распознавания лиц, чтобы вычислять отвлекающихся подростков.
https://www.vesti.ru/doc.html?id=3031679&cid=7
Аккаунт пользователя — цифровой
отпечаток личности
/ Как ваш имидж
в социальных сетях может отразиться на вашей личной карьере и…
ЧАСТНЫЙ КОРРЕСПОНДЕНТ 27 июня 2013
Социальные
сети давно и безвозвратно превратились в универсальные базы данных,
кладезь полезной информации о личной жизни каждого пользователя. Любая запись, репост, лайк, музыкальный трек,
видео или фотография могут сказать о пользователе больше,
чем он сам о себе знает.
Не зря же уже долгое время психологи на основе данных
из соц. сетей тренируются в составлении полного портрета жителя
«всемирной паутины»….
Аналитики обращают внимание
даже на то, с помощью какого устройства вы заходите в сеть,
в каких странах отдыхаете, в какие магазины ходите. Психологический
портрет человека можно составить по тому, какие
СМИ он читает, где учится и работает.
Профиль любого пользователя
теоретически позволяет увидеть то, что напрямую скажет
о его кредитоспособности.
1. О неблагонадежности
потенциального клиента могут говорить его личные фотографии в пьяном
виде и множество снимков с различных ночных клубов.
2. Большое количество
«неблагонадежных» друзей. Возможно, любители выпить, агрессивные тролли
и ребята в кепках и спортивных штанах в реальности очень
хорошие люди, но финансовые учреждения вряд ли будут копать настолько
глубоко. Желательно также не вступать в сообщества типа
«Как обмануть банк», «Как не платить кредит».
3. Если
вы уже взяли дорогой смартфон и при этом просрочили
выплаты, постарайтесь не описывать в сети все радости
от обладания таким замечательным гаджетом. Скорее всего, банк
не упустит возможности напомнить вам о долге, запостив
соответствующее сообщение на вашей странице. И вероятнее всего,
вас сразу же занесут в «черный список».
4. Вообще ничего
не говорить о себе в социальной сети или удалить
страничку — не лучшее решение. Банк заподозрит вас в скрытности
и нежелании идти на контакт, и долго будет думать, сотрудничать
с вами или нет.
5. Если ваш социальный
статус не соответствует сумме желаемого кредита, отказ гарантирован.
Банковские учреждения гораздо лояльнее отнесутся к человеку, в личных
фото которого фигурируют личные автомобили, дорогие гаджеты, путешествия
за рубеж и прочее.
….мы, порой, рассказываем
о себе то, что в настоящей жизни нам бы никогда
не пришло в голову открывать перед посторонним человеком. …
Неприкосновенность частной
жизни в интернете отсутствует полностью. В блогах, социальных сетях
мы оставляем цифровой отпечаток, иногда даже не прикладывая
к этому особых усилий. Первое, что вы должны уяснить: если
вам есть, что скрывать, этого не должно быть в режиме
онлайн. А второе — используйте интернет для создания
собственного бренда.
1. Сделайте профессиональное
фото
Это первый и, пожалуй,
один из самых важных пунктов. Успешные люди всегда стараются
не только делать все на высшем уровне, но и выглядеть
аналогично. Поэтому, во-первых, удалите из сети все фотографии,
которые могли бы вас скомпрометировать и на которых
вы смотритесь, мягко скажем, не очень. Во-вторых, закажите фотосессию
у профессионального фотографа. В «мировой паутине» все двухмерное,
поэтому одна ваша фотография стоит больше, чем вы можете себе
представить.
2. Скромность
в интернете не украшает
Уделите внимание своим
сильным сторонам и создавайте положительный образ самого себя.
К примеру, если вы сделали отличную работу, расскажите об этом
в интернете. Используйте страничку в блоге, соцсети и других
массмедиа, чтобы продемонстрировать свою ценность и значимость.
И в этом случае, скажу я вам, скромность только навредит.
3. Пишите
в Twitter’e Верите вы или нет, но именно
Twitter — мощнейший сетевой инструмент для знакомства с людьми
из самых разных отраслей. Именно так мой коллега
из Revolverlab лично познакомился с Эльдаром Муртазиным
и договорился об интервью. То же самое было
и с Сергеем Митяевым, он же Технослав Бергамот
из gagadget.com.
4. Используйте
профессиональные медиа площадки
Зарегистрируйтесь
на профессиональной сетевой платформе и старайтесь быть
как можно активнее. Присоединяйтесь к обсуждению в группах,
задавайте грамотные вопросы и профессионально отвечайте другим
пользователям. Такой обмен информацией даст понять, что вы —
авторитет в своей области.
5. Публикуйтесь
в известных блогах
Авторитетные блоги есть
в любой отрасли. Почему бы не начать писать в один
из них? Публикации от вашего имени прибавят еще один плюс
к вашей карме.
6. Создайте свой собственный
блог
Вы можете писать
заметки на любой площадке. Даже интересная заметка в социальной сети
может привлечь к вам внимание. Пишите о своем уникальном опыте
и ваш блог найдет своих последователей. И потом с помощью
блога вы себя персонализируете так, как не сможете сделать этого
коротким обновлением статуса на Facebook.
Источник: lifehacker.ru Об
этом сообщает Рамблер. Далее: https://news.rambler.ru/internet/19790055/?utm_content=rnews&utm_medium=read_more&utm_source=copylink
In not-too-distant
future, brain hackers could steal your deepest secrets
Religious
beliefs, political leanings, and medical conditions are up for grabs.
DAN GOODIN - 2/1/2017
OAKLAND,
Calif.—In the beginning, people hacked phones. In the decades to follow,
hackers turned to computers, smartphones, Internet-connected security cameras,
and other so-called Internet of things devices. The next frontier may be your
brain, which is a lot easier to hack than most people think.
At
the Enigma security conference here on Tuesday, University of Washington
researcher Tamara Bonaci described an experiment that demonstrated how a simple
video game could be used to covertly harvest neural responses to periodically
displayed subliminal images. While her game, dubbed Flappy Whale,
measured subjects' reactions to relatively innocuous things, such as logos of
fast food restaurants and cars, she said the same setup could be used to
extract much more sensitive information, including a person's religious
beliefs, political leanings, medical conditions, and prejudices.
"Electrical
signals produced by our body might contain sensitive information about us that
we might not be willing to share with the world," Bonaci told Ars
immediately following her presentation. "On top of that, we may be giving
that information away without even being aware of it."
Flappy
Whale had what Bonaci calls a BCI, short for
"brain-connected interface." It came in the form of seven electrodes
that connected to the player's head and measured electroencephalography
signals in real time. The logos were repeatedly displayed, but only
for milliseconds at a time, a span so short that subjects weren't consciously
aware of them. By measuring the brain signals at the precise time the images
were displayed, Bonaci's team was able to glean clues about the player's thoughts
and feelings about the things that were depicted.
There's
no evidence that such brain hacking has ever been carried out in the real
world. But the researcher said it wouldn't be hard for the makers of virtual
reality headgear, body-connected fitness apps, or other types of software and
hardware to covertly mine a host of physiological responses. By repeatedly
displaying an emotionally charged image for several milliseconds at a time, the
pilfered data could reveal all kinds of insights about a person's most intimate
beliefs. Bonaci has also theorized that sensitive electric signals could be
obtained by modifying legitimate BCI equipment, such as those used by doctors.
Bonaci
said that electrical signals produced by the brain are so sensitive that they
should be classified as personally identifiable information and subject to the
same protections as names, addresses, ages, and other types of PII. She also
suggested that researchers and game developers who want to measure the
responses for legitimate reasons should develop measures to limit what's
collected instead of harvesting raw data. She said researchers and developers
should be aware of the potential for "spillage" of potentially
sensitive data inside responses that might appear to contain only mundane or
innocuous information.
"What
else is hidden in an electrical signal that's being used for a specific
purpose?" she asked the audience, which was largely made up of security
engineers and technologists. "In most cases when we measure, we don't need
the whole signal.": https://arstechnica.com/information-technology/2017/01/in-not-too-distant-future-brain-hackers-could-steal-your-deepest-secrets/
How Hackers Could Get
Inside Your Head With ‘Brain Malware’
Victoria Turk Aug 3 2016
Brain-computer
interfaces offer new applications for our brain signals—and a new vector for
security and privacy violations.
Hackers
have spyware in your mind. You're minding your business, playing a game or
scrolling through social media, and all the while they're gathering your most
private information direct from your brain signals. Your likes and dislikes.
Your political preferences. Your sexuality. Your PIN.
It's
a futuristic scenario, but not that futuristic. The idea of
securing our thoughts is
a real concern with the introduction of brain-computer
interfaces—devices that are controlled by brain signals such as EEG
(electroencephalography), and which are already used in medical scenarios and,
increasingly, in non-medical
applications such as gaming.
Researchers
at the University of Washington in Seattle say that we need to act fast to
implement a privacy and security framework to prevent our brain signals from
being used against us before the technology really takes off.
"There's
actually very little time," said electrical engineer Howard Chizeck over
Skype. "If we don't address this quickly, it'll be too late."
I
first met Chizeck and fellow engineer Tamara Bonaci when I visited the
University of Washington Biorobotics Lab to check out their work
on hacking teleoperated surgical robots. While I was there, they showed
me some other hacking research they were working on, including how they could
use a brain-computer interface (BCI), coupled with subliminal messaging in a
videogame, to extract private information about an individual.
Bonaci
showed me how it would work. She placed a BCI on my head—which looked like a
shower cap covered in electrodes—and sat me in front of a computer to
play Flappy Whale, a simple platform game based on the addictive Flappy
Bird. All I had to do was guide a flopping blue whale through the on-screen
course using the keyboard arrow keys. But as I happily played, trying to
increase my dismal top score, something unusual happened. The logos for
American banks started appearing: Chase, Citibank, Wells Fargo—each flickering
in the top-right of the screen for just milliseconds before disappearing again.
Blink and you'd miss them.
The
idea is simple: Hackers could insert images like these into a dodgy game or app
and record your brain's unintentional response to them through the BCI, perhaps
gaining insight into which brands you're familiar with—in this case, say, which
bank you bank with—or which images you have a strong reaction to.
Bonaci's
team have several different Flappy Whale demos, also using
logos from local coffee houses and fast food chains, for instance. You might
not care who knows your weak spot for Kentucky Fried Chicken, but you can see
where it's going: Imagine if these "subliminal" images showed
politicians, or religious icons, or sexual images of men and women. Personal
information gleaned this way could potentially be used for embarrassment,
coercion, or manipulation.
"Broadly
speaking, the problem with brain-computer interfaces is that, with most of the
devices these days, when you're picking up electric signals to control an
application… the application is not only getting access to the useful piece of
EEG needed to control that app; it's also getting access to the whole
EEG," explained Bonaci. "And that whole EEG signal contains rich
information about us as persons."
And
it's not just stereotypical black hat hackers who could take advantage.
"You could see police misusing it, or governments—if you show clear
evidence of supporting the opposition or being involved in something deemed
illegal," suggested Chizeck. "This is kind of like a remote lie
detector; a thought detector."
Of
course, it's not as simple as "mind reading." We don't understand the
brain well enough to match signals like this with straightforward meaning. But
with careful engineering, Bonaci said that preliminary findings showed it was
possible to pick up on people's preferences this way (their experiments are still
ongoing).
"It's
been known in neuroscience for a while now that if a person has a strong
emotional response to one of the presented stimuli, then on
average 300 milliseconds after they saw a stimulus there is going
to be a positive peak hidden within their EEG signal," she said.
The
catch: You can't tell what the emotional response was, such as whether it was
positive or negative. "But with smartly placed stimuli, you could show
people different combinations and play the '20 Questions' game, in a way,"
said Bonaci.
When
I played the Flappy Whale game, the same logos appeared over
and over again, which would provide more data about a subject's response to
each image and allow the researchers to better discern any patterns.
"One
of the cool things is that when you see something you expect, or you see
something you don't expect, there's a response—a slightly different
response," said Chizeck. "So if you have a fast enough computer
connection and you can track those things, then over time you learn a lot about
a person."
How
likely is it that someone would use a BCI as an attack vector? Chizeck and
Bonaci think that the BCI tech itself could easily take off very quickly,
especially based on the recent sudden adoption of other technologies when
incorporated into popular applications—think augmented reality being flung into
the mainstream by Pokémon Go.
BCIs
have already been touted in gaming, either as a novel controller or to add new
functionality such as monitoring stress levels. It's clear that the ability to
"read" someone's brain signals could also be used for other consumer
applications: Chizeck painted a future where you could watch a horror film and
see it change in response to your brain signals, like a thought-activated
choose-your-own-adventure story. Or imagine porn that changes according to what
gets your mind racing.
"The
problem is, even if someone puts out an application with the best of intentions
and there's nothing nefarious about it, someone else can then come and modify
it," said Chizeck.
In
the Flappy Whale scenario, the researchers imagine that a BCI
user might download a game from an app store without realising it has these
kind of subliminal messages in it; it'd be like "brain malware."
Chizeck pointed out that many fake, malware-laden Pokémon-themed
apps appeared in the app store around the real
game's release.
But
hacking aside, Bonaci and Chizeck argued that the biggest misuse of BCI tech
could in fact be advertising, which could pose a threat to users' privacy as
opposed to their security.
"Once
you put electrodes on people's heads, it's feasible"
You
could see BCIs as the ultimate in targeting ads: a direct line to consumers'
brains. If you wore a BCI while browsing the web or playing a game, advertisers
could potentially serve ads based on your response to items you see. Respond
well to that picture of a burger? Here's a McDonald's promotion.
The
researchers think there needs to be some kind of privacy policy in apps that
use BCIs to ensure people know how their EEG data could be used.
"We
usually know when we're giving up our privacy, although that's certainly become
less true with online behaviour," said Chizeck. "But this provides an
opportunity for someone to gather information from you without you knowing
about it at all. When you're entering something on a web form, you can at least
think for a second, 'Do I want to type this?'"
Brain
signals, on the other hand, are involuntary; they're part of our
"wetware."
The
reason the University of Washington team is looking into potential privacy and
security issues now is to catch any problems before the tech becomes mainstream
(if indeed it ever does). In a 2014 paper, they argue that such issues
"may be viewed as an attack on human rights to privacy and dignity."
They point out that, unlike medical data, there are few legal protections for
data generated by BCIs.
One
obvious way to help control how BCI data is used would rely on policy rather
than technology. Chizeck and Bonaci argue that lawyers, ethicists, and
engineers need to work together to decide what it's acceptable to do with this
kind of data. Something like an app store certification could then inform
consumers as to which apps abide by these standards.
"There
has to be an incentive for all app developers, programmers, manufacturers to do
it," said Bonaci. "Otherwise why would they change anything about
what they're doing right now?"
The
Washington team has also suggested a more technical solution, which would
effectively "filter" signals so that apps could only access the
specific data they require. In their paper, they call this a "BCI
Anonymizer" and compare it to smartphone apps having limited access to
personal information stored on your phone. "Unintended information leakage
is prevented by never transmitting and never storing raw neural signals and any
signal components that are not explicitly needed for the purpose of BCI communication
and control," they write.
Chizeck
said a student in the lab was currently running more tests to characterise
further the type and detail of information that can be gleaned through BCIs,
and to try a method of filtering this to see if it's possible to block more
sensitive data from leaking out.
By
doing this work now, they hope to nip future privacy and security concerns in
the bud before most people have ever come into contact with a BCI.
"It's
technically becoming feasible; once you put electrodes on people's heads, it's
feasible," said Chizeck. "The question is, do we want to regulate it,
can we regulate it, and how?":
Nav komentāru:
Ierakstīt komentāru