В интернете уже давно работают компании, называемые брокерами данных, которые собирают беспрецедентные объёмы личной информации о миллиардах людей по всему миру, но мало кто осознаёт истинный масштаб их деятельности. И не всякий знает, что в некоторых случаях можно запросить удаление этой информации.

Источник изображения: Claudio Schwarz / unsplash.com

Сегодня тщательно собирается, упаковывается и продаётся с целью извлечения прибыли каждое действие человека в интернете: каждый клик, покупка и каждый «лайк». Агрегированная персональная информация в этих условиях оказываются ценным товаром, что доказывает мировая индустрия брокеров данных. И с развитием инструментов искусственного интеллекта возникает риск, что объёмы извлекаемых сведений ещё сильнее вырастут, а мир брокеров данных, и без того непрозрачный, станет ещё более агрессивным. Это усиливает опасения по поводу конфиденциальности данных.

По словам 67 % американцев, они мало или вообще ничего не понимают, что компании делают с их персональными данными, показали результаты исследования, проведённого Pew Research в 2023 году — в 2019 году таких было 59 %. И большинство (73 %) американцев считает, что у них «мало или совсем нет контроля» над тем, что компании делают с их информацией. Люди не осознают, что даже их номер телефона может использоваться брокерами данных или недобросовестными лицами для раскрытия крайне конфиденциальной информации: номера социального страхования, домашнего адреса, электронной почты и даже данных о семье. Крупные игроки в этой отрасли продают информацию ответственно, а мелкие и неизвестные могут обходить правила, нарушать этические границы и использовать персональные данные граждан так, что это может причинить им вред.

Среди крупнейших игроков, по версии профильного сервиса OneRep, значатся Experian, Equifax, TransUnion, LexisNexis, Epsilon (ранее Acxiom) и CoreLogic, а также службы поиска людей Spokeo и Intelius. Эти компании работают в нескольких отраслях, обрабатывая как общедоступную информацию, так и закрытые конфиденциальные данные. Они предлагают различные услуги: маркетинговую аналитику, оценку кредитоспособности и проверку биографических сведений — при этом у них сформированы процедуры запроса собранных о себе данных или запроса на их удаление. Впрочем, компания может по-разному отреагировать за запросы из разных стран и даже штатов США.

Источник изображения: Pawel Czerwinski / unsplash.com

Ниже приводятся типы информации, которую обычно собирают брокеры данных, по словам опрошенных CNBC экспертов по вопросам конфиденциальности.

• Основные идентификаторы: полное имя, домашний адрес, номер телефона и адрес электронной почты.
• Финансовые данные: кредитные рейтинги и история платежей.
• История покупок: что потребитель ищет в интернете, что и где покупает, и как часто покупает определённые продукты.
• Данные о здоровье: медикаменты, заболевания, а также взаимодействие потребителя с приложениями или сайтами, связанными со здравоохранением.
• Поведенческие данные: информация о том, что человеку нравится, не нравится, и какие типы рекламы он, вероятно, будет смотреть.
• Данные о местоположении в реальном времени: данные спутниковой геопозиции из приложений, которые отслеживают поездки потребителя, где он совершает покупки и как часто посещает определённые места.
• Предположительные характеристики: на основе истории просмотра и потребления медиа — посещения сайтов, чтения статей, просматриваемых видео — брокеры данных составляют сводку об образе жизни человека, его доходе, предпочтениях, религиозных или политических убеждениях, хобби и даже вероятности благотворительного пожертвования.
• Отношения с семьёй, друзьями и коллегами: анализируя связи с друзьями, контактами в соцсетях и мессенджерах, брокеры данных могут составить карту отношений отдельного человека и даже отслеживать, как часто он взаимодействует с определёнными лицами, чтобы оценить глубину этих связей.

Брокеры данных продолжают работать под незначительным контролем, поскольку их работа регламентируется не везде: есть Общий регламент по защите данных (GDPR) в ЕС и некоторые нормативные акты в двадцати американских штатах, но и там нет уверенности, что эти компании действуют надлежащим образом. Чтобы начать полноценную работу по защите конфиденциальности, обществу необходимо осознать, какие объёмы личной информации передаются ежедневно, говорят эксперты. Полностью скрыться современный человек уже не может, но в его силах выработать новые привычки и овладеть новыми средствами, которые ограничат раскрытие данных. Например, некоторым мобильным приложениям следует ограничить доступ к геопозиции, в отдельных случаях лучше отказываться от сохранения файлов cookie и воздерживаться от публикации личных данных в интернете. Поможет применение защищённых браузеров и блокировщиков трекеров.

Американские потребители имеют возможность отказаться от передачи своей личной информации некоторым брокерам данных, а также запросить её удаление — в отдельных случаях такой запрос обрабатывается всего один рабочий день. Но эта процедура иногда оказывается намеренно усложнённой, указывают эксперты, а ранее удалённые персональные данные могут опять появиться в той же базе, но уже из других источников. Существуют также службы, преимущественно платные, которые берут на себя составление и отправку запросов на удаление данных у разных операторов. Тем же, кто решит действовать самостоятельно, рекомендуется выполнить поиск своей персональной информации через Google и связаться с администрациями сайтов, где эта информация может обнаружиться. Или произвести поиск на ресурсах самих брокеров данных — у них же может быть форма запроса на удаление. В некоторых случаях, вероятно, потребуется решать вопрос в судебном порядке.

