Privacy Day 2023: приватность во время кризисов и рост утечек данных
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Читайте об опыте стран евразийского региона, русском парадоксе приватности, а также смотрите интервью с писателем-фантастом Cory Doctorow, директором по исследованиям OONI Maria Xynou и продакт-менеджером Proton Antonio Cesarano.
Делимся с вами итоговым материалом с выводами и выдержками с прошедшей Международной конференции Privacy Day 2023. Это мероприятие традиционно было приурочено к Международному дню защиты данных и имело своей целью включение русскоязычного сообщества по всему миру в обсуждение темы приватности и защиты информации.
Выдержки из выступлений читайте ниже, полную версию смотрите на YouTube.
Интервью с Кори Доктороу: приватность, свобода интернета и кибервойны
OONI: Больше цензуры — меньше приватности
Приватность навсегда. Что делает Proton для доступности сервисов в России
Панельная дискуссия «Утечки данных как трансграничная проблема. Опыт стран евразийского региона»
Михаил Емельянников, Россия: «Теперь у нас есть физическая и цифровая личности, что делать со второй, никто не знает»
«Я давний и последовательный сторонник драконовских штрафов за утечки, потому что никаких способов заставить бизнес защищать наши с вами данные я не вижу», — заявил управляющий партнёр консалтинговой компании «Емельянов, Попова и партнёры» Михаил Емельянников.
Но хотя штрафы за утечки в России растут, по мнению юриста, панацеей это назвать нельзя, потому что увеличение штрафов не заставило компании относиться к персональным данным бережнее. Эксперт видит в этом ряд следующих причин-проблем.
Первая проблема — закон не дает чёткого определения утечек. Утечками называют как умышленную передачу персональных данных (ПД), так и случайную, какой является, например, отправка письма не тому пользователю.
Вторая проблема заключается в том, что и закон, и Роскомнадзор считает вред от утечек незначительным вредом. И операторы данных пользуются этим, прикрываясь при утечках тезисами о том, что слитые базы якобы неактуальны, скомпилированы, данные в них сфабрикованы или не содержат чувствительной информации и т.д.
Третья проблема связана с установлением владельца базы. Так, в Минцифры назвали взлом Госуслуг компиляцией, а «Почта России» заявила, что данные в утёкшей базе неактуальны.
«Я заглядывал в базу <Госуслуг>. Там реальные данные. <...> “Почта России” говорит, что данные неактуальны. Что значит неактуальны? Это значит, что пользователи поменяли телефоны и адреса электронной почты?» — задаётся вопросом Емельянников.
Четвёртый пункт — как ни странно, проблема смягчения ответственности, дискуссия о котором идёт параллельно с дискуссией об ужесточении наказания.
Пятая проблема — препоны для бизнесы, например, возможное дробление компаний в целях уменьшения выплачиваемых штрафов. Крупный бизнес сопротивляется как введению оборотных штрафов, так и уведомлению об утечках.
Наконец, шестое — проблема правоприменения. В законодательстве есть понятия про повторные и длящиеся нарушения. При повторных штрафы раз от раза возрастают. Однако утечки суды трактуют как длящееся правонарушение и дают одинаковые штрафы, мы видим это на примере «Яндекса». В то же время Twitter и Facebook получают штрафы всё больше и больше, хотя как раз у них никаких новых нарушений не происходит.
Штрафы за утечки будут, но надо определиться, с чем боремся в принципе, заключил эксперт:
«Мы не понимаем изменившейся ситуации. Теперь у нас есть физическая и цифровая личности. Что делать со второй, никто не знает. А новые технологии, такие как распознавание лиц, приводят к тому, что мы вообще находимся под постоянным наблюдением. Это другой уровень жизни. Надо менять отношение к ПД, приватности и ответственности тех, кому мы вольно или невольно доверяем свои данные».
Мадина Турсунова, Узбекистан: «В отсутствие понятных законодательных шагов ожидать прозрачности от бизнеса тоже не приходится»
В Узбекистане обязали операторов хранить данные пользователей на территории страны.
«Самыми очевидными нарушителями стали соцсети, конечно», — говорит юрист юридической клиники при Центре развития современной журналистики Мадина Турсунова.
Местный регулятор — Узкомназорат — заблокировал многие соцсети. Общественность приняла всё прохладно, но в ноябре блокировка Facebook, Instagram, Telegram вызвала бурную реакцию, в т.ч. со стороны бизнеса, который занимается маркетингом и электронной коммерцией.
«В течение двух часов соцсети разблокировали, глава регулятора лишился своей должности», — рассказала Турсунова.
Примечательно, что ранее блокировка «ВКонтакте», «Одноклассников» и Twitter такой реакции не вызвали. А TikTok и вовсе — самый злостный нарушитель, по мнению Узкомназората.
«Хотя нет данных, что остальные соцсети перестали нарушать законодательство. К слову, с точки зрения законодательства цель — регулирование трансграничной передачи. У локальных операторов нет понятия утечки, процедур по реагированию, уведомления лиц», — говорит Турсунова.
Интересный кейс случился в 2019 году, когда ввели платную регистрацию IMEI всех устройств. Выяснилось, что многие не могут зарегистрировать их, поскольку ранее их данные утекли, и те, кто занимаются серым импортом, зарегистрировали нелегальные устройства на их паспортные данные.
