Journée de la protection des données personnelles, Minsk, 2019. Organisateur: Human Rights Organisation Human Constanta.Présentateur (ci-après - Q): - Arthur Khachuyan est engagé ... Peut-on dire «du côté obscur» dans le cadre de notre conférence?
Arthur Khachuyan (ci-après - AH): - Du côté des entreprises - oui.
Q: - Il recueille vos données, les revend aux sociétés.
AH: - En fait, non ...
Q: - Et il vous dira simplement comment les entreprises peuvent utiliser vos données, ce qui arrive aux données lorsqu'elles sont en ligne. Il ne dira probablement pas quoi faire à ce sujet. Nous réfléchirons plus loin ...
AH: - Je vais dire, je vais dire. En fait, je ne le dirai pas longtemps, mais lors de l'événement précédent, j'ai été présenté à une personne qui avait même bloqué le compte du chien sur Facebook.
Bonjour à tous! Je m'appelle Arthur. Je fais vraiment le traitement et la collecte de données. Bien sûr, je ne vends à personne des données personnelles dans le domaine public. Je plaisante. Mon domaine d'activité est l'extraction de connaissances à partir de données détenues dans des sources ouvertes. Quand quelque chose n'est légalement pas des données personnelles, mais que des connaissances peuvent en être extraites et les rendre aussi importantes que si ces données étaient obtenues à partir de données personnelles. Je ne dirai rien de terrible. Ici, cependant, sur la Russie, mais sur la Biélorussie, j'ai aussi des chiffres.
Quelle est l'étendue réelle?
Avant-hier, j'étais à Moscou dans l'un des principaux partis au pouvoir (je ne dirai pas lequel) et nous avons discuté de l'introduction d'un projet. Et cela signifie que le directeur informatique de ce parti se lève et dit: "Vous avez dit, - des chiffres, etc.", vous savez, le 2e département du FSB a préparé une note pour moi qui dit qu'il y a 24 millions de Russes sur les réseaux sociaux. Et vous dites 120 avec quelque chose. En fait, plus de trente [millions] d'entre nous n'utilisent pas Internet. » Je dis: "Oui? Eh bien, d'accord. "
Les gens ne réalisent pas vraiment l'échelle. Ce ne sont pas nécessairement des organismes d'État qui, au final, ne comprennent probablement pas le fonctionnement d'Internet, mais en fait ma mère, par exemple. Elle commençait tout juste à comprendre que la carte de Crossroads lui avait été donnée pour une raison, non pas pour les misérables remises que ce Crossroads offrait, mais parce que ses données étaient ensuite utilisées dans OFD, achats, modèles de prévision, etc.
En général, il y a tellement d'habitants et il y a des informations sur tant de gens dans des sources ouvertes. Seul le nom de famille est connu de quelqu'un, tout est connu de quelqu'un, y compris du porno qu'il aime (je plaisante toujours à ce sujet, mais c'est vraiment); et toutes sortes d'informations: à quelle fréquence les gens voyagent, avec qui ils se rencontrent, quels achats ils font, avec qui ils vivent, comment ils se déplacent - il y a beaucoup d'informations que les mauvais, pas très mauvais et les bons peuvent utiliser (je ne sais même pas quelle échelle proposer maintenant, mais néanmoins).
Il existe des réseaux sociaux, qui, bien sûr, sont un gigantesque ensemble de données ouvertes, jouant sur les faiblesses des personnes qui semblent crier sur la vie privée. Mais en fait, si vous imaginez un calendrier pour les 5 dernières années, le niveau d'hystérie sur les données personnelles augmente, mais en même temps le nombre de comptes fermés dans les réseaux sociaux diminue d'année en année. Il n'est peut-être pas tout à fait juste d'en tirer des conclusions, mais: la première chose qui empêche toute entreprise qui collecte des données est un compte stupidement fermé sur les réseaux sociaux, car l'opinion d'une personne à l'intérieur de son compte fermé, si elle n'a pas 100 000 abonnés, elle en fait pas très intéressant pour une sorte d'analyse; mais il y a de tels cas.
D'où proviennent les informations nous concernant?
Vos anciens camarades de classe vous ont-ils déjà frappé avec qui vous n'avez pas parlé depuis longtemps, puis ce compte a disparu? Il y en a un parmi les méchants qui récupèrent les téléphones: ils analysent les amis (et la liste d'amis est presque toujours ouverte, même si une personne ferme son profil, ou la liste d'amis peut être restaurée "dans la direction opposée" en collectant tous les autres utilisateurs), ils prennent certains inactifs votre ami, faites une copie de sa page, frappez vos amis, vous l'ajoutez et après deux secondes le compte est supprimé; mais en même temps, une copie de votre page reste. Donc, en fait, les gars l'ont fait récemment lorsque 68 millions de profils de Facebook se sont envolés quelque part - ils ont ajouté aux amis de tout le monde de la même manière, copié ces informations, même écrit des messages personnels à quelqu'un, fait quelque chose ...
Les réseaux sociaux sont une énorme source d'informations, dans près de 80% des cas, les informations ne sont pas prises directement sur une personne en particulier, mais de l'environnement immédiat ce sont toutes sortes de connaissances indirectes, des signes (nous l'appelons l'algorithme «Evil Ex»), parce que l'un des miens un ami m'a poussé à cette idée absolument géniale. Elle n'a jamais regardé son petit ami - elle a toujours regardé ses cinq amis et a toujours su où il était. C'est en fait l'occasion d'écrire un article scientifique complet.
Il existe un grand nombre de robots qui font également toutes sortes de bonnes et de mauvaises choses. Il y a des personnes inoffensives qui vous abonnent bêtement, afin que vous puissiez faire de la publicité pour les cosmétiques plus tard; mais il existe de sérieuses grilles qui tentent d'imposer leurs opinions, surtout avant les élections. Je ne sais pas comment en Biélorussie, mais à Moscou, avant les élections municipales, pour une raison quelconque, j'avais un grand nombre d'amis obscurs, et chacun d'eux fait campagne pour un candidat différent, c'est-à-dire qu'ils n'analysent absolument pas le contenu que je consomme - ils essaient juste d'imposer une réforme étrange, compte tenu du fait que je ne suis pas du tout inscrit à Moscou et que je n'irai pas voter.
Poubelle - une source d'informations dangereuses
De plus, il y a un «Thor», qui n'est pas sous-estimé - tout le monde pense que vous devez y aller uniquement pour acheter de la drogue ou découvrir comment les armes sont assemblées. Mais en fait, il y a tellement de sources de données. Ils sont presque tous illégaux (comme presque légaux), car quelqu'un pourrait pirater la base d'un transporteur aérien sur un site de pirate informatique et les y jeter. Vous ne pouvez pas utiliser légalement ces données, mais si vous en tirez des connaissances (comme dans un tribunal américain), par exemple, vous ne pouvez pas utiliser l'enregistrement de conversation audio réalisé sans mandat, mais la connaissance que vous avez obtenue de cet enregistrement audio, vous vous n'oublierez plus - et ici c'est à peu près la même chose.
C'est en fait une chose très dangereuse, donc je plaisante toujours, mais c'est vrai. Je commande toujours de la nourriture dans une maison voisine, car le «Delivery Club» est très souvent cassé, et il a vraiment de tels problèmes. Et récemment, j'ai été très surpris: j'ai commandé de la nourriture, et sur la boîte que j'ai apportée à la poubelle, un autocollant a été collé sur lequel est écrit «Arthur Khachuyan», numéro de téléphone, adresse de l'appartement, code de l'interphone et e-mail. En fait, nous avons même essayé de négocier avec la municipalité de Moscou afin de donner accès aux ordures: en général, de venir à l'entrepôt de déchets et d'essayer, uniquement pour le plaisir, d'essayer de trouver une mention de ces données personnelles - de faire quelque chose comme une mini-étude. Mais ils nous ont refusé quand ils ont découvert que nous voulions venir avec les employés de Roskomnadzor.
Mais c'est vraiment le cas. Avez-vous regardé le génial film Hackers? Ils ont fouillé dans la poubelle pour trouver une partie du virus. C'est aussi une chose populaire - lorsque les gens ont lancé quelque chose dans des sources ouvertes, ils l'ont oublié. Ce pourrait être un site d'école où ils ont écrit une dissertation sur la supériorité de la race blanche, puis ils sont allés à la Douma d'État et l'ont oublié. De tels cas l'étaient en fait.
À quoi ressemble la Russie unie?
Si vous allez au «sujet» sur le site LifeNews ... Il y a deux ans, les étudiants ont fait une étude pour moi: ils ont emmené tous les participants aux primaires de «Russie unie» (ils ont tous officiellement soumis leurs comptes de médias sociaux au Comité exécutif central panrusse), ils ont vu qu'ils aimaient généralement - porn puériles, poubelles, publicités obscures de femmes adultes étranges ... En général, les gens semblaient l'avoir oublié.
Ensuite, ils ont écrit une lettre déclarant que vingt personnes se sont fait voler leurs comptes. Mais leurs comptes ont été volés il y a deux semaines, il y a 8 mois, ils les ont déposés dans une commission électorale, et les mêmes étaient il y a deux ans ... En général, vous savez, non? Il y a vraiment une énorme quantité d'informations que vous pouvez toujours utiliser même à des fins de recherche.
Minioptique: hier, la nouvelle a vu que Roskomnadzor avait bloqué la recherche des étudiants de la «tour» il y a deux ans. Peut-être que quelqu'un a vu cette nouvelle, non? Ce sont mes étudiants qui ont fait la recherche: ils de la Torah, du site Web Hydra où les médicaments sont vendus (je suis désolé - de Rampa), ont collecté des informations sur combien, quoi, dans quelle région de Russie cela coûte, et ont fait la recherche. Il a été appelé "Panier de fête des consommateurs". C'est, bien sûr, une chose amusante, mais du point de vue de l'analyse des données, en fait, l'ensemble de données est intéressant - puis pendant deux autres années, je suis allé à divers «hackathons». C'est la vraie chose - il y a beaucoup de choses intéressantes là-bas.
Comment Get Contact «a acheté des âmes» d'utilisateurs curieux et pourquoi vous devez lire l'accord d'utilisation
Habituellement, lorsque vous demandez à une personne de quel type de fuite de données vous avez peur (surtout si une personne a une webcam scellée), il définit toujours la structure de priorité comme celle-ci: les pirates, l'État et les sociétés.
Ceci, bien sûr, est une blague. Mais en fait, les analystes de données actifs, toutes sortes de chercheurs de données ont fait beaucoup plus que, me semble-t-il, de terribles Russes, Américains ou d'autres pirates informatiques (remplacez-les en fonction de vos convictions politiques). En général, tout le monde a généralement peur de cela - avez-vous tous une webcam à coup sûr? Vous ne pouvez même pas lever la main.
Mais si les pirates informatiques font quelque chose d'illégal et que l'État a besoin d'une autorisation judiciaire pour recevoir des données, alors les derniers gars [sociétés] n'ont besoin de rien du tout, car ils ont une telle chose qu'un accord d'utilisation que personne ne lit jamais. Et j'espère vraiment que de tels événements inciteront néanmoins les gens à lire les accords. Je ne sais pas comment en Biélorussie, mais à Moscou au milieu de cette année, la vague de l'application GetContact (vous étiez probablement au courant) quand une application ne semblait pas claire d'où il est dit: donnez à l'application accès à tous vos contacts, et nous vous montrerons à quel point vous étiez drôle avec quelqu'un.
Les médias ne sont pas venus, mais beaucoup d'employés de haut rang se sont plaints à moi qu'ils ont tous commencé à les appeler constamment. Apparemment, les administrateurs ont décidé de trouver le téléphone de Shoigu dans cette base de données, quelqu'un d'autre ... Volochkova ... Une chose inoffensive. Mais ceux qui lisent le contrat de licence GetContact le disent: le spam en quantités illimitées à des moments illimités, les ventes de vos données de manière incontrôlable à des tiers, sans limitation de droits, délai de prescription et généralement tout ce qui est possible. Et ce n'est pas vraiment une histoire si rare. Voici Facebook pour moi, pendant que j'y étais, 15 fois par jour je montrais des notifications: "Mais synchronisez vos contacts, et je vous retrouverai tous vos amis que vous avez!"
Les entreprises s'en moquent. FZ 152 et GDPR
Mais en réalité, les priorités vont dans le sens opposé, car les sociétés sont protégées par le droit privé et donc dans presque tous les cas il est impossible de prouver que ce n'est pas juste. Et étant donné qu'il est gros, effrayant et très cher, c'est presque impossible. Et si vous êtes toujours en Russie, avec une législation obsolète, tout est en quelque sorte complètement triste.
Savez-vous en quoi le droit russe (et il est pratiquement biélorusse) diffère, par exemple, du RGPD? La 152e loi fédérale russe protège les données (il s'agit d'une relique du passé soviétique) - un document qui protège les données contre les fuites quelque part. Et le RGPD protège les droits des utilisateurs - le droit de perdre certaines libertés, privilèges ou autre chose, car leurs données vont couler quelque part (ils ont entré un tel concept directement dans "date"). Et nous avons tout ce qu'ils peuvent vous imputer - une amende pour le fait que vous ne disposez pas d'un Open-Excel certifié pour le traitement des données personnelles. J'espère qu'un jour cela changera, mais je pense que ce ne sera pas le cas dans un avenir proche.
Quelles sont les véritables options de ciblage aujourd'hui?
La première histoire, probablement effrayante, à laquelle tout le monde pensait constamment, est la lecture de messages privés. Il y a sûrement une personne parmi vous qui a déjà dit quelque chose à haute voix et a ensuite reçu une publicité ciblée. Oui, y en avait-il? Levez vos mains.
Je ne crois vraiment pas à l'histoire que le navigateur Yandex conditionnel reconnaît le son direct dans le flux pour tous les utilisateurs, car ceux qui sont un peu confondus avec la reconnaissance vocale, ils comprennent que: premièrement, le centre de données Yandex "Cinq fois plus devraient l'être; mais plus important encore, le coût d'attirer une telle personne vaudrait beaucoup d'argent (afin de reconnaître l'audio dans le flux et de comprendre de quoi la personne parle). Mais! En fait, il existe des algorithmes qui vous marquent pour certains mots clés, afin de faire ensuite une sorte de communication publicitaire.
Il y avait beaucoup de telles études, et j'ai nettoyé les comptes 100 fois, écrit quelque chose à quelqu'un dans des messages, puis soudainement reçu une publicité qui ne semblait avoir rien à voir avec ça. Il y a en fait deux conclusions. Contre une telle histoire - on pense qu'une personne tombe simplement dans une sorte d'échantillon statistique; disons que vous êtes un homme de 25 ans qui, à ce moment-là, devait suivre des cours d'anglais au moment même où vous écriviez à quelqu'un. Au moins Facebook le dit toujours devant les tribunaux: qu'il existe un certain modèle de comportement que nous ne vous montrerons pas, qui a été construit sur des données que nous ne vous montrerons pas, nous avons des études internes que nous ne vous montrerons pas exactement ( parce que tout est un secret commercial); en général, vous tombiez dans un certain échantillon statistique, nous vous l'avons donc montré.
Comment Facebook a effrayé la confidentialité des utilisateurs
Malheureusement, il est généralement impossible de prouver si vous n'avez pas de personne au sein de l'entreprise qui confirme d'une manière ou d'une autre ces actions. Mais en droit américain, dans ce cas, l'accord de non-divulgation de cet employé est supérieur à son désir de vous aider, donc personne ne le fera. Toujours intéressant - il y a environ un an ou un an et demi - une tendance a commencé à se développer en Amérique, lorsque les gens ont mis une extension de navigateur pour crypter les messages Facebook: vous écrivez quelque chose à une personne, il la crypte avec une clé de l'appareil et l'envoie à la poubelle accès libre.
Facebook poursuit cette entreprise depuis un an et demi et on ne sait pas sur quels motifs (parce que je ne suis pas bon en droit américain), les a forcés à supprimer cette application et ont ensuite modifié le contrat d'utilisation: si vous regardez, il existe une telle clause que vous ne pouvez pas envoyer de messages sous forme cryptée - c'est en quelque sorte délicat décrit ici, vous ne pouvez pas utiliser d'algorithmes cryptographiques pour modifier les messages - eh bien, il y en a un. Autrement dit, ils ont dit: soit vous utilisez notre plateforme, vous écrivez dans le domaine public, soit vous n'écrivez pas. Et à partir de là, la question se pose: pourquoi ont-ils généralement besoin de messages personnels?
Messages privés - la source d'informations 100% fiables
C'est une chose très simple. Tous ceux qui analysent l'empreinte numérique, l'activité humaine, essaient d'utiliser ces données pour le marketing ou autre chose - ils ont une métrique telle que la fiabilité. Autrement dit, une certaine image d'une personne - vous comprenez parfaitement, ce n'est pas une personne elle-même - cette image est toujours un peu plus réussie, un peu meilleure. Les messages privés sont de véritables connaissances qui peuvent être obtenues sur une personne, ils sont presque toujours fiables à 100%. Eh bien, parce que rarement quelqu'un écrit quelque chose à quelqu'un dans des messages privés, triche, et tout cela est vérifié très facilement - en conséquence, selon d'autres messages (vous comprenez de quoi je parle). L'essentiel est que les connaissances extraites de cette manière, elles sont presque fiables à 100%, donc tout le monde essaie toujours de les obtenir.
Néanmoins, c'est tout, encore une fois, une histoire prouvable très difficile. Et ceux qui croient que le Vkontakte conditionnel a un tel accès par les forces de l'ordre pour les communications personnelles n'est pas tout à fait vrai. Si vous regardez simplement l'historique des demandes de divulgation d'informations par les tribunaux - comment Vkontakte combat très habilement (dans ce cas, Mail.ru) ces demandes.
Ils ont toujours l'argument principal: conformément à la loi, les services chargés de l'application des lois doivent expliquer pourquoi l'accès aux messages privés est nécessaire. En règle générale, s'il s'agit d'un meurtre, l'enquêteur dit toujours que la personne a probablement dit où il avait caché l'arme (dans des messages personnels).
Mais nous comprenons tous qu'aucun criminel sensé n'écrira jamais à ses complices à Vkontakte pour savoir où il a caché une arme à feu. Mais c'est l'une des options courantes pour ce que les responsables rapportent.
Et voici un autre exemple aussi terrible (on m'a demandé aujourd'hui de donner des exemples terribles) - à propos de la Russie (j'espère que cela ne se produira pas en Biélorussie): selon la loi, l'enquêteur doit avoir suffisamment de raisons pour que l'opérateur divulgue ces informations. Naturellement, ces paramètres fiables ne sont décrits nulle part (quoi, sous quelle forme ils devraient être), mais maintenant il y a de plus en plus de précédents en Russie quand une telle base apparaît s'il existe un certain modèle qui a prédit un certain, bon ou mauvais comportement .Autrement dit, personne ne peut être emprisonné ici (et c'est bien) parce que vous êtes tombé dans un certain échantillon statistique de tueurs de race pure - et c'est bien parce que cela viole la présomption d'innocence; mais il existe des précédents lorsque les résultats de ces prévisions ont été utilisés pour obtenir l'autorisation judiciaire d'obtenir des données. Pas seulement en Russie, soit dit en passant. En Amérique aussi, il y a une telle chose. Là-bas, "Palantir" se dispute depuis longtemps avec tout le monde aussi, ils utilisent de telles choses. Histoire effrayante.
Ceci est ma recherche. Nous l'avons fait: nous nous sommes promenés autour de Peter, dans des endroits avec des points verts, nous avons écrit des points clés à des amis à partir de comptes «propres» - tels que «voulez-vous que je bois du café», «où acheter de la lessive?» Et ainsi de suite. Et puis, respectivement, ont reçu de la publicité géo-liée. De quelle manière magique ... Ou comme ils l'ont dit: «Coïncidence? Je ne pense pas! "Ce sont des messages privés de Vkontakte. Pardonnez-moi Mail.ru, mais ça l'est. N'importe qui peut répéter une expérience similaire.Soit dit en passant, lors de la rédaction d'une déclaration de soutien à cela, Mail a déclaré qu'il y avait des points Wi-Fi là où votre adresse mac a été capturée. Il y en a un aussi.Méthodes d'obtention et options communes pour "drainer" les données personnelles
L'histoire suivante est l'extraction de connaissances supplémentaires, dont j'ai réellement touché un morceau. En fait, un profil complet d'une personne dans les réseaux sociaux porte réellement 15 à 20% des connaissances réelles que l'opérateur de données stocke à son sujet. Le reste de l'histoire vient de choses très intéressantes. Pourquoi pensez-vous que Google développe de nombreuses bibliothèques pour la vision par ordinateur? Ils ont notamment été parmi les premiers à développer des bibliothèques pour analyser et catégoriser des objets, en arrière-plan, au premier plan, peu importe où. Parce que c'est une énorme source d'informations supplémentaires sur l'appartement d'une personne, sa voiture, son lieu de résidence, ses produits de luxe ...
Il y avait un tas de bourrage de «hacker» lorsque les réseaux neuronaux formés de Google ont fusionné (je ne sais pas de qui il s'agissait, mais néanmoins). Il y avait beaucoup de choses intéressantes sur la taille des seins, la taille - que seules les personnes n'ont pas essayé de découvrir sur d'autres personnes sur la base d'une analyse photo. Parce que quand une personne prend une photo, elle ne pense pas toujours au nombre de choses intéressantes que vous pouvez apprendre d'elle? Et combien de passeports de nouveau-nés sont déposés en Russie? ... Ou: "Hourra, mon bébé a un visa!" C'est généralement une douleur de la société moderne.Un tel sujet (je vais partager les faits avec vous aujourd'hui): à Moscou, le drain le plus fréquent de données personnelles est le logement et les services communaux, quand une liste de débiteurs est accrochée à la porte, et ces débiteurs intègrent alors une action en justice parce que leurs données personnelles étaient accessibles au public sans eux autorisations. Soudain, cela vous arrivera ... L'essentiel, c'est que lorsqu'une personne fait quelque chose, elle ne sait pas ce qu'il y avait sur cette photo qui n'était pas là. Il y a maintenant beaucoup de numéros de voiture.Nous avons en quelque sorte mené une étude - essayant de comprendre combien de personnes avec des photos ouvertes de voitures (ils ont, respectivement, des infractions, etc.) - cela, malheureusement, ne pouvait être fait que sur les bases de la police de la circulation fusionnées, où il n'y a qu'un nombre (pas informations très fiables), mais c'était aussi intéressant.Votre prochaine publicité dépend de la façon dont vous avez "consommé" la précédente.
Ceci est la première histoire. La deuxième histoire concerne les comportements, le contenu que les gens consomment, car l'une des mesures les plus importantes que les réseaux sociaux essaient de construire à votre sujet est la façon dont vous interagissez avec la publicité. Peu importe à quel point les algorithmes sont précis et «impressionnants», peu importe à quel point l'intelligence artificielle et tout le reste fonctionnent bien, mais la vraie priorité d'un réseau social est toujours de gagner de l'argent. Par conséquent, si le «Coca-Cola» conditionnel vient et dit - «Je veux que tous les habitants de la Biélorussie voient mon message» - ils le verront, indépendamment de ce que les algorithmes pensent de cette personne, comment le cibler là-bas. Vous avez probablement reçu de la publicité, en plus de super-super-ciblés, des bêtises complètement indépendantes. Parce que beaucoup d'argent a été payé pour ces bêtises.Mais l'une des principales mesures consiste à comprendre le type de contenu avec lequel vous interagissez le mieux, à savoir comment vous y réagissez afin de vous montrer une histoire publicitaire similaire. Et en conséquence, il s'agit d'une mesure de la façon dont vous interagissez avec la publicité: qui l'interdit, qui ne le fait pas, comment une personne clique, qu'elle ne lit que les titres ou tombe complètement dans le matériel; et puis sur la base de cela, continuez à vous garder dans ce, comme on l'appelle maintenant, "bulle de filtre", afin que vous continuiez à interagir avec ce contenu.
Si soudainement vous trouvez cela intéressant, vous essayez pendant longtemps, pendant une semaine, peut-être un mois, d'interdire simplement les annonces des réseaux sociaux de suite: on vous montre une sorte d'annonce - vous la fermez. Si vous l'analysez et l'appliquez au graphique, il y aura une histoire intéressante: si vous interdisez la publicité pendant une semaine, la semaine prochaine, elle vous montrera dans une version améliorée et généralement de différentes catégories; c'est-à-dire que, par convention, vous aimez les chiens et vous voyez des publicités avec des chiens - vous avez banni tous les chiens, puis ils commenceront à vous montrer toutes sortes de bêtises polyvalentes à partir de différentes options afin d'essayer de comprendre ce dont vous avez besoin.Et puis, à la fin, ils cracheront, vous marqueront comme quelqu'un qui n'interagit pas avec la publicité, vous mettent une croix conditionnelle et à ce moment-là, ils commenceront à vous montrer des annonces de marques exceptionnellement riches. Autrement dit, à ce moment-là, vous ne verrez des publicités que pour Coca-Cola, Kit-Kit, Unilever et toutes les personnes qui «grattent» un énorme butin, car vous devez liquider les vues. Au cours du mois, menez une expérience: interdisez toutes les publicités pendant une ou deux semaines, puis vous voyez tout de suite, et interdisez-au final, vous ne verrez que de la publicité, comme cela se révèle plus tard (et les agences de publicité disent), seuls les clients qui paient pour la visualisation car il n'est pas possible de comprendre comment vous interagissez avec cette annonce.Le porno est souvent regardé par ceux qui ont tendance à plonger profondément dans le contenu
En conséquence, voici une histoire sur toutes sortes de suivi des comportements. Mon exemple est tellement intéressant - les visiteurs d'un site Web d'État. Ce qui est drôle, c'est que plus la profondeur de visionnage est grande, plus ces personnes préfèrent regarder du porno plutôt que des relations traditionnelles. "Portée" dont je parle tout le temps sur ce sujet, mais j'ai en fait de très bonnes relations avec "Pornhub", et c'est toujours une recherche très intéressante, car c'est un sujet qui semble interdit, mais ça en dit long sur une personne . Et les points suivants qui suivent à propos du retour du trafic ... On se souvient encore de "Pornohub"!Qu'est-ce qui est considéré comme des données personnelles et est-il possible de déverrouiller l'iPhone avec un modèle de visage 3D?
Mon préféré est de contourner la loi sur les données personnelles. Si vous lisez la documentation technique du même Facebook qui a fourni certains documents internes (par exemple, au tribunal), vous n'y trouverez aucune mention de reconnaissance faciale ou d'analyse vocale. Il y aura des formulations très complexes qu'aucun avocat qualifié ne trouvera dans la loi. Cela fonctionne en Russie à peu près de la même manière - je vais vous montrer une telle chose maintenant.
Alors que voyez-vous ici? Toute personne normale dira cette personne. À propos, c'est Sasha Grey, à mon avis. Et légalement, c'est une matrice de certains points tridimensionnels, dont il y a 300 mille pièces. Pour le meilleur ou pour le pire, elles ne sont pas considérées comme des données personnelles par la loi. En général, l'ILV russe ne considère pas une photographie comme des données personnelles - il considère les données personnelles s'il y a quelque chose d'autre à proximité (par exemple, nom ou numéro de téléphone), et cette photographie en soi n'est rien du tout. Dès que la loi sur la biométrie a été introduite et que les données biométriques ont été assimilées aux données personnelles (donc, très grossièrement), tout le monde a immédiatement commencé à dire: ce ne sont pas des données biométriques, c'est un tableau de points! Surtout si vous prenez la transformée de Fourier directe ou inverse de ce tableau de points, c'est un peu comme désanonymiser une personne, vous ne pouvez pas de cette transformation, mais vous pouvez l'identifier.En théorie, cette chose ne viole pas la loi.J'ai également fait une autre étude: il s'agit d'un algorithme qui construit une reconstruction faciale en trois dimensions à partir de sources ouvertes - nous prenons un compte sur Instagram puis nous pouvons imprimer le visage sur une imprimante 3D. Qui, soit dit en passant, est intéressé, j'ai un lien dans le domaine public; si tout à coup quelqu'un veut débloquer l'iPhone de quelqu'un ... La blague est que l'iPhone ne peut pas être déverrouillé, la qualité y est réduite.
Le profil fermé est un plus pour la sécurité
C'est la première chose, et la seconde ... J'ai déjà traité du fait que les informations proviennent principalement de l'environnement de l'utilisateur. J'ai peint cette image à la 17e année: l'utilisateur moyen des réseaux sociaux russes est à l'intérieur, il a en moyenne 200 à 300 amis, ses amis sont amis et ses amis sont amis d'amis.
Merci aux réseaux sociaux d'avoir introduit les algorithmes des e-cassettes «intelligentes», des cassettes intégrales censées augmenter la probabilité de votre rencontre avec un contenu intéressant. Il s'agit du nombre de personnes qui peuvent voir le contenu que vous produisez à tout moment aléatoire, même si votre compte est limité uniquement aux niveaux de confidentialité supérieurs (uniquement pour les amis d'amis, etc.). Ce sont des amis d'amis:
Si quelqu'un pense que lorsqu'il choisit de voir «amis d'amis» dans «Mes messages» en VK, alors trois poignées de main représentent environ 800 000 personnes, ce qui en principe n'est pas si petit, mais dépend de votre contenu. Peut-être que vous faites des streams indécents, et tous ces amis d'amis peuvent interagir avec ce contenu. L'un d'eux peut republier quelque chose quelque part, tous les gens ont une bande similaire, qui est en fait très probablement annulée, car ce n'est pas une chose très hospitalière. Par conséquent, à tout moment, le contenu peut arriver quelque part.Cette année-là, VK a lancé des profils encore super fermés, mais jusqu'à présent, un très petit nombre de personnes en ont profité (je ne dirai pas quoi, mais petit!). Peut-être qu'un jour les gens penseront à cela - j'espère vraiment sincèrement. Toutes les recherches visent constamment à aider les gens à comprendre l'ampleur des problèmes. Parce que, jusqu'à ce que quelqu'un touche spécifiquement à des choses terribles, il n'y pensera jamais. Continuons.Les autorités de l'État ne savent pas ce que sont les données personnelles et ne sont pas pressées de donner une définition
Tout spécialiste du droit des données personnelles dit toujours ceci: vous n'avez jamais besoin de combiner différentes sources de données, car ici vous avez des e-mails (ce ne sont que des données personnelles avec quelques identifiants anonymes), voici votre nom ... Si c'est tout combiner, il semble qu'ils deviendront des données personnelles. En général, il serait juste d'aborder ce sujet, mais je pense que vous y êtes déjà plongé et que vous savez peut-être comment fonctionne la loi.
En fait, personne ne sait ce que sont les données personnelles. Concept important! Quand je viens aux agences gouvernementales, je dis: "Une bouteille de cognac à quelqu'un qui dit ce que sont les données personnelles." Et personne ne peut le dire. Pourquoi?
Non pas parce qu'ils sont stupides, mais parce que personne ne veut prendre ses responsabilités. Parce que si Roskomnadzor dit que ce sont des données personnelles, demain quelqu'un fera quelque chose, et ce sera à lui de blâmer; et ils sont des organes exécutifs et ne devraient en général être responsables de rien.L'essentiel, c'est que la loi stipule clairement que les données personnelles sont les données permettant d'identifier une personne. Et là, un exemple est donné: nom, adresse personnelle, numéro de téléphone. Mais nous savons tous que vous pouvez identifier une personne à la fois par la façon dont il appuie sur les boutons, et par la façon dont il interagit avec l'interface, et par d'autres paramètres indirects. Si quelqu'un est intéressé: dans presque tous les domaines, il existe un grand nombre d'échappatoires.Des identifiants qui nous révèlent
Ici, par exemple, tout le monde a commencé à mettre des points pour capturer les adresses de pavot (est-ce qu'ils sont sûrs?) - les fabricants intelligents (ou je ne sais pas, gourmands) d'équipements mobiles, tels qu'Apple et Google, ont rapidement introduit des algorithmes qui produisent une adresse de pavot aléatoire afin que vous ne puissiez pas était d'identifier quand vous faites le tour de la ville et d'envoyer votre adresse de pavot à tout le monde. Mais les gars intelligents ont même pensé à l'histoire suivante.
Par exemple, vous pouvez obtenir une licence d'un opérateur mobile; après avoir obtenu la licence d'un opérateur mobile, vous aurez accès à une telle chose - le protocole SS7 est appelé, par lequel vous verrez une certaine diffusion d'opérateurs mobiles; il y a un tas de toutes sortes d'identifiants qui ne sont pas des données personnelles. Avant cela, c'était l'IMEI, et maintenant - littéralement, quelqu'un l'a littéralement retiré de la langue et a décidé de maintenir en Russie (une telle initiative) une base unifiée de ces "noms". Elle semble être là, mais néanmoins.
Il y a, par exemple, un tas d'identifiants - par exemple, IMSI (Mobile Equipment Identifier), qui n'est ni des données personnelles, ni liées à d'autres choses et, en conséquence, il peut être enregistré sans aucune poursuite judiciaire, puis avec - échanger ces identifiants afin de communiquer ultérieurement avec une personne.
La culture du travail avec les données personnelles est faible
En général, l'essentiel est que tout le monde est maintenant très soucieux de combiner les données de l'une avec l'autre, et la plupart des entreprises qui font cette combinaison parfois n'y pensent même pas. Par exemple, une banque est entrée, a conclu un accord de non-divulgation avec une société de notation, a largué 100 000 de ses clients ...
Et cette banque n'a pas toujours un accord dans l'accord sur le transfert de données à des tiers. Ces clients ont scanné quelque chose là-bas, et on ne sait pas où cette base de données est allée à ce moment-là, elle ne l'a pas été - la plupart des entreprises en Russie n'ont pas une culture de suppression de données ... - cet "Excel" est sûr de se bloquer quelque part sur la secrétaire de l'ordinateur quelque part.
Nos données peuvent être vendues à chaque achat en magasin.
Il y a tellement de régimes qui semblent être presque légaux (c'est-à-dire légaux). Par exemple, l'histoire est la suivante: sur les 15 plus grandes banques russes, seules deux sont la passerelle SMS elle-même - Tinkoff et Alpha, c'est-à-dire qu'elles envoient leurs propres messages SMS. D'autres banques utilisent des passerelles SMS pour envoyer des SMS aux clients finaux. Ces passerelles SMS ont presque toujours le droit d'analyser le contenu (comme pour la sécurité et certaines conclusions) afin de vendre plus tard des statistiques agrégées. Ces passerelles SMS sont «conviviales» avec les opérateurs de données fiscales qui effectuent les contrôles.
Et cela se révèle comme suit: vous êtes venu à la caisse, l'opérateur des données fiscales (ils ont donné, n'a pas donné votre numéro de téléphone - en quelque sorte attaché là) ... vous recevez un SMS au numéro de téléphone, la passerelle de ces SMS-OK voit les 4 derniers chiffres de la carte et le numéro téléphone. Nous savons à quel moment vous avez effectué une transaction auprès de l'opérateur de données fiscales et, par SMS, nous savons (maintenant) à quel numéro sont parvenues les informations sur la radiation de telle ou telle somme d'argent avec tel ou tel quatre derniers chiffres de la carte. Les quatre derniers chiffres de la carte ne sont pas des identifiants de vous, ils ne violent pas la loi, car vous ne pouvez pas vous désanonymiser avec eux, le montant de la transaction ne l'est pas non plus.
Mais si vous êtes d'accord avec l'opérateur de données fiscales - vous savez quelle fenêtre de temps (plus ou moins 5 minutes) ce SMS devrait vous parvenir. Ainsi, vous êtes rapidement lié à votre numéro de téléphone dans l'OFD, et votre numéro de téléphone est lié aux identifiants publicitaires, en général à tout-tout-tout. Par conséquent, vous pouvez alors être rattrapé: ils sont venus au magasin, puis ils vous envoient d'autres bêtises sans autorisation. Je pense qu'il n'y a pratiquement personne dans cette salle qui ait au moins une fois écrit une déclaration au FAS pour spam. À peine là ... À part moi, probablement.
Papiers - un moyen archaïque mais efficace de lutter pour vos droits
Ça marche vraiment cool. Certes, vous devrez attendre un an et demi, mais le FAS procédera en fait à un contrôle: qui, comment, à qui il a transmis les données, pourquoi où et ainsi de suite.
Question du public (ci-après - H): - Il n'y a pas de SAF au Bélarus. C'est un pays différent.
AH: - Oui, je comprends. Il y a probablement une sorte d'analogue ...
Les objections viennent du public
AH: "Bon, mauvais exemple, litière." Pas le point. Parmi mes amis, je ne connais personne qui, en principe, connaisse l'existence d'une telle histoire - ce que vous pouvez aller écrire, puis ils travailleront pendant un an plus tard.
La deuxième histoire, qui est également très en développement en Russie, mais je pense que vous trouverez en vous un analogue. J'aime vraiment faire cela quand un organisme gouvernemental ne communique pas bien avec vous, une banque ou autre chose - vous dites: "Donnez-moi un morceau de papier." Et vous écrivez sur un morceau de papier: "Conformément au paragraphe 14 de la 152e loi fédérale, je vous demande de traiter les données personnelles sous forme papier." Je ne sais pas exactement comment cela se fait au Bélarus, mais c'est sûr que cela se fait. En vertu de la loi russe, vous n'êtes pas autorisé à refuser le service sur cette base.
Je connais même beaucoup de gens qui ont envoyé ceci à Mail.ru et ont demandé de garder une trace de leurs données personnelles sur papier. Mail.ru a longtemps lutté contre cela. Je connais même un développeur Yandex qui a été plaisanté: ils ont supprimé son compte VK et lui ont envoyé un tas de captures d'écran imprimées, et ont dit qu'ils lui enverraient des captures d'écran chaque fois qu'il voulait rafraîchir sa page.
C'est ridicule, mais néanmoins c'est une vraie alternative si quelqu'un est vraiment inquiet pour les données, d'une part ... Et d'autre part, le même ILV m'a dit que cet accord sur le traitement des données personnelles est formel, et la loi prévoit plusieurs autres options pour donner ce consentement. Et que, par exemple, j'ai été invité ici à un événement, et si, par exemple, Human Constanta ne peut pas conclure un accord sur le traitement des données personnelles avec moi dans le cadre des lois russes (parce que le fait même que je sois arrivé et ai accepté de parler est un consentement à traitement des données personnelles), - ils acceptent tout de même ces autorisations papier. Mais le lance-roquettes m'a dit une chose pareille, comme si ce n'était pas du tout un fait, qu'ils tomberaient probablement un jour.
J'espère qu'en Russie, ils ne créeront jamais un seul opérateur, Dieu me pardonne, pour les données personnelles, car pire que de mettre toutes les données personnelles dans un même panier, elles ne peuvent être mises que dans un panier d'État. Parce que la FIG sait ce qui va se passer ensuite avec tout cela.
Les entreprises échangent des données personnelles, et les lois réglementent de manière souple cela.
La plupart des entreprises échangent des informations et des identifiants. Cela peut être un magasin avec une banque, puis une banque avec un réseau social, un réseau social avec autre chose ... Et au final, ces gens ont une certaine masse critique de connaissances qui peuvent être utilisées d'une manière ou d'une autre, et toutes ces connaissances sont vraies essaient maintenant de rester de leur côté. Mais néanmoins, il pénètre toujours dans une sorte de trafic publicitaire ou ailleurs.
Le transfert de données à des tiers est la chose la plus amusante qui puisse être, car les lois ne décrivent pas quel type de tiers ils sont à qui ils devraient généralement être considérés comme «tiers». Soit dit en passant, il s'agit d'une expression très courante des avocats américains - ils ont des tiers là-bas - qui, selon vous, sont des tiers: grand-mère, arrière-grand-mère? .. Même il y avait un tel précédent en Amérique lorsque les données de quelqu'un ont été divulguées, une personne a intenté une action en justice , et ils ont prouvé que cette personne, à travers plusieurs amis, est familière avec le propriétaire des données - un certain nombre de poignées de main, ils ont apporté d'étranges recherches sociologiques - ainsi ils ont prouvé que ces personnes ne peuvent pas être considérées comme des tierces parties. C'est ridicule. Mais le fait de transférer ces données est très courant.
Même si vous vous rendez sur le site où se trouve le compteur pour identification, ce compteur a le droit de transférer quelque part les données de ce trafic («Clickstream», propriétaires de plateformes publicitaires, «Pornhub» par exemple). "Pornhub", si vous êtes développeur web, - allez voir combien de pixels de suivi sont sur le site de "Pornhub". Allez-y - il y a une énorme quantité de scripts java chargés, comme pour améliorer le travail du site. En fait, des cookies interdomaines y sont installés, ce qui n'est tout simplement pas le cas, car ces informations sont toujours très appréciées sur le marché des clics.
"Facebook" remue et ne va pas arracher le masque
Naturellement, aucun des principaux acteurs ne dit à personne qui et comment il vend des données. Pour cette raison, par exemple, l'Europe tente maintenant de poursuivre Facebook. Juste après l'introduction du RGPD, l'Union européenne essaie de Facebook pour obtenir sa propre divulgation d'algorithmes pour revendre des données à des tiers.
Facebook ne le fait pas et déclare publiquement que non, parce que c'est une «société du monde» (je cite la lettre qu'ils m'ont envoyée), ils sont «contre l'utilisation malveillante de la technologie» (surtout si vous reconnaissance face à vendre au Kremlin). En général, l'essentiel est que Facebook ne le fait pas équitablement: son objectif principal et surtout, ce qui se passera dès qu'un tel mécanisme sera révélé - il sera possible de vraiment calculer la marge publicitaire, il sera possible de comprendre le coût réel des publicités.
Conditionnellement, si Facebook vous dit maintenant que le coût d'un affichage publicitaire est de 5 roubles, et que nous vous le vendons pour 3 (et, comme, il nous reste deux roubles), et qu'ils reçoivent conditionnellement 5% du bénéfice de ces affichages publicitaires. En fait, ce n'est pas 5%, mais 505, car si cet algorithme apparaît (à qui et comment Facebook a transmis le «clickstream», les données sur les visites, les données de pixels à divers réseaux publicitaires), il s'avère qu'ils gagnent de l'argent bien plus qu'ils n'en disent. Et le point ici n'est pas dans l'argent lui-même, mais dans le fait que le coût d'un clic n'est pas un rouble, mais en fait - des centièmes de cent.
En général, l'essentiel est que tout le monde essaie de cacher un tel transfert, peu importe - le trafic publicitaire, non publicitaire, mais ça l'est. Malheureusement, on ne peut légalement reconnaître cela en aucune façon, car les entreprises sont privées, et tout ce qui s'y trouve est leur droit privé et leur secret commercial. Mais des histoires similaires y ont souvent fait surface.
Les trafiquants de drogue sont prévisibles et «brûlants» sur Avito
Dernière photo de cette présentation. C'est drôle, et son essence est qu'il y a certaines catégories de personnes qui sont très inquiètes pour leurs données personnelles. Et c’est bien, vraiment! Cet exemple concerne une catégorie de personnes comme les trafiquants de drogue. Il semblerait que les gens qui doivent être très inquiets de leurs données personnelles ...
Il s'agit d'une étude réalisée au début de cette année sous le contrôle des autorités compétentes. Oui, c'est un script qui a reçu de l'argent pour acheter des médicaments dans «Telegram» et «Torah», mais uniquement pour les personnes qui ont pu être identifiées.
En fait, presque tous les trafiquants de drogue de Moscou brûlent que leur numéro de téléphone ne soit généralement pas dans les sources publiques, mais tôt ou tard, ils vendront quelque chose sur Avito, afin que vous puissiez comprendre l'emplacement approximatif de ces personnes. L'essentiel est que les points rouges sont l'endroit où les gens vivent, et les points verts où ils vont pour vous laisser savoir quoi. C'était une partie de l'algorithme qui prédit l'organisation des services de patrouille, mais ces gars de Moscou essaient toujours de s'éloigner en diagonale.
Ils croient que s'ils vivent en haut à gauche, alors ils devraient aller en haut à droite et ils n'y seront jamais trouvés. Je vous dis que si vous essayez de vous cacher des algorithmes omniprésents, la vraie option la plus cool est de changer le modèle de comportement: configurez un "Hostery" pour randomiser les visites, les possessions, etc. Oui, mon Dieu, il existe même des algorithmes, des plug-ins qui modifient la taille du navigateur de quelques pixels de sorte qu'il est impossible de signer, de compter l'empreinte digitale du navigateur et de vous identifier d'une manière ou d'une autre.
J'ai tout. Si vous avez des questions, faisons-le. Ici, il y a un lien vers la présentation.
Question du public (H): - Dites-moi, du point de vue de l'utilisation de la "Torah", du point de vue du suivi du trafic ... Le recommandez-vous?
C'est difficile à cacher, mais vous pouvez
AH: "Thor?" Il n'y a pas de «Thor», sous quelque forme que ce soit. Certes, je ne sais pas comment en Biélorussie - en Russie, en aucun cas n'y allez pas, car presque la majorité des «grâce-hochements de tête» vérifiés ajoutent soudainement quelques paquets à votre trafic. Je ne sais pas lesquels, mais si vous regardez: il y a des «nœuds» qui marquent le trafic - il n'est pas clair qui fait cela, à quelles fins - mais quelqu'un le marque dans l'en-tête pour que vous puissiez comprendre plus tard. En Russie, tout le trafic est désormais stocké, même s'il est stocké sous forme cryptée, et tous les trolls de Spring Packet sur le fait que le trafic crypté est stocké, mais il reste marqué, c'est-à-dire qu'il ne peut pas être utilisé, il ne peut pas être décrypté ...
Z: - En Europe, il a longtemps été stocké, dix ans probablement.
AH: - Oui, je comprends. Tout le monde en rit - comme si vous stockiez des https impossibles à lire. Vous ne pouvez pas lire le contenu, mais vous pouvez comprendre d'où viennent les paquets avec certains algorithmes - par le poids des paquets, par la longueur, etc. Et quand vous avez tous les prestataires sous le capot, vous avez, en conséquence, tout l'équipement de base et tous les passeports ... En général, comprenez-vous de quoi je parle?
Z: - Quel navigateur recommandez-vous d'utiliser?
AH: "Pour le Thor?"
Z: - Non, pas du tout.
AH: - Eh bien, je ne sais pas. J'utilise en fait Chrome, mais uniquement parce que le panneau du développeur y est le plus pratique. Si soudain je dois aller quelque part, je vais aller dans un café. Certes, il n'est pas nécessaire de se connecter à une vraie carte SIM.
Z: - Vous avez parlé de certains étudiants. Enseignez-vous quelque part ou donnez-vous des cours?
AH: - Oui, nous avons un programme de master en journalisme de données. Nous formons des journalistes pour collecter des données, analyser - ici, ils font périodiquement de telles recherches.
Pas d'applications sécurisées
Z: - Sur Facebook, Vkontakte il n'est pas sûr de communiquer avec des amis, afin de ne pas recevoir de publicité contextuelle plus tard. Comment augmenter la sécurité?
AH: - La question est de savoir ce que vous considérez comme un niveau de sécurité acceptable. En principe, le mot "sûr" ne l'est pas. La question est de savoir ce qui, selon vous, est autorisé. Certains considèrent qu'il est acceptable d'échanger des photos intimes via Facebook, et certains officiers du renseignement pensent que tout ce qui a été dit par la bouche, même à la personne la plus proche, est déjà en fait peu sûr. Si vous ne voulez pas que le réseau social sache quelque chose à ce sujet, alors oui - il vaut mieux ne pas écrire à ce sujet. Je ne connais pas d'applications sûres. J'ai peur qu'ils ne soient pas là. Et c'est normal du point de vue que tout propriétaire d'une application doit en quelque sorte la monétiser, même si cette application est gratuite ou une sorte de média. Cela semble être gratuit, mais il a encore besoin de vivre de quelque chose. Par conséquent, il n'y a rien de sûr. Vous n'avez qu'à décider par vous-même, pour ainsi dire, ce qui vous convient.
Z: - Qu'utilisez-vous?
AH: - Réseaux sociaux?
Z: - Des messagers.
AH: - Parmi les messagers, j'utilise le principal messager d'État de la Fédération de Russie - «Telegram».
Z: - "Viber". Est-il en sécurité?
AH: - Écoutez, je ne suis pas très doué pour les messagers. Honnêtement, je ne crois pas à la sécurité, je ne crois à rien, car ce serait probablement très étrange. Bien que Telegram soit un peu comme l'open source, et ses algorithmes de cryptage sont divulgués. Mais c'est aussi une chose délicate, car le client open source est là, et personne n'a vu les serveurs. Je pense que non: il y a beaucoup de spam, de bots, etc. dans Viber. Les figues le savent. Il me semble que tout cela ne fonctionne pas très bien.
Qui est le plus dangereux - les sociétés ou l'État?
Animateur (Q): - Et j'ai une question pour vous. Écoutez, vous en avez parlé plusieurs fois en passant - que l'État ... Trop de données n'est pas très bon ... Une entreprise a trop de données. Eh bien, c'est juste la vie, hein? Alors, qui a le plus peur - les sociétés ou l'État? Où sont les pièges?
AH: - C'est une question très difficile. Il est bordé. Barrière éthique complexe. Un homme, s'il n'a rien à craindre, s'il n'a pas enfreint la loi, en principe, pourquoi a-t-il besoin d'intimité? Bien que je ne le pense pas, cet état le croit. Peut-être y a-t-il une part de vérité dans tout cela. Écoutez, j'ai le plus peur des hackers - une sorte d'étain. En fait, la plus grosse boîte que j'ai vue de ma vie (de tout ce sujet): il y a environ un an et demi ou deux ans, un pédophile a été attrapé dans la banlieue de Moscou et pendant les enquêtes, plusieurs tutoriels sur Python ont été trouvés sur son ordinateur, des scripts Api VK. Il a recueilli les récits des filles, analysé lesquelles d'entre elles se trouvent à proximité, collecté, le contenu qu'elles ... Bref, vous comprenez. C'est la plus grosse boîte que j'ai vue. Et j’ai vraiment peur de cela, qu’à un moment donné, quelqu'un aime quelque chose comme ça.
Un autre petit «employé de bureau»: l'Organisation européenne de la sécurité d'État a fait un rapport cette année-là, disant que quelque part autour de 20%, une augmentation de 25% du nombre de vols dans les comptes bancaires lorsqu'une question secrète a été résolue. Pensez maintenant à votre question secrète à la banque et demandez-vous si je peux trouver la réponse à partir de sources ouvertes. Si le nom de jeune fille de votre mère est là ou votre plat préféré ... En général, les gens ont analysé les comptes, sur la base de cela, ils ont compris le surnom de leur animal préféré - quelque chose comme ça ...
Z: - Vous avez dit que les entreprises, les sociétés collectent les informations nécessaires à l'aide d'algorithmes? Vous savez probablement comment?AH: - Il y a eu un mouvement de personnes qui, à un moment donné, ont conduit des photos à travers un filtre spécial, de sorte que ce filtre cassait l'analyse d'image, de sorte qu'il était plus tard impossible d'identifier ces personnes plus tard. Je vous ai donc donné un exemple que Facebook avait du mal avec la cryptographie des messages. Et si cette chose apparaît et se généralise, les réseaux sociaux vont sûrement lutter contre cela. De plus, la reconnaissance des formes fonctionne désormais très bien, et elle frôle le fait que ce niveau est suffisant pour "casser" cette photo (afin de "casser" l'algorithme qui reconnaît ces images) - très probablement, rien n'est clair dessus ne le sera pas.Toutes sortes de filtres anti-parasites fonctionnent bien s'il s'agit d'un fort biais direct dans la moitié de la photo. Votre compte acquerra alors toutes les couleurs du LSD. En théorie, je ne pense pas que ce soit très effrayant si Facebook, par exemple, découvre le type de voiture que j'ai - probablement si je ne me connecte pas à la voiture via Facebook.La loi sur l'oubli fonctionne, mais pas sur Internet
Z: - Avez-vous rencontré un utilisateur qui vous obligerait à le respecter, à le supprimer, à y accéder. Vous travaillez avec de grandes quantités de données, vous en informant probablement. Les gens peuvent vous contacter. Combien de pour cent?
AH: - Maintenant je vais le dire. Maintenant, ce sera vraiment intéressant. Je vais maintenant compter le nombre de personnes qui se connecteront, car après l'événement, 15 à 20% viennent toujours, remplissez un formulaire pour supprimer les données - il y en a un. En réalité, cela représente environ 7 à 8% des comptes fermés que nous n'analysons pas, et environ 5 personnes sur mille qui demandent la suppression de leurs données. C'est très petit, même à mon humble avis.Le problème ici est le suivant: il existe une loi telle que l'oubli. Mais la loi sur l'oubli, du moins en Russie, ne s'applique légalement qu'aux moteurs de recherche. Cela dit directement: les moteurs de recherche. Et c'est la suppression des seuls liens vers les matériaux, pas les matériaux eux-mêmes. En réalité, pour supprimer quelque chose d'Internet, vous devez contourner toutes ces sources, donc je n'y crois pas fondamentalement. Nous essayons d'avertir les utilisateurs de ce que vous devez penser avant de publier.Jusqu'à présent, ce pourcentage est très faible - 5-7 personnes sur des milliers. Soit dit en passant, sur la loi sur l'oubli: tout le monde connaît un cas aussi cool "Sechin contre RBC". La loi sur l'oubli a fonctionné, l'article a été supprimé, mais il est partout. Vous comprenez que si quelque chose est arrivé sur Internet, il n'en disparaîtra jamais.,
Z: - Pensez-vous que les personnes qui suppriment leurs comptes et tentent de devenir un «trou noir» seront dans une position plus désavantageuse par rapport aux autres agents économiques?
AH: - Très probablement, oui - cette position ne sera pas rentable pour eux-mêmes. Il existe de nombreuses remises en tout genre, des offres qui en dépendent. Mais, purement théorique, si une personne supprime un compte maintenant ... Il est populaire auprès de tous les extrémistes lorsqu'ils suppriment un compte et créent un faux, mais continuent d'interagir avec le même contenu - cette personne, encore une fois, peut être identifiée (surtout si elle se trouve dans le même réseau social , depuis un ordinateur - c'est généralement une question); élémentaire par le modèle de consommation de contenu il sera possible de retrouver cette personne s'il y a une telle tâche.J'espère qu'au cours des 5 prochaines années, une sorte de technologie pour monétiser ces données apparaîtra, lorsqu'une personne peut vraiment payer de l'argent - vous paierez et nous n'utiliserons pas vos données. Et je pense que si un abonnement est introduit sur certains Instagram, personne ne l'utilisera, donc l'alternative est de payer les utilisateurs pour leurs données. Mais ce n'est pas très tôt, car le lobby des hommes d'affaires effrayants ne permettra pas qu'une telle loi soit adoptée, bien que ce soit amusant. Mais le fait est qu'il est impossible d'évaluer la valeur réelle des données d'une personne à un moment donné dans le temps.Facebook - les gars qui fuient
Z: - Bonjour. Plus récemment, il y a eu des nouvelles que Facebook a l'intention d'intégrer tous ses projets, y compris Instagram et Facebook, Votsapp et ainsi de suite. Comment, à votre avis, du point de vue des données personnelles, quand maintenant sur mon smartphone ces programmes se bloquent séparément, mais ils appartiennent toujours à Facebook? .. Que se passera-t-il ensuite?
AH: - Je comprends. Légalement, ils appartiennent à Facebook, et il peut les unir de façon incontrôlable en lui, donc je pense que rien ne changera. La seule chose maintenant est de pirater une application afin d'obtenir immédiatement tout. Et Facebook ... j'espère qu'ils regardent. Les gars troués effrayants en général dans tous les endroits.
Récemment, beaucoup d'informations sont apparues à ce sujet - sur les fuites de données de Facebook. La même chose est apparue non pas parce que Facebook a soudainement perdu ces données, mais parce que le RGPD oblige désormais l'entreprise à avertir à l'avance. Et la plus grande pénalité est si la fuite s'est produite, et que la société ne l'a pas gardée, et Facebook en parle donc maintenant. Cela ne signifie pas qu'avant ces fuites de données n'étaient pas.Z: - Bonjour. J'ai une question sur le stockage des données. Désormais, chaque État introduit une loi pour garantir que les données des citoyens sont stockées sur le territoire de cet État. Quelle condition est suffisante à respecter pour se conformer à cette loi, pour une sorte de demande internationale? .. Ici, par exemple, Facebook: il y a une base de données ...
Comment respecter ces conditions?
AH: - Écoutez, légalement, il vous suffit de louer un serveur dans ce pays et d'y mettre quelque chose. Le problème est qu'il n'y a pas d'autorité réglementaire compétente. Les données Facebook ne sont pas en Russie. Roskomnadzor se bat, se bat, se bat, se bat ... Facebook a une partie des serveurs où se trouve l'interface de ce Facebook, et il est impossible de vérifier où se trouvent réellement les données, comment elles sont synchronisées.Z: - Vérifiez le trafic?
AH: - Vérifiez le trafic? Oui
Mais alors le trafic peut alors aller à un point de jonction. De plus, entre les serveurs, il peut y avoir quelque chose comme un VPN ou autre chose. En théorie, il n'est en aucun cas possible de vérifier qu'un administrateur système, à un moment donné, n'entre pas sur ce serveur et ne ramasse rien de là. Autrement dit, cette loi n'a pas été faite pour protéger les données, mais pour permettre aux entreprises d'ouvrir des bureaux de représentation, de payer des impôts et de stocker du fer dans le pays. Mais à mon avis, c'est une sorte d'initiative très étrange, pour être honnête.Z: - Autrement dit, est-ce suffisant pour vérifier réellement l'interface?AH:Quelqu'un peut venir vous voir et vérifier que vos données sont bien là. Mais vous pouvez montrer une sorte "d'exel", et personne ne peut le vérifier, presque personne ne le vérifiera. Maintenant, ils regardent simplement les adresses IP: que l'adresse IP associée au domaine est située dans le pays - ils ne vérifient pas plus loin. Maintenant, probablement, ils viendront me voir.Il n'y a pas de services auxquels vous pouvez faire confiance à 100%, mais les personnes décentes n'ont rien à craindre
Z: - De telles nouvelles, réimprimées dans de nombreux endroits: de "Microsoft" le mec l'a posté, a fait un service pour vérifier son ...AH: - Quelque chose comme: vos mots de passe n'ont-ils pas fui? En fait, après les mêmes fuites sur Facebook, le même Facebook lance toujours une sorte de sites de sauvegarde où vous pouvez vérifier qu'il n'est pas entré dans cette base de données - encore une fois, le RGPD l'exige. Autrement dit, si vous ne faites pas une telle chose, alors vous ne serez pas très bien. Par conséquent, tout le monde présente maintenant ces projets comme «c'est notre initiative»; en fait, la loi l'exige. En fait, c'est une chose très cool, mais je ne ferais pas vraiment confiance à des services de vérification similaires si vous devez y envoyer quelque chose de plus compliqué que votre mot de passe, car beaucoup de gens ont les mêmes mots de passe.W:- Vous entrez simplement un e-mail, et ils disent déjà combien de fois il a été compromis ...AH: - Je ne fais vraiment pas confiance à de telles choses, car alors vous pouvez être connecté à ce navigateur, à un compte réel. Surtout si vous utilisez les services des mêmes personnes qui ont lancé ce site. C'était comme cette année où Facebook a envoyé: si vos photos intimes ont fui sur Facebook, vous nous les envoyez, et nous vérifierons où elles ont été mentionnées.Je ne sais pas de quel genre de cauchemar il s'agit et qui l'a inventé sur Facebook, mais c'est vraiment arrivé. Ils voulaient comparer si personne ne transmettait votre nudité dans des messages privés. En principe, cela poursuit de bons objectifs, mais aussi étrange que possible. Je ne ferais pas confiance à ça.W:- Et encore une question. Pour l'utilisateur moyen, quels sont les risques de fuite? Risques de dommages dus aux fuites.
AH: - Je te comprends. Cela dépend des données à stocker. Je pense pas très élevé. Le pire, c'est que si les e-mails et les mots de passe s'écoulent quelque part et que vous avez ce mot de passe partout, alors oui. En général, je pense que les utilisateurs ne devraient avoir peur de rien. Mais s'ils ne stockent bien sûr aucun démembrement dans Google mail. Il y avait beaucoup d'exemples.L'histoire la plus célèbre se trouve dans Google, lorsqu'une fille a été enlevée dans l'Utah, elle n'a pas pu être trouvée, et à un moment donné, les ravisseurs lui ont envoyé des photos dans une pièce jointe archivée. Et Google, en scannant cette pièce jointe, a trouvé des signes de pornographie juvénile. Tous trouvés. Et ils ont quand même réussi à convaincre Google de poursuivre pour violation du secret de la correspondance. Ce procès a duré longtemps. Néanmoins, je pense qu'un utilisateur ordinaire n'a rien à craindre s'il ne met pas, par exemple, son passeport dans le domaine public. Il s'agit d'une double histoire - selon le type de données et le type d'utilisateur. Peut-être que maintenant - ça va, mais après 15 ans, quand il deviendra une sorte d'officiel, certains de ses documents apparaîtront.Comment ça marche avec l'Etat?
Z: - Merci. Vous avez parlé un peu de faire de la recherche pour l'État, les organismes d'État, les services, de travailler avec eux. Peut-être en dire un peu plus sur certains projets pertinents. Plus encore, si vous le pouvez, à propos de ... Deux questions: la première - les projets pertinents, et la seconde - y avait-il de telles propositions des services publics ...AH: - Indécent!
Z: - Oui. Quand vous avez pensé: peut-être que vous ne devriez pas faire ça.AH:"Je vais te le dire." Je le dis à tout le monde. Nous maudissons cette personne sur Twitter depuis longtemps. De l'équipe Milonov sur Twitter, j'ai en quelque sorte une question sur la recherche d'enseignants qui regardent du porno gay. Nous avons immédiatement dit non. Mais il y en a, des lettres viennent souvent, et très souvent elles sont liées à des opposants, des rassemblements. Nous ne traitons pas de telles bêtises, nous sommes déjà aspergés de merde. Je n'ai pas peur de ça.Nous avons la politique suivante concernant le "gouvernement": nous développons des logiciels, des logiciels de reconstruction tridimensionnelle, de reconnaissance faciale, d'analyse de données. Ce qu'ils font exactement est très difficile à dire, mais parmi les modèles, il s'agit de la prévision de la criminalité, celle qui est liée à la sécurité de l'État à l'intérieur de la ville, au déplacement des personnes, au géomarketing, etc. Du placement d'objets urbains à l'identification des pédophiles, violeurs, maniaques et toutes sortes de méchants.Honnêtement, nous n'avons engagé aucune opposition. Peut-être qu’ils ne nous en parlent pas en personne. En fait, c'est un très gros problème - la coopération avec "l'Etat", car ils n'expliquent pas toujours quel genre de tâche. Ils vous disent: créez un logiciel pour identifier les femmes au foyer, et ils vont en fait faire autre chose avec lui - tout se décompose là-bas.De plus, l'État est un client très intéressant et étrange qui essaie constamment d'insérer environ trois sous dans votre recherche, et souvent leurs approches et leur compréhension de l'apprentissage automatique sont très superficielles. Par exemple, j'ai une conférence séparée sur les erreurs d'apprentissage automatique. Je cite toujours là à titre d'exemple, lorsque nous avons créé un système de prévision de la criminalité dans la région de Moscou, le client a déclaré: lorsque les pastèques sont vendues, veuillez augmenter le facteur quatre fois. Et puis il s'est avéré que les lieux de vente des pastèques nifig n'étaient pas criminels. C'est simplement l'erreur qu'une personne apporte ses pensées.Bref, l'État est un client sympa, il y a beaucoup de tâches intéressantes. La plupart se résume à des modèles de prédiction similaires pour quelque chose. Le plus souvent, il s'agit d'une sorte d'infrastructure urbaine.W:- Y a-t-il des sources où vous pouvez retracer vos recherches? Beaucoup d'informations. Si je comprends bien, une grande partie est encore laissée à la mer. Vos pages, autre chose ...AH: - Je n'ai pas de pages personnelles.Z: - Probablement, Facebook a déjà été fermé?AH: - Il y a environ quatre mois, il y avait une histoire: ils nous ont tous envoyé de si grosses lettres que "vous êtes des monstres, vous vendez tout au Kremlin, vous violez toutes les règles de Facebook". Même une lettre a été envoyée à mon chien: "Bonjour, Mars blue-corgi, vous collectez des données!" Et ainsi de suite. Écoutez, nous avons changé de marque maintenant. Dans deux ou trois semaines, nous avons un site Web et tout sera mis à jour. Vous pouvez le regarder. Mais nous sommes très paresseux à cet égard.Comment puis-je déterminer la fiabilité d'un VPN?
Z: - Quand avez-vous dit que vous iriez dans un café sans vous identifier sous votre numéro de téléphone. Et sous quoi?
AH: - Vous ne pouvez pas dire - sous un étranger, parce que c'est un appel à violer les règles d'identification. Non, non, non. Je plaisante. Maintenant, presque tous les cafés identifient tout de suite - il n'y a pas seulement un numéro de téléphone, il y a un tas de pixels, il y a une identification d'appareil, une adresse pop-up et ce qui est là juste pour l'utiliser plus tard - des fins publicitaires aux événements de recherche opérationnelle. Par conséquent, avec de telles choses, vous devez être très prudent. Vous pouvez non seulement écrire quelque chose, mais ils peuvent écrire à partir de votre appareil, puis quelque chose se produira.Vous avez peut-être vu l'histoire de ce qui fait l'objet d'une enquête, comment (au Bélarus, d'ailleurs), ils louent des comptes Facebook à louer, comme pour des publicités de casino. Mais en fait on ne sait pas pourquoi, ils donnent également accès à un ordinateur. Ce sont les choses dont il faut se méfier le plus. Si vous décidez d'écrire quelque chose de manière anonyme de quelque part ... Je viendrais dans un café et allumerais un VPN sympa. Mais en fait (encore une fois, je ne pointe du doigt personne), lorsque vous créez un compte dans un VPN, vous vérifiez à qui appartient ce VPN, quelle entreprise, à qui appartient cette entreprise, etc. Parce que la plupart des acteurs du marché VPN ne sont pas vraiment bons.Eh bien, au Bélarus, cela n'a pas d'importance. En Russie, un bon VPN est vérifié pour voir si azino777 y est bloqué ou non. Parce que sinon, il est probable que d'ici une semaine, ce service VPN sera fermé. En général, vérifiez tout.À propos des messages de suppression automatique
Z: - Vous avez tellement parlé de messages privés que leurs réseaux sociaux lisent ... Mais, par exemple, Facebook a des messages privés secrets qui peuvent être mis (sauf qu'ils sont également cryptés) pour la destruction. Comment pouvez-vous commenter cela?AH: - Pas du tout. Premièrement, je ne suis pas un super professionnel de la cryptographie, et deuxièmement, le problème ici est que personne n'a vu le serveur Facebook, personne ne sait comment tout cela fonctionne là-bas. Par convention, dans certaines spécifications, il est écrit qu'il s'agit d'un chiffrement de bout en bout, mais ce n'est peut-être pas comme ça, ou c'est de bout en bout, mais avec une sorte d'erreurs ou autre chose. Il est logique d'utiliser une telle chose si vous avez peur que la personne à qui vous l'envoyez essaie à un moment donné de faire quelque chose.«Telegram» a une fonction pratique pour envoyer des photos intimes qui sont auto-supprimées: lorsque vous essayez de prendre une capture d'écran, elle est automatiquement supprimée. Une fonction pour enregistrer des vidéos à partir de l'écran est apparue dans "iPhone", et vous pouvez enregistrer des vidéos à partir de l'écran et ainsi de suite ... Je reçois souvent des documents avec cette fonction (suppression automatique) - je ne comprends jamais pourquoi. Je peux télécharger immédiatement! Tout dépend de vous.Évaluation sociale en Chine: mythes, réalité, perspectives
Q: - En fait, j'abuse un peu, même si je n'ai pas besoin d'un VPN (au fait, nous avons un VPN éprouvé). Et la question concerne l'éthique. Nous avons un merveilleux ami du Kazakhastan, nous l'avons également amené avec une conférence. Une fois, ils étaient assis avec lui lors d'une conférence où ils ont parlé de différentes choses, et il dit (et il est engagé dans la cybersécurité, c'est-à-dire sous la forme pure de la sécurité technique, une personne qui s'intéresse aux solutions techniques): «Eh bien, je suis rentré de Chine. Ils font une chose tellement cool là-bas - une cote sociale. " Au fait, avez-vous fait des recherches sur cette question, comment cela fonctionne-t-il pour eux?
AH: - Nous vendons des scores en Russie, j'en sais beaucoup.
Q: - Ici, j'ai une question, que diriez-vous de plus à ce sujet - que nous pourrions attendre tout le monde à l'avenir. Mais une autre question sur l'éthique. Il a dit avec joie: «Une solution d'ingénierie intéressante!» Avez-vous votre propre code d'éthique?
AH: - Oui, au fait, il y en a. Il y a deux ans, nous l'avons présenté - juste après l'histoire avec Milonov, nous avons décidé de classer ces projets d'une manière ou d'une autre. Revenons à la note: c'est l'une des questions les plus populaires, car les médias diabolisent toute l'histoire - que les gens ne sont pas autorisés à aller à l'étranger, ils sont tués avec un laser de la Lune. Je vous apporte, encore une fois, des trucs d'ingénierie ...
Si vous commencez à creuser cette histoire, regardez quels paramètres sont inclus dans cette évaluation sociale, vous comprendrez: cela comprend la pension alimentaire pour enfants fermée, les casiers judiciaires, les antécédents de crédit, c'est-à-dire que d'un point de vue technique, la chose est vraiment géniale. Vous vivez sans enfreindre la loi, vous vivez bien - ils vous donnent un faible taux sur le prêt. Vous avez un travail social important (par exemple, un enseignant) - ils vous donnent un logement convenable. Au début, cela a embarrassé tout le monde, car au début, l'histoire a divulgué que si vous écrivez mal sur le président, alors vous serez abaissé cette note. Bien qu'il n'y ait aucune preuve. Je dirai pour la défense de la note, je dirai contre la note que personne n'a vu l'algorithme, quels paramètres sont réellement utilisés là-bas.
Puis une histoire est apparue selon laquelle plus d'un million de personnes n'étaient pas autorisées à se rendre à l'étranger et étaient interdites de voyager. En fait, ce n'est pas une déclaration exacte. Lorsque vous recevez un visa (par exemple pour l'Europe), vous recevez un visa au taux de «70 euros par jour» (quelque chose comme ça); si vous ne donnez pas de déclaration de revenus, vous ne recevrez pas de visa. En Chine, le ministère local des Affaires étrangères a décidé d'aller un peu plus loin: il a tout de suite averti les gens qui n'avaient pas assez d'argent que si vous voulez aller à l'étranger, vous n'auriez pas assez d'argent. En conséquence, tout cela a ensuite été envoyé à l'idée que les pauvres ne sont pas autorisés à aller à l'étranger. C'est une chose éthique complexe, elle frise une certaine présomption de culpabilité-innocence, mais en fait je ne peux pas donner d'estimation.
Tuer des gens, pas des armes
L'essentiel à comprendre: tous ces algorithmes que la société condamne ne sont pas le problème des algorithmes. Les algorithmes ont simplement permis d'analyser très rapidement un «volume» important de personnes, et ce problème social a été soulevé. Autrement dit, le bot Microsoft, qui a appris sur les tweets et est devenu raciste - ce n'est pas le bot à blâmer, mais les tweets qu'il a lus. Ou une entreprise qui décide de construire le modèle d'un employé idéal en analysant les employés actuels, et il s'avère qu'il s'agit d'un homme de sexe blanc, diplômé de l'enseignement supérieur.
Ce n'est pas un modèle - raciste, sexiste ou autre; ce sont les gens qui ont embauché ces gens (ils avaient raison, ils n'avaient pas raison - cela n'a pas d'importance). Tout se limite juste au fait que l'intelligence artificielle est mauvaise, mauvaise, et qu'elle détruira le monde, mais en réalité ... Si conditionnellement maintenant, par exemple, le gouvernement russe adopte une loi disant que l'opposition ne devrait pas recevoir une éducation gratuite, ils écriront un logiciel qui les identifie et les prive de cette éducation gratuite - ce n'est pas l'algorithme qui sera à blâmer. Bien que personne ne soutienne mon concept, parce que - quand je dis que ce ne sont pas des armes qui tuent des gens, mais des gens, «vous êtes un fasciste» et ainsi de suite.
En général, c'est vraiment une solution d'ingénierie très cool. Vous devez comprendre pourquoi cela, par exemple, en Russie ne le sera pas. Vous [en Biélorussie] n'en aurez pas, car vous êtes un État européen, tout va bien pour vous. En Russie, cela ne se produira pas pour de nombreuses raisons: premièrement, nous n'avons pas le même niveau de confiance dans le système d'application des lois qu'en Chine; notre niveau de numérisation est loin de là. En Chine, pourquoi cela a-t-il fonctionné? Parce que le gouvernement: ils ont - la médecine numérique, l'assurance numérique, la police numérique. Et quelqu'un de intelligent y a pensé: rassemblons-le et faisons-le - c'est essentiellement un programme de fidélité. Il y a plus de bons que de «pas bons».
Par conséquent, oui - je pense que cela ne sera pas introduit en Russie. Vous devez d'abord numériser l'ensemble du ministère de la Santé (et c'est une tâche qui dure 50 ans) - quelqu'un doit y mettre sa vie et personne ne le fera naturellement. D'un autre côté, les banques russes sont les premières au monde à marquer des gens, ce qu'elles ne font tout simplement pas: «Ouais, mec? Aimez-vous les jeunes filles? Voici une carte de crédit pour votre maîtresse. " Tout y est très avancé. Par exemple, en Amérique, presque partout, il est interdit de marquer comme cela, car il existe des lois par lesquelles la banque est obligée de vous expliquer pourquoi: «Aha! Parce que la société Social Data Hub garde l'histoire depuis 10 ans, et ça et là, c'est quelque chose qui vous a trahi! » Et condamnons l'un et l'autre! Et nous n'avons pas de telles histoires.
Pourquoi les statistiques sont-elles étouffées?
En principe, je soutiens la notation, s'il ne s'agit pas d'une histoire "totalitaire". Mais toute la question est qu'il est impossible de prévoir, d'évaluer. C'est l'histoire la plus difficile de l'éthique des mégadonnées - prédire l'effet social qui sera là dans 15 ans. Par exemple, ici, je supplie depuis très longtemps le parquet d’ouvrir des informations sur la criminalité. Les données des statistiques criminelles sont l'une des pierres angulaires de toute statistique; tous le veulent vraiment. Mais, par exemple, les statistiques criminelles ne sont pas découvertes en Russie pour une raison très simple: elles ont peur de violer la démographie dans les villes. On pense que les gens cesseront de vivre dans certaines villes, même tout à l'intérieur de la ville sera en quelque sorte redistribué. Pour la même raison, les statistiques USE ne sont pas divulguées - vous comprenez vous-même que les gens iront dans certaines écoles, ils n'iront pas dans certaines.
Peut-être que c'est vrai, peut-être pas, mais il y avait beaucoup de projets ... Par exemple, Yandex à un moment donné (encore une fois, selon les rumeurs "jaunes", je ne l'ai pas vu, je ne sais pas) a décidé d'ajouter le nombre d'attaques contre les chauffeurs de taxi au modèle de prévision "immobilier" , c'est-à-dire une sorte d'approche du niveau de criminalité, compte tenu du nombre de plaintes des chauffeurs de taxi que quelqu'un les a sollicitées, menacées, etc. Ils se sont rapidement tournés vers l'entreprise pour que ces choses ne se fassent pas.
Z: - Vous communiquez avec les étudiants, communiquez avec le public de votre pays, de notre pays. Vous avez remarqué par le nombre de questions de l'auditoire que nous sommes encore à ce stade de développement quand nous pensons que nous avons besoin de confidentialité, que nous pouvons cacher à quelqu'un, protéger nos données sans les fournir, les cacher, les chiffrer. Si l'Union européenne est déjà passée à l'étape suivante, l'étape de la vie privée, qui implique un contrôle sur les données - pour forcer tous ceux qui collectent vos données à vous en donner un contrôle efficace ... Selon des échantillons par région, par strate sociale - laquelle des catégories de citoyens, de personnes, plus Déjà passé à la deuxième étape, ou qui d'autre siège principalement à la première?
Qui est le plus concerné par la sécurité des données personnelles?
AH: - La majorité totale ... Je dirais: personne ne s'en soucie! Cela inquiète maintenant les cadres supérieurs. Les villes de Russie sont Moscou et Saint-Pétersbourg. Le centre actif est constitué d'informaticiens, de concepteurs, de professions créatives, de tous ceux qui savent filtrer le contenu, acquérir de nouvelles connaissances, avec un grand intérêt pour les questions internationales. Ce sont principalement des cadres supérieurs; oui, informaticiens (sans compter les spécialistes de la sécurité); banquiers - c'est-à-dire toutes les personnes sur lesquelles une fuite de données peut affecter d'une manière ou d'une autre.
Si, par exemple, les données de certains ménages sont volées à certains Kaluga: il est peu probable que quelque chose change sérieusement dans sa vie si quelqu'un le vole, par exemple, l'accès à gmail, où il stocke l'accès aux émissions de télévision . La question est que la loi protège tout le monde également et à juste titre, parce que ... du point de vue de la loi, tout le monde est égal - haha ... mais le plus important est qu'il est impossible de comprendre à qui les données coûteront combien jusqu'à ce que ces données soient perdues - malheureusement est très difficile à prévoir. Mais en gros cette catégorie de citoyens.
Le téléphone est déjoué!
Je n'ai vu qu'une seule fois dans ma vie le stockage universel de tout et de tout dans deux entreprises. L'un est le plus grand intégrateur de sécurité de l'information: tout, jusqu'à USB, est collé avec de la colle à l'intérieur du bureau; et les gens y vont de la même manière - j'y ai rencontré un homme qui a un téléphone dans un sac en aluminium. J'ai appris qu'il existe des entreprises qui vendent de tels sacs spéciaux. Et la deuxième fois, j'ai vu une histoire similaire dans le Bloomberg parmi les employés: nous nous tenions dans le fumoir et quelqu'un a pris des photos quelque part, et l'un d'eux - "Pour que nous ne puissions pas être vus en arrière-plan!" Je pense que oui : "Oh wow!"
«Nous sommes meilleurs que le FSB»
Je ne voudrais pas dire que c'est moins d'un pour cent de la population, mais, malheureusement, presque tout de même pour la masse générale. Mais d'un autre côté, j'ai un service scandaleux pour surveiller les actions des mineurs (nous l'avons commencé sous le slogan «Nous sommes meilleurs que le FSB» depuis longtemps) pour avertir le parent que le mineur crée du thrash avant que notre algorithme soit installé où Quelqu'un va lui envoyer quelqu'un.
Lors de la vérification de l'enfant, vous devez envoyer un scan du passeport (c'est une pratique fondamentalement normale), mais nous avons écrit que vous pouvez couper le numéro de passeport parce que cela ne nous intéresse pas; nous ne sommes intéressés que par votre photo, hologramme et prénom et nom. Et près de 100% des gens - enfin, quelque part sur 95 passeports sur 100 - les gens de Photoshop ont soigneusement coupé ces chiffres et n'ont envoyé que la bonne partie. C'est-à-dire qu'ils ont compris - oui, puisqu'ils n'en ont pas besoin, alors ils n'ont pas besoin de l'envoyer. À mon avis, il s'agit directement d'une sorte de véritable progrès, qui a été poussé par la méfiance envers nous.
Z: - L'échantillon est - certain. Il y a des gens qui se retournent, ils sont déjà avancés.
Les gens ne veulent pas être surveillés, mais ne lisent pas l'accord
AH: - Oui. Et le second est la même chose: nous avons lancé une application de rencontres dans le test à la fin de cette année (nous la redémarrerons bientôt). Il y avait un groupe témoin de 100 000 personnes. Et là, selon les approches du RGPD, il y avait 15 coches dans votre compte - je donne la permission d'analyser l'interaction avec l'interface, d'accéder à mes données démographiques, d'accéder à la reconstruction du visage en trois dimensions, d'accéder à mes messages personnels et ainsi de suite. Nous avons peint autant que possible tous les accès possibles. Même quelque part, il y a des statistiques qui ont coché quoi. 98% ont laissé toutes les cases cochées par défaut (en dépit du fait qu'ils sont allés sur cette page et ont tout vu, mais ils s'en fichaient), mais ces 2% étaient intéressants à analyser pour ce qui était une priorité pour les gens.
Tout le monde a retiré la permission d'accéder aux messages privés et presque tout le monde a retiré la permission d'accéder aux données des tests sexuels (ce qu'ils aiment là-bas, ce qu'ils ont rempli là-bas, je plaisante sur leurs perversions). Mais ce sont les gens qui ont donné un coup de pied à celui-ci, l'ont poussé: l'interface leur dit - lisez attentivement ceci, cela permet de faire défiler cet accord jusqu'au bout. Mais cela a été fait uniquement parce que c'était un projet de recherche, et tout le monde a été prévenu. Aucune entreprise, y compris nous, lorsqu'elle publiera cette application dans le domaine public, ne forcera personne à lire ce message jusqu'au bout, car ... eh bien, désolé, tout fonctionne.
Pourvu qu'ils viennent chez nous, sachant ce que faisait l'entreprise, sachant qu'ils sont allés à un service qui vous proposerait des candidats en fonction du type de porno que vous aimez - même sur cette base, seulement 2% ont lu ces coches et généralement a fait quelque chose. Et puis pratiquement aucun d'entre eux décoché "Accès au trafic et aux données lors de la visite d'autres pages Web". La plupart du temps, tout le monde s'inquiétait des messages privés.
Nudité et atterrissage pour les goûts - lois intéressantes des républiques fraternelles
Z: - J'ai une question sur la protection des données. Vous pouvez porter le téléphone en aluminium, prétendre qu'ils ne le sont pas ... Ensuite, il s'avère que vous enregistrez, enregistrez, mais vous devez ensuite donner vos données à l'État, car cela vous oblige, et vous ne pouvez pas le faire ... Et puis il s'avère, que les entrepreneurs d'État sont tout au long de trous. Mais au Bélarus, il existe toujours une telle norme: si je vérifie la sécurité de mes données personnelles (je vais corriger quelque chose et y accéder), je serai immédiatement un criminel. Le même article a été utilisé pour accuser des journalistes dans l'affaire BelT d'avoir obtenu un accès non autorisé aux données (vous pouvez les lire vous-même). Donc, la mienne, et la question: une telle mesure efficace pour la vie privée, en général pour la sécurité des données privées, de telles restrictions?
AH: - Je comprends. Il existe de nombreuses lois très intéressantes au Bélarus. Je viens de le découvrir récemment ... Je plaisante sur le transfert de la nudité, mais cela vous est interdit.
Z: - La manifestation est interdite!
AH: - C'est généralement étrange.
Z: - Vous pouvez regarder, vous ne pouvez pas transmettre, vous ne pouvez pas aimer. Vous ne pouvez pas regarder ensemble!
AH: - Je vais répondre à votre question. Je reviendrai sur le sujet «asseyez-vous comme» à Moscou. En Russie, c'est le sujet numéro un. Je ne sais pas comment cela se passe au Bélarus, mais pour être honnête, l'État ... Si nous analysons les statistiques, à Moscou, 95 débarquements sur 100 sont des personnes qui se plaignent de personnes, quelqu'un écrit au parquet à propos d'une autre personne. L'État engage très rarement de tels cas. Il me semble que cette loi est absolument absurde. Je ne connais pas un seul vrai criminel emprisonné pour cela. Mais cette mesure est utilisée pour imputer au moins quelque chose à une personne. Il me semble que c'est aussi étrange que possible. Je pense qu'un jour cela sera annulé.
Z: - Ceci est appelé à garder sous un plafond.
AH: - Eh bien, ooh, d'accord ... je ne peux pas dire. Je ne suis pas tout à fait un monstre pro-état direct, mais ma perception est légèrement modifiée, vous savez, par les gens qui viennent nous voir et disent: "Mon enfant a disparu, aidez-moi à le retrouver." Je dis: "Je ne peux rien faire sans la permission du tribunal." Vous regardez ces parents, qui donneraient tout dans leur vie, donneraient accès à toutes les données - uniquement pour résoudre leur problème. Par conséquent, il est très difficile pour moi de mener une telle discussion: d'une part, je pense que l'État fait la bonne chose lorsqu'il attrape de vraies personnes, et d'autre part, donner un accès incontrôlé est une histoire terrible.
Revenons à votre truc, "litière" qui distrait. Je ne crois pas du tout aux sacs en aluminium. Avoir un téléphone portable et l'envelopper dans du papier d'aluminium est assez stupide. Pourquoi faire ça? Pour empêcher le téléphone de se connecter au Wi-Fi? Il est plus facile de l'éteindre. Pour que l'opérateur mobile ne vous identifie pas? Ils peuvent donc toujours trianguler le signal, en quelque sorte le calculer. Pour moi, les seules mesures de sécurité efficaces - c'est un référentiel, protégé, comme un réseau local - peut-être dans un appartement où l'on peut stocker quelque chose.
Z: - Il y a une question de législation. La législation est-elle répressive à l'égard d'une personne qui souhaite vérifier ses données?
AH: - Je comprends, oui. Je ne connaissais même pas cette chose, donc je ne peux pas vous le dire avec certitude. En Russie, ce n'est pas le cas, bien que tout y soit très compliqué. Vous pouvez probablement consulter des avocats qualifiés et, peut-être, il y a une sorte d'échappatoire - peut-être devant un tribunal européen pour déposer ... Non? Je ne peux pas vous en parler. Mes connaissances en droit sont superficielles, au niveau du chef d'entreprise. Je sais ce que tu ne peux pas faire pour que personne ne te dise rien. Ceci, bien sûr, est très triste.
Z: - Je veux dire, dans d'autres pays (par exemple, aux États-Unis), il est normal que vous puissiez tester une sorte de vulnérabilité, puis la déclarer, mais pas la divulguer.
AH: "Oui, un bug bounty." J'ai réalisé qu'il y en avait un.
Z: - Et les entreprises n'ont pas de mécanisme pour vous retirer, car c'est moins cher.
AH: - Cette chose frise également le niveau de la loi. Cela dépend de la façon dont vous trouvez cette vulnérabilité. Il me semble qu'une grande somme d'argent payée pour cette vulnérabilité en Amérique a été versée en vertu d'un accord de non-divulgation et a menacé de poursuivre cette personne. Aussi, comme si vous teniez une bougie. Nous risquons toujours une telle chose. Mes employés ont trouvé plusieurs vulnérabilités similaires dans diverses applications gouvernementales - je dis toujours: "Envoyez une lettre anonyme mieux que vous ne leur dites que le trou est là." Et puis viendra un institut de recherche qui mettra ce service ... En général, je ne continuerai pas.
Vérifier l'honnêteté de l'entreprise ne fonctionne pas: ne pas l'aimer - ne pas utiliser
Z: - Une telle question. Vous avez dit que vous aviez une expérience - 15 ticks devaient être cochés ... Supposons que l'utilisateur décoche toutes les cases. Qui contrôlera cela et comment? Comment le vérifier?
AH: - Honnêtement, je vais vous dire: personne ne le fait. Sérieusement. Le fait que vous ayez coché et décoché «Interdiction du suivi publicitaire» de Google ne signifie rien du tout. Malheureusement, même lorsque vous interdisez l'indexation des moteurs de recherche sur Vkontakte, les moteurs de recherche l'indexent quand même, et ils ne donnent tout simplement pas ces résultats à certaines personnes. Tout cela au niveau du manque d'autorités compétentes qui ne peuvent pas le vérifier. De plus, les entreprises qui le font sont privées. Facebook a la bonne ou la mauvaise position, ils en ont une: ne l'aimez pas - ne l'utilisez pas.
À propos de la réglementation
Z: - Je n'ai qu'une seule question simple. Et que pensez-vous de la question de la régulation du traitement des données, de l'autorégulation?
AH: - En tant que représentant de l'entreprise, je pense que le marché et les affaires ont besoin d'une autorégulation. Je crois que la Big Data Association peut tout réglementer elle-même, sans État. Je ne fais vraiment pas confiance à la réglementation de l'État et ne fais vraiment pas confiance à toutes les histoires lorsque l'État veut garder quelque chose à la maison, car chaque cas a montré que c'était très mauvais. Assurez-vous que quelqu'un colle le nom d'utilisateur et le mot de passe sur l'autocollant jaune sur le moniteur et ainsi de suite.
En général, je crois à l'autoritéégulation. De plus, je crois qu'au cours des 5 prochaines années, nous arrivons à une sorte d'ouverture. Même maintenant, vous pouvez déjà voir cela dans les fils de nouvelles qu'il est très difficile pour l'État de mentir aux utilisateurs, il est très difficile pour les utilisateurs de mentir au système. Et cela, en principe, est probablement bon. Puisque nous avons des officiers du renseignement sur les photos publiques publiéesTout cela conduit probablement à une baisse du taux de criminalité. Eh bien, purement mathématiquement. Si quelqu'un est intéressé à parler d'abaisser le taux de criminalité - il y a beaucoup de conclusions de toutes sortes qui peuvent être tirées. En général, je suis pour l'autorégulation du marché. Je vous remercie!
Un peu de publicité :)
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en recommandant à vos amis
des VPS basés sur le cloud pour les développeurs à partir de 4,99 $ , un
analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur les VPS (KVM) E5-2697 v3 (6 cœurs) 10 Go DDR4 480 Go SSD 1 Gbit / s à partir de 19 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher au centre de données Equinix Tier IV à Amsterdam? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?