Перспективы отрасли брокеров данных включают в себя как положительные, так и отрицательные аспекты. С одной стороны, развитие ИИ способно значительно упростить работу этим компаниям. С другой, защитой от них могут стать блокчейн, технологии повышения конфиденциальности, а также развитие законодательной базы. Но пока соответствующие нормы не приняты, брокеры данных продолжат собирать максимально возможные объёмы информации — для них это источник дохода, и чем больше информации о каждом человеке собрано, тем она точнее, а значит, дороже.

Использование сложных паролей с комбинацией различных типов символов и регулярная смена паролей признана Национальным институтом стандартов и технологий США (NIST) малоэффективной практикой, сообщает Forbes. Хакеры легко взламывают такие пароли. NIST опубликовал новые рекомендации для пользователей и компаний в рамках второго публичного документа NIST SP 800-63-4 по цифровой идентификации.

Источник изображения: Copilot

Многие годы считалось, что для надёжности пароли должны быть максимально сложными, включать заглавные и строчные буквы, цифры и специальные символы. Предполагалось, что такие пароли будет сложнее угадать или взломать с помощью специальных программ. Однако со временем эксперты пришли к выводу, что чрезмерная сложность паролей приводит к обратному эффекту.

Согласно новому руководству, NIST больше не настаивает на соблюдении строгих правил, касающихся сложности паролей, а вместо этого рекомендует делать их длиннее. Причин для этого оказалось несколько. Во-первых, как показали исследования, пользователям сложно запоминать сложные пароли, что часто приводит к тому, что они начинают использовать один и тот же пароль на разных сайтах или придумывают слишком простую комбинацию символов, лишь бы соответствовать минимальным требованиям. Примером может служить пароль вроде «P@ssw0rd123», который технически соответствует сложным условиям, но легко поддаётся угадыванию.

Во-вторых, требование менять пароли каждые 60-90 дней, которое ранее было распространённой практикой во многих организациях, также больше не рекомендуется. Это требование часто только ухудшало ситуацию, так как приводило к созданию менее надёжных паролей из-за необходимости их частой смены. NIST рекомендует отказаться от сложных паролей в пользу длинных и простых, и объясняет почему.

Сила пароля часто измеряется понятием энтропии — количеством непредсказуемой комбинации символов. Чем выше энтропия, тем сложнее злоумышленникам взломать пароль методом подбора. Хотя сложность пароля может увеличивать энтропию, длина пароля на основе простых символов, как выяснилось, играет гораздо более важную роль.

NIST предлагает использовать длинные пароли, которые легко запомнить, в частности, фразы из нескольких простых слов. Например, пароль в форме фразы «bigdogsmallratfastcatpurplehatjellobat» будет как безопасным, так и удобным для пользователя, хорошо знающим английский язык. Такой пароль сочетает в себе высокую энтропию и лёгкость использования, что помогает избежать небезопасных привычек, таких как записывание паролей или повторное их использование.

Хотя современные технологии значительно упростили взлом коротких, но сложных паролей, тем не менее даже самые продвинутые алгоритмы сталкиваются с трудностями при попытке взлома длинных паролей из-за огромного числа возможных комбинаций. В качестве недавнего примера можно привести изменение пароля мэра Нью-Йорка Эрика Адамса (Eric Adams). Он заменил свой четырёхзначный код на шестизначный на личном смартфоне перед тем, как передать его правоохранительным органам. Это изменение увеличило количество возможных комбинаций подбора символов с 10 тысяч до 1 миллиона.

На сегодняшний день NIST рекомендует компаниям разрешить пользователям создавать пароли длиной до 64 символов. Такой длинный пароль, даже если он состоит только из строчных букв и знакомых слов, будет чрезвычайно сложен для взлома. А если добавить к нему заглавные буквы и символы, взлом такого пароля станет практически невозможным. Таким образом, в новых рекомендациях NIST сделал акцент на длину пароля как на главный фактор его безопасности.

В конце этой рабочей недели Федеральная комиссия по торговле США (FTC) сообщила, что её расследование выявило более обширный сбор отдельными социальными сетями и стриминговыми сервисами персональных данных по сравнению с декларируемым. По сути, ряд компаний обвиняется властями США в несанкционированном сборе информации о потребителях, включая несовершеннолетних.

Источник изображения: Pixabay

Как сообщает The New York Times, под подозрение попали девять компаний, включая Meta✴ Platforms, YouTube и TikTok. Предоставляя свои услуги преимущественно бесплатно для пользователей, они зарабатывают на сборе информации о них с целью дальнейшей её продажи рекламодателям. Последние с помощью подробного демографического среза аудитории могут адресно продвигать те или иные товары и услуги своих клиентов. Кроме того, указанные компании, по мнению FTC, недостаточно хорошо защищают пользователей, особенно детей и подростков.

По данным FTC, своё расследование комиссия начала почти четыре года назад с целью первого в своей истории подробного изучения «непрозрачной деловой практики» крупнейших онлайн-платформ, которые оперируют многомиллиардными рекламными оборотами благодаря доступа к пользовательской информации. По данным агентства, расследование доказывает необходимость усиления контроля за этой сферой со стороны федерального законодательства США, а также введения некоторых ограничений на способы использования персональных данных компаниями.

Председатель FTC Лина Хан (Lina Khan) заявила: «Практика слежения угрожает частной жизни людей и их свободам, подвергая их целому набору угроз, от кражи личности до преследования». Американские регуляторы уже давно выражают обеспокоенность влиянием социальных сетей на ментальное здоровье подрастающего поколения граждан, но пока попытки законодателей усилить контроль за данной сферой в основной своей части потерпели неудачу. Лина Хан также отметила, что попытки усилить меры саморегулирования деятельности компаний также ни к чему не привели.

FTC начала своё расследование в декабре 2020 года, охватив деятельность девяти компаний, владеющих 13 платформами. Свои выводы комиссия строила на основе изучения данных о деятельности компаний в период с 2019 по 2020 годы, уделяя первостепенное внимание методам сбора информации, её использования и хранения. В поле зрения регуляторов попали платформы YouTube, TikTok, Facebook✴, Whatsapp, Instagram✴, Messenger, Twitch, Discord, Snapchat, Reddit и X. Руководство комиссии не стало пояснять, в какой мере та или иная компания нарушает интересы пользователей в части защиты персональных данных.

FTC выяснила, что компании получали недостающую информацию о пользователях через другие платформы, а порой покупали дополнительные данные о тех людях, которые не являлись их клиентами. Большинство компаний собирали информацию о возрасте, поле и языковых предпочтениях пользователей, некоторые дополняли её данными об образовании, уровне дохода и семейном положении. У пользователей при этом не было реальных возможностей отказаться от предоставления информации о себе, а компании нередко хранили информацию значительно дольше, чем требовалось по условиям соглашения с пользователями. Информация о клиентах буквально объединялась в подробные досье для предоставления рекламодателям.

Регуляторы также обнаружили достаточное количество пользователей в возрасте до 13 лет на платформах, которые на уровне правил декларировали запрет на их подключение к своим ресурсам. Во многих приложениях сбор данных о подростках осуществлялся в том же объёме, что и о взрослых. Отдельные компании даже затруднялись объяснить следователям, насколько велик объём собираемых данных.

Лина Хан в позапрошлом году инициировала процесс создания правил демонстрации рекламы пользователям онлайн-сервисов. В январе Epic Games была вынуждена согласиться с выплатой штрафа в размере $500 млн за нарушение законов в части неприкосновенности частной жизни несовершеннолетних граждан. В 2022 году социальная сеть X (ранее Twitter) была оштрафована на $150 млн за злоупотребления в области использования данных о клиентах для адресной рекламы.

Ирландская комиссия по защите данных (DPC) начала расследование в отношении Google из-за использования личной информации при разработке ИИ-модели Pathways Language Model 2 (PaLM 2). Регулятор проверит, соблюдал ли техногигант требования Общего регламента по защите данных (General Data Protection Regulation, GDPR) при обработке персональных данных граждан Европейского союза (ЕС) и Европейской экономической зоны.

Источник изображения: franganillo / Pixabay

ИИ-модель PaLM 2 увидела свет в мае 2023 года и предшествовала появлению ИИ-моделей Gemini, которые в настоящее время лежат в основе ИИ-продуктов американской корпорации. Gemini, запущенная в декабре того же года, стала ключевой моделью для генерации текста и изображений в сервисах Google.

Согласно GDPR, компании обязаны проводить оценку влияния своих продуктов на защиту данных перед началом обработки личной информации, особенно в случаях, когда характер её использования может представлять высокий риск для прав и свобод граждан. Это требование особенно актуально для новых технологий и имеет «решающее значение для обеспечения адекватного учёта и защиты основных прав и свобод человека», говорится в заявлении регулятора.

Расследование DPC в отношении Google — это не первый случай пристального внимания европейского регулятора к разработке техногигантами больших языковых моделей. В июне 2023 года, после консультаций с DPC, компания Meta✴ приостановила обучение своей ИИ-модели на общедоступном контенте, размещённом пользователями Facebook✴ и Instagram✴ в Европе. Впоследствии Meta✴ ограничила доступность некоторых своих ИИ-продуктов для пользователей в этом регионе.

Ещё одним примером вмешательства DPC стала ситуация с компанией X. В июле пользователи платформы обнаружили, что их публикации используются для обучения ИИ-систем стартапа xAI, основанного Илоном Маском (Elon Musk). В августе платформа приостановила обработку данных европейских пользователей для обучения собственного ИИ-чат-бота Grok после судебного разбирательства с DPC. Это был первый случай, когда регулятор использовал свои полномочия для принятия подобных мер в отношении технологической компании.

В России за первое полугодие 2024 года в открытый доступ попали 986 млн строк персональных данных (ПД), превысив на 33,8 % показатель первого полугодия 2023 года, пишут «Ведомости» со ссылкой на отчёт InfoWatch. Также выросло количество зарегистрированных случаев утечек — с 377 в аналогичном периоде прошлого года до 415 (рост — 10,1 %).

Источник изображения: TheDigitalArtist / Pixabay

Руководитель направления аналитики и специальных проектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев отметил, что больше половины этого объёма пришлось на один инцидент, зарегистрированный Роскомнадзором (РКН), когда в Сеть утекли 500 млн строк данных. Однако ведомство не уточняет, какая организация оказалась в качестве жертвы.

Представитель Роскомнадзора сообщил, что в первом полугодии 2024 года было выявлено 46 случаев размещения баз данных, имеющих признаки утечек ПД, но вместе с тем не указал объём скомпрометированных данных. РКН учитывает только те утечки, по которым им было проведено расследование.

Лидерство по количеству утечек сохранилось за онлайн-ретейлом, на который за полгода пришлось 30,8 % зарегистрированных инцидентов, что значительно больше 19,6 % годом ранее. Как отметил Арсентьев, именно из-за стремительного роста количества утечек информации в торговле, где объектами атак зачастую выступают небольшие интернет-магазины со слабым уровнем информационной безопасности, произошёл общий рост количества утечек в России.

По данным «Инфосистемы джет», на интернет-магазины пришлось больше всего утечек — свыше 80 с более 45 млн строк данных. Арсентьев отметил, что также в первом полугодии выросла доля утечек данных в промышленности — с 3,7 % в прошлом году до 5,5 %. А в InfoWatch сообщили о продолжающейся тенденции к росту количества утечек из организаций малого бизнеса и от ИП.

Объектами хакеров становятся небольшие проекты, ограниченно инвестирующие в ИБ, говорит руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина. К тому же в небольших компаниях игнорируют существующие проблемы с ИБ, утверждает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков.

Также возросло количество утечек в муниципальных органах власти и организациях, сообщил руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров, объяснив тренд низким уровнем осведомлённости о киберугрозах, недостаточными инвестициями в безопасность и защиту данных, а также нередким использование неподходящих или устаревших средств защиты.

В InfoWatch отметили, что основной причиной роста числа утечек остаётся напряженная геополитическая обстановка и связанные с ней массированные атаки на российские компании и госсектор. Сообщается, что более 99 % утечек в России носят умышленный характер, на случайные нарушения пришлось всего 0,5 % инцидентов (годом ранее — 1,5 %).

Директор по продуктам Servicepipe Михаил Хлебунов назвал в числе причин увеличения числа утечек рост и масштабирование отечественных сервисов, пришедших на замену покинувшим российский рынок западным. «Освободившаяся ниша — это возможность стартовать для новых продуктов. Но бурный рост аудитории продукта требует внимания к обеспечению ИБ, что, в свою очередь, подразумевает наличие высококвалифицированных специалистов и средств защиты. Зачастую экономика быстро растущего проекта не имеет статьи затрат на ИБ, а если есть деньги, то наем может быть долгим — от шести месяцев», — говорит эксперт.

Вместе с тем снизилось число инцидентов в финансовом секторе, у госучреждений, а также IT-секторе, где стали активно инвестировать в безопасность, сообщил Арсентьев, добавив, что в 2024 году стали реже утекать крупные базы ПД: количество скомпрометированных баз объёмом от 1 млн записей сократилось в России на 44,6 % (с 56 до 31), объёмом от 10 млн — на 35,7 % (с 14 до 9). По данным DLBI, за отчётный период число крупных утечек сократилось в 3 раза с 60 до 20.

В свою очередь, Бедеров отметил тенденцию к улучшению ИБ в крупных российских организациях в последние годы, в том числе внедрение многофакторной аутентификации, шифрование данных, а также проведение регулярных аудитов безопасности.

Компания Microsoft подала заявку на регистрацию патента на новую технологию, которая использует отслеживание взгляда для защиты информации на экране компьютера от посторонних глаз в общественных местах. Таким образом компания хочет обеспечить пользователям инновационный уровень конфиденциальности.

Источник изображения: Alex Kotliarskyi / Unsplash

Компания Microsoft представила интересное решение для защиты конфиденциальности пользователей. Согласно недавно опубликованному патенту, технологический гигант разрабатывает систему, которая будет использовать отслеживание движения глаз для маскировки частей экрана, на которые пользователь не смотрит в данный момент, сообщает ExtremeTech.

Новая технология предназначена для использования в общественных местах, где существует риск «визуального взлома», то есть несанкционированного просмотра конфиденциальной информации посторонними лицами. Система будет автоматически размывать или шифровать те области экрана, которые находятся вне фокуса внимания пользователя.

В отличие от существующих на сегодня способов в виде физических плёнок конфиденциальности или программного обеспечения, которое просто затемняет весь экран кроме небольшой области, технология Microsoft обещает более естественное использование устройства. Патент описывает «методы прогнозирования взгляда», которые будут предугадывать, куда пользователь посмотрит дальше, постепенно открывая соответствующие части экрана.

«У типичного читателя мозг использует периферийную информацию во время чтения, чтобы предвидеть структуру предложения и абзаца, поддерживая естественную скорость чтения», — говорится в патенте. То есть во время чтения человек не только фокусируется на конкретных словах или символах, на которые направлен его взгляд, но и обрабатывает информацию, которая находится вокруг этой точки фокуса. Это включает в себя слова и символы, которые находятся слева и справа от текущего фокуса внимания, а также выше и ниже.

Источник изображения: Microsoft

Такая информация помогает нашему мозгу предвидеть, как будут строиться предложения и абзацы, что позволяет поддерживать естественную и плавную скорость чтения. Новая система призвана сохранить этот процесс, в отличие от существующих решений, которые могут сделать чтение некомфортным и менее эффективным.

Хотя пока неизвестно, станет ли эта технология реальным продуктом, она представляет собой потенциально более совершенную альтернативу существующим методам защиты конфиденциальности экранов. Однако стоит отметить, что реальная угроза «визуального взлома» может быть несколько преувеличена.

Исследования, подтверждающие серьёзность этой проблемы, в основном спонсировались производителями физических фильтров конфиденциальности. Например, компанией 3M, которая производит и продаёт такие наклеивающиеся на монитор плёнки. Тем не менее, для пользователей, особенно обеспокоенных приватностью или работающих с «чувствительными» данными, технология Microsoft может оказаться полезной.

Бортовые системы автомобилей давно превратили машины в своего рода «смартфоны на колёсах», а потому вопросы приватности, специфичные для рынка мобильных устройств, планомерно возникли и при эксплуатации транспортных средств. Федеральная комиссия по торговле США (FTC) недавно предупредила автопроизводителей, что те не должны злоупотреблять доступом к пользовательской информации.

Источник изображения: Honda Motor

Речь идёт о попытках автопроизводителей получить дополнительный заработок на информации, которую они получают от водителей, как поясняет Ars Technica. Использовать данные о клиентах автопроизводители могут только в тех целях, которые предусмотрены условиями предоставляемых ими услуг. Стремление инвесторов увеличить монетизацию услуг не должно толкать автопроизводителей к пренебрежению правами граждан на защиту личной информации, по мнению американских регуляторов.

До сих пор информационная безопасность заботила автопроизводителей в меньшей степени, чем безопасность движения, но прорехи в первой способны представлять угрозу для второй, поскольку злоумышленник может перехватить управление важными системами автомобиля. Пренебрежение правилами использования персональных данных автовладельцев со стороны автопроизводителей нередко выливается в негласное предоставление информации с бортовых систем страховым компаниям. Склонные к агрессивному вождению автовладельцы в итоге сталкиваются с ростом тарифов на страховку без видимых на то причин. FTC рекомендует автопроизводителям не вести сбор информации об автовладельцах без явной необходимости, но пока не грозит какими-то карательными мерами участникам автомобильного рынка США.

В Великобритании вступил в силу закон, обязывающий производителей гаджетов соблюдать минимальные стандарты кибербезопасности и защищать устройства от несанкционированного доступа. Одним из положений новый закон запрещает поставки гаджетов со слишком простыми стандартными паролями.

Источник изображения: Copilot

В понедельник в Великобритании вступили в силу новые правила, направленные на повышение кибербезопасности интеллектуальных устройств. Согласно этим правилам, производители смартфонов, телевизоров, умных домофонов и других гаджетов обязаны обеспечивать защиту подключенных к интернету устройств от несанкционированного доступа, сообщает издание The Guardian.

В частности, теперь запрещается поставлять устройства со слабыми паролями по умолчанию, такими как «admin» или «12345». Пользователям также рекомендуется менять стандартные пароли при настройке гаджетов. Кроме того, производители должны четко указывать сроки выпуска обновлений безопасности и предоставлять потребителям контакты для сообщения об ошибках и уязвимостях.

Такие строгие меры призваны повысить уверенность покупателей и снизить риски хакерских атак, от которых в последнее время страдают как простые пользователи, так и компании. По словам министра науки и технологий Великобритании Джонатана Берри (Jonathan Berry), новые правила должны «обеспечить безопасность личных и банковских данных, и в целом конфиденциальность» британцев.

Организация по защите прав потребителей Which?, давно выступавшая за ужесточение стандартов кибербезопасности, приветствовала это решение и считает, что контролирующие органы также должны «жестко следить за исполнением новых правил производителями и принимать при необходимости немедленно принимать меры к нарушителям». По мнению Which?, это значительно повысит кибербезопасность для рядовых потребителей и бизнеса.

Однако есть те, кто раскритиковал новый закон. Так, некоторые эксперты полагают, что ответственность за обеспечение кибербезопасности несправедливо перекладывается только на производителей, потребители тоже должны проявлять бдительность и не использовать слабые пароли. Кроме того, как показывает практика, злоумышленники быстро адаптируются к новым мерам безопасности. Тем не менее, большинство людей положительно оценивают инициативу британского правительства, а повышенные требования к кибербезопасности могут стать новым глобальным стандартом для индустрии интеллектуальных устройств.

Спустя неделю после голосования за законопроект о принудительном отчуждении TikTok у китайского владельца Палата представителей США приняла ещё один знаковый законопроект — он направлен на защиту данных американцев от компаний из недружественных стран.

Источник изображения: 10302144 / pixabay.com

«Закон о защите данных американцев от иностранных противников» (Protecting Americans’ Data from Foreign Adversaries Act, HR 7520) запрещает информационным брокерам продавать персональные данные американцев в недружественные государства, такие как Китай, Россия, Северная Корея и Иран. Операторы, уличённые в продаже такой информации как данные о местоположении и состоянии здоровья пользователей в эти страны, могут быть оштрафованы Федеральной торговой комиссией (FTC). Законопроект был единогласно принят всеми 414 проголосовавшими членами Палаты представителей.

Документ был разработан представителями обеих крупнейших партий США, и перед голосованием в Палате представителей он был единогласно одобрен всеми членами профильного комитета, как и законопроект в отношении TikTok. Новый законопроект отличается тем, что в нём не упоминаются конкретные компании — он налагает ограничения на полномочия информационных брокеров в отношении «продажи, лицензирования, сдачи в аренду, торговли, передачи, публикации, раскрытия, предоставления доступа или иного открытия конфиденциальных данных человека в Соединённых Штатах» иностранным противникам или подконтрольным им организациям. Обеспечивать соблюдение новых норм будет FTC.

Охватываемые законопроектом конфиденциальные данные включают биометрическую и генетическую информацию, номера социального страхования, медицинские диагнозы или методы лечения, а также точные данные геолокации.

В 2024 году произошёл инцидент, в результате которого в Сеть утекли 500 млн записей о россиянах — всего с начала года зафиксирована утечка 510 млн таких записей. Об этом сообщило ТАСС со ссылкой на замглавы Роскомнадзора Милоша Вагнера.

Источник изображения: tookapic / pixabay.com

«Всего утекло 510 млн, из них 500 [млн] — это одна утечка. Мы её сейчас расследуем», — заявил господин Вагнер. Если сравнивать текущее положение вещей с ситуацией в 2022 и 2023 годах, то число инцидентов с утечками персональных данных россиян выросло, но объёмы утечек снизились. Последний случай стал исключением. «А в этом году одним этим случаем покрыли практически весь предыдущий год», — добавил замглавы Роскомнадзора.

В течение 2023 года ведомство зарегистрировало 168 утечек персональных данных россиян — в результате этих инцидентов в Сети оказались 300 млн записей. В 2022 году злоумышленники похитили 600 млн записей о российских гражданах, при этом было зафиксировано 140 утечек.

С начала 2024 года Роскомнадзор зафиксировал 19 утечек персональных данных, в результате которых были похищены 510 млн записей с информацией о россиянах. Об этом сообщило ТАСС со ссылкой на пресс-службу Роскомнадзора.

Источник изображения: Pete Linforth / pixabay.com

«С начала 2024 года Роскомнадзор выявил 19 фактов утечек персональных данных, в сеть попали более 510 млн записей», — приводит ТАСС заявление пресс-службы ведомства. Для сравнения, за весь 2023 год Роскомнадзор установил 168 утечек персональных данных, но в рамках этих инцидентов в Сеть попали лишь 300 млн записей о россиянах. В 2022 году ведомство зафиксировало более 140 утечек — это коснулось 600 млн записей о россиянах.

В декабре минувшего года в Госдуму внесли два законопроекта, предусматривающие ужесточение ответственности для компаний, допустивших утечки персональных данных. Один из них включает введение оборотных штрафов — взысканий, исчисляемых от дохода компании за определённый период. В настоящее время максимальное наказание для компании за подобный инцидент составляет 300 тыс. руб. — законопроект предлагает установить максимальное значение на отметке 500 млн руб., а также ввести штрафы до 200 тыс. руб. для физлиц и до 1 млн руб. для должностных лиц. Второй законопроект вводит за такие инциденты уголовную ответственность вплоть до четырёх лет лишения свободы.

Mozilla представила улучшенный вариант своего сервиса мониторинга конфиденциальности с платной подпиской под названием Mozilla Monitor Plus. За 8,99 долларов в месяц в рамках годовой подписки сервис будет автоматически отслеживать более чем 190 брокерских сайтов, где продаётся информация, собранная из онлайн-источников, таких как социальные сети, приложения и трекеры. Если информация будет найдена, сервис сформирует запрос на её удаление.

Источник изображения: mozilla.org

Менеджер по продукту Mozilla Monitor Тони Чинотто (Tony Cinotto) сообщил, что Mozilla сотрудничает с компанией Onerep для выполнения этих сканирований и последующих запросов на удаление. Обработка запросов обычно занимает от 7 до 14 дней, но иногда автоматическое удаление информации оказывается невозможным. Mozilla продолжит работу по совершенствованию своего сервиса, а также предоставит подписчикам Mozilla Monitor Plus инструкции по самостоятельному удалению данных.

Новая платная подписка Mozilla Monitor Plus основана на бесплатном мониторинге даркнета Mozilla Monitor (ранее Firefox Monitor) — службы, которую Mozilla впервые представила в 2018 году. По словам Mozilla, пользователи бесплатной версии Basic Monitor могут по-прежнему рассчитывать на бесплатное сканирование брокеров данных по запросу, постоянное автоматическое ежемесячное сканирование и однократное формирование запросов на удаление.

Mozilla заявляет, что при сканировании брокера данных в интернете пользователь может обнаружить огромное количество персональной информации, начиная с имени, домашнего адреса и профессиональной деятельности и заканчивая данными о криминальном прошлом, хобби или учебном заведении детей.

Сервисы по поиску и удалению персональных данных довольно распространены, но широкой известности не завоевали, поэтому их поиск с высокой вероятностью может привести на мошеннический сайт. Именно здесь может помочь репутация Mozilla как дочерней компании некоммерческой организации Mozilla Foundation с открытым исходным кодом, которая заботится о конфиденциальности.

Mozilla Monitor Plus теперь доступен за 8,99 долларов США в месяц, тогда как стандартный Mozilla Monitor остаётся бесплатным. В течение последних нескольких лет Mozilla предложила и другие сервисы, ориентированные на конфиденциальность, такие как Mozilla VPN и Firefox Relay.

После многомесячного расследования, проведённого итальянским органом по защите данных DPA (Data Protection Authority) в отношении ИИ-чат-бота ChatGPT, компанию OpenAI обвинили в нарушении законов о конфиденциальности ЕС. Подтверждённые нарушения в обращении с персональными данными могут повлечь за собой штрафы на сумму до €20 млн, или до 4 % годового оборота. У OpenAI есть 30 дней, чтобы ответить на обвинения.

Источник изображений: Pixabay

Итальянские власти выразили обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR) в прошлом году, что привело к временной приостановке работы чат-бота на европейском рынке. DPA Италии 30 марта в так называемом «реестре мер», подчеркнул отсутствие подходящей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, склонность инструмента ИИ к «галлюцинациям» и потенциальные проблемы с безопасностью детей. Власти обвинили OpenAI в нарушении статей 5, 6, 8, 13 и 25 GDPR.

DPA располагают полномочиями требовать внесения изменений в способы обработки данных, чтобы прекратить нарушения конфиденциальности граждан ЕС. Таким образом, регуляторы могут заставить OpenAI изменить свой подход к обработке персональных данных или вынудить компанию прекратить предлагать свои услуги в странах Евросоюза.

Весной 2023 года OpenAI смогла относительно быстро возобновить функционирование ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Однако итальянские власти продолжили расследование и пришли к предварительным выводам, что инструмент ИИ от OpenAI нарушает законодательство ЕС. Итальянские власти пока не опубликовали список подтверждённых нарушений ChatGPT, но главной претензией к OpenAI, скорее всего, станет сам принцип обработки персональных данных для обучения моделей ИИ.

ChatGPT был разработан с использованием массы данных, извлечённых из общедоступного интернета — информации, которая включает личные данные отдельных лиц. А проблема, с которой OpenAI сталкивается в ЕС, заключается в том, что для обработки данных жителей ЕС требуется действительная правовая основа. GDPR перечисляет шесть возможных правовых оснований, большинство из которых просто не имеют отношения к данному контексту. В апреле прошлого года DPA Италии оставил для OpenAI только две законные возможности для обучения моделей ИИ: «подтверждённое согласие» или «законные интересы».

Учитывая, что OpenAI никогда и не пыталась получить согласие миллионов (а, возможно, миллиардов) пользователей интернета, чью информацию она собирала и обрабатывала для построения моделей ИИ, любая попытка заявить о наличии разрешения от европейцев на обработку их персональных данных обречена на провал. Поэтому у OpenAI осталась лишь возможность опираться на утверждение о «законных интересах». Однако эта основа также предусматривает право владельцев данных выдвигать возражения и требовать прекращения обработки своей персональной информации.

Источник изображения: OpenAI

Теоретически, каждый житель ЕС имеет право потребовать от OpenAI изъять и уничтожить незаконно обученные модели и переобучить новые модели без использования его данных. Но даже если предположить возможность идентификации всех незаконно обработанных данных, подобную процедуру предстоит произвести для каждого возражающего гражданина ЕС, что практически невозможно реализовать на практике.

Существует и более широкий вопрос: признает ли в конце концов DPA, что «законные интересы» вообще являются действительной правовой основой в этом контексте. Такое решение регулятора выглядит маловероятным. Ведь обработчики данных должны сбалансировать свои собственные интересы с правами и свободами людей, чьи данные обрабатываются, оценить возможность причинения им неоправданного вреда, а также учесть, ожидали ли люди такого использования их данных.

Примечательно, что в подобной ситуации Верховный суд ЕС ранее признал «законные интересы» неподходящим основанием для Meta✴ при отслеживании и профилировании пользователей в целях таргетирования рекламы в своих социальных сетях. Таким образом, существует негативный судебный прецедент для OpenAI, стремящейся оправдать обработку данных людей в огромных масштабах для создания коммерческого генеративного ИИ-бизнеса — особенно когда рассматриваемые инструменты создают всевозможные новые риски для названных лиц (дезинформация, клевета, кража личных данных и мошенничество лишь некоторые из них). OpenAI также находится под пристальным вниманием к соблюдению GDPR в Польше, где начато отдельное расследование по этому поводу.

OpenAI пытается нивелировать потенциальные регуляторные риски в ЕС, создавая отдельную организацию в Ирландии, которая в будущем должна стать поставщиком услуг ИИ для пользователей из ЕС. OpenAI надеется получить статус так называемого «основного учреждения» в Ирландии, что позволит ей использовать оценку соответствия требованиям GDPR только от Ирландской комиссии по защите данных и действовать в Евросоюзе через механизм «единого окна» регулирования, избежав надзора органов DPA каждой страны-члена ЕС.

Однако пока OpenAI ещё не получила этот статус, поэтому ChatGPT все ещё может столкнуться с расследованиями со стороны DPA в других странах ЕС. И даже получение статуса «основного учреждения» в Ирландии не прекратит уже открытое расследование и правоприменение в Италии.

DPA Италии сообщает, что органы по защите данных стремятся координировать надзор за ChatGPT, создав рабочую группу при Европейском совете по защите данных. Эти усилия могут, в конечном итоге, привести к более согласованным результатам в рамках отдельных расследований в отношении OpenAI. Тем не менее, на данный момент DPA каждого члена ЕС остаются независимыми и компетентными принимать решения на своих рынках самостоятельно.

Пресс-служба «Альфа-банка» опровергла сообщение об утечке данных миллионов своих клиентов. Отмечается, что утечек не было ни у самого банка, ни у его подрядчиков. Ранее в СМИ появились сообщения, что украинские хакеры опубликовали данные 38 млн клиентов «Альфа-банка», доступ к которым, по утверждению злоумышленников, был получен в октябре прошлого года. В банке опубликованные данные назвали компиляцией из разных источников.

Источник изображения: Pixabay

«Это фейк, данные клиентов банка в безопасности. Сведения скомпилированы из разных источников, где люди оставляют данные про себя», — сообщили в пресс-службе «Альфа-банка».

Это официальное сообщение было опубликовано в ответ на заявление хакерской группировки KibOrg, которая 8 января на своём веб-сайте сообщила о том, что опубликовала базу с данными 38 млн клиентов «Альфа-банка», как физических, так и юридических лиц. В сообщении злоумышленников говорилось, что в базе содержится разная информация, включая ФИО клиентов, даты рождения, номера счетов и телефонные номера, а также «другие интересные данные».

По утверждению хакеров, база состоит из 115 млн клиентских записей, начиная с 2004 года. Хакеры утверждали, что доступ к базе они смогли получить вместе с другой украинской группировкой NLB в октябре 2023 года. По их словам, уже осенью были опубликованы данные 44 тыс. клиентов. Однако тогда в «Альфа-банке» сообщение об утечке опровергли, назвав его фейком, а также заверив клиентов, что все данные находятся под защитой.

На сайте маркетинговой компании Cox Media Group (CMG) некоторое время назад был размещён баннер с однозначным и тревожным заявлением: «Это правда. Ваши устройства Вас слушают». Этим заявлением CMG спровоцировала панику, намекнув, что у неё есть доступ к частным разговорам людей, собираемым их телефонами, телевизорами и другой личной электроникой. Маркетинговая компания заявила, что использует эти личные разговоры для таргетинга рекламы своих клиентов.

Источник изображений: unsplash.com

Наверное, каждый пользователь интернета на себе испытал или хотя бы слышал от других: стоит только сказать вслух о желании приобрести кожаную куртку «как у Дженсена», как реклама таких кожаных курток начинает транслироваться из каждого утюга. Производители электроники с микрофонами порой признаются в продаже голосовых данных третьим лицам (рекламодателям), но обычно речь идёт о данных, накопленных после того, как пользователь разрешил устройству начать его прослушивать и согласился на сбор данных.

CMG ещё 28 ноября рассказала о технологии Active Listening («Активное прослушивание»), которая использует ИИ для «обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». По утверждению компании, она знает, «когда и на что настраиваться». CMG готова удовлетворить желание рекламодателей услышать каждый шёпот, который мог бы помочь им таргетировать рекламу: «Это мир, где ни один шум перед покупкой не останется без анализа, а слухи потребителей становятся для вас инструментом таргетинга, переориентации и завоевания местного рынка».

CMG не предоставила подробных и точных разъяснений своей технологии, сейчас информация об Active Listening пропала с сайта, а архивная версия даёт весьма расплывчатое представление о том, как эта функция якобы работает. CMG загружала на свою платформу данные, создавая «персонажи покупателей». Затем каждому персонажу ставились в соответствие ключевые слова, интересующие клиента CMG.

Процесс отслеживания описывался так: «Активное прослушивание начинается и анализируется с помощью искусственного интеллекта для обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». Далее обсуждался анализ данных при помощи ИИ и создание «зашифрованного вечнозелёного списка аудитории», используемого для таргетирования рекламы на различных платформах, включая потоковое телевидение и аудио, медийную рекламу, платные социальные сети, YouTube, Google и Bing.

Источник изображения: CMG

В ноябрьском сообщении в блоге CMG указывалось на неназванного технологического партнёра, который может «агрегировать и анализировать голосовые данные во время разговоров перед покупкой», а также на «растущие возможности доступа к данным микрофона на устройствах». Но компания никогда не объясняла, как получила вычислительные и сетевые ресурсы, необходимые для записи и отправки каждого разговора в радиусе действия устройства. Также неясно, как CMG могла получить доступ, требующий наличия ордера от правоохранительных органов.

Компания ссылалась на многостраничное соглашение об условиях использования устройств, которые обычно никто не читает, где мелким шрифтом якобы описывалась возможность использования технологий, подобных Active Listening. Ещё больше путаницы добавило утверждение CMG о сотрудничестве с Facebook✴, Microsoft, Google и Amazon, хотя в реальности CMG является просто участником рекламных партнёрских программ этих компаний.

Теперь CMG уверяет, что она «не прослушивает какие-либо разговоры и не имеет доступа к чему-либо, кроме стороннего агрегированного, анонимного и полностью зашифрованного набора данных, который может быть использован для размещения рекламы и сожалеет о любой путанице». Рекламные инструменты компании включают «продукты сторонних поставщиков, основанные на наборах данных, полученных от пользователей различными социальными сетями и другими приложениями, которые затем упаковываются и перепродаются поставщикам услуг данных».

Компания утверждает, что рекламные данные, основанные на голосовых и других данных, собираются этими платформами и устройствами в соответствии с условиями, предусмотренными этими приложениями и принятыми их пользователями, а затем могут быть проданы сторонним компаниям и преобразованы в анонимную информацию для рекламодателей. Эти обезличенные данные затем перепродаются многочисленными рекламными компаниями.

Как бы жутко ни звучали заявления CMG, некоторые из них не являются надуманными. Голосовые помощники дали электронике повод держать микрофоны включёнными круглосуточно. Крупные технологические компании оказываются перед выбором: максимально удовлетворить ожидания клиентов или в первую очередь обеспечивать конфиденциальность пользователей. За прошедшие годы это привело к множеству судебных разбирательств, в том числе громких процессов, которые продолжаются годами и во многом определяют будущее конфиденциальности потребителей.

Начиная с 2019 года против Google регулярно подаётся иск, обвиняющий Google Assistant в использовании данных после неверно воспринятой команды на активацию голосового управления (например, «Эй, пудель!» вместо «Эй, Google»). В июле 2021 года, добиваясь прекращения дела, Google заявила, что «никогда не обещала, что Google Assistant будет активироваться только тогда, когда истцы захотят этого». Google также отметила, что не сохраняет аудиозаписи. В 2022 году в очередном иске против Google утверждалось, что компания собирает данные распознавания голоса и лица без согласия пользователя. Google утверждает, что это «является неверной характеристикой её продуктов».

Другим примером является борьба Apple с обвинениями в записи разговоров пользователей без запроса с их стороны к Siri. Apple утверждает, что Siri не слушает пользователей, если она не активирована, а компания «активно работает над улучшением Siri, чтобы предотвратить непреднамеренные срабатывания и предоставлять визуальные и звуковые сигналы… чтобы пользователи знали, когда Siri срабатывает».

На фоне судебных разбирательств и заверений от компаний о защите конфиденциальности клиентов, маркетологи и рекламодатели продолжают попытки вторжения в личные устройства с целью монетизации полученных персональных данных. И, хотя возможности CMG оказались преувеличенными, сам факт её заявлений многое говорит о неясном состоянии конфиденциальности и доверия потребителей, когда дело касается персональных интеллектуальных устройств. Одного этого уже достаточно, чтобы пересмотреть использование интеллектуальных продуктов с микрофоном и освежить понимание пользовательских соглашений и настроек конфиденциальности.