Это вызвало резонанс, были выявлены две преступные группы, некоторые лица получили уголовное наказание. Однако ущерб никому не возместили.
В 2023 году вступят в силу особые требования по охране генетических данных. Как они будут контролироваться, непонятно.
«Главным сборщиком данных является государство.Частных операторов не так много, понятных правил для них нет. В отсутствие понятных законодательных шагов ожидать прозрачности для бизнеса тоже не приходится», — заключила Турсунова.
Клим Омельченко, Кыргызстан: «Пока утечки неизбежны, приемлемый путь — обучение защите граждан»
Закон о защите персданных был принят в апреле 2008 года. На тот момент он отвечал всем требованиям безопасности, в том числе в контексте 108 Конвенции СЕ, считает заведующий отделом законодательной экспертизы Госагентства КР по защите персональных данных Клим Омельченко. Сейчас появились новые требования, а компании вместе с тем поняли, что информация — новая нефть:
«В век информации, не владея информацией, невозможно быть конкурентоспособными».
В агентстве было два сотрудника и директор, когда в «Яндексе» случилась утечка. Компания сказала, что не было данных граждан Кыргызстана, многие из которых теоретически могли работать в службе доставки.
«Являясь маленькой страной, Кыргызстан не может воздействовать на ИТ-гигантов. Поэтому страна выбрала путь обучения граждан. Если утечки неизбежны, то надо хотя бы образовывать людей. Если предупреждён, значит защищён».
Госагентство создало учебный центр и разработало курс повышения навыков в области кибербезопасности, как для бизнеса, так и для обычных людей. Защита от утечек — дело повышения осведомлённости граждан, считает Омельченко.
Сейчас государство также ведёт работу над концепцией закона, который будет соблюдать баланс между цифровизацией и конфиденциальностью.
Утечки данных как проблема для бизнеса
Артём Артёмов: «За 15 лет я видел только одну компанию с высоким уровнем кибербезопасности»
Эксперт по цифровой криминалистике и расследованию компьютерных инцидентов (Нидерланды), Head of DFIR Lab Group-IB Europe Артём Артёмов рассказал о том, кто крадёт данные в современном мире.
Во-первых, это хакерские группировки.
«Любая уважающая себя страна имеет киберармию», — говорит Артёмов.
Бóльшей частью они занимаются шпионажем. Такие группировки работают везде и защититься от них сложно. Доходит до того, что в одну группировку может внедриться другая.
Во-вторых, данные крадут шифровальщики. Они просят выкупы за расшифровку и непубликацию данных. В России не получили широкого распространения, потому что штрафы за публикацию данных невелики. А вот в Европе, где по GDPR компании за утечки штрафуют сильно, шифровальщики орудуют сильнее.
«Штрафы нужны, но в свою очередь они приводят к процветанию бизнеса шифровальщиков. Если компания боится публикации данные, ей легче сегодня заплатить злоумышленникам, чем завтра — государству».
В-третьих, имеют место сливы сотрудниками самих компаний.
Одно из первых мест, которые взламывают злоумышленники, — почта. Второе тонкое место — общедоступные файлы. Наконец, третье — мессенджеры.
Для защиты Артёмов рекомендует:
серьёзно относиться к паролям (один аккаунт — один пароль; использовать менеджеры паролей);
разграничивать прав доступа для сотрудников компаний;
«Если кто-то хочет украсть у вас данные, он это сделает. За 15 лет работы я видел только одну компанию, у которой кибербезопасность настроена на высоком уровне, но сотрудникам там несладко: они используют только корпоративный мессенджер, внутреннюю систему организации и так далее».
Сергей Сайган: «Важно проводить учения о том, что делать в случае утечек»
Эксперт в области privacy&tech-регулирования, руководитель практики Technology & Product консалтинговой компании Comply Сергей Сайганов рассказал о ситуации с законодательной защитой ПД в России в целом.
Так, до 2022 года:
в законе не было термина «течка ПД». Роскомнадзор пользовался формулировкой «обработка ПД, не предусмотренная законом»;
не было (да и сейчас, в общем, тоже) прямой ответственности для бизнеса.
Роскомнадзор реагировал на утечки скорее случайно, чем систематически;
бизнес предпочитал отрицать утечки, и это было самой выгодной стратегией.
2022 год — поистине год утечек персональных данных (в т.ч. из-за «спецоперации»). Государство не оставило это без внимания, и 1 сентября в закон о ПД вступили поправки об утечках (компьютерных инцидентах»). Теперь
закон обязывает операторов ПД незамедлительно (в течение 24 часов) сообщать об этом государству и в в течение 72 часов (в т.ч. в праздники и выходные) сообщать о результатах внутреннего расследования;
РКН стал вести проактивную работу: мониторить каналы об утечках и приходить к компаниям с проверкой.
«Роскомнадзор активизировался и больше не занимает выжидающую позицию, а идёт в атаку», — говорит Сайганов.
оборотные штрафы могут заработать и будут составлять от 5 млн руб. до 500 млн руб. «Это будут не единственные штрафы, могут появиться дополнительные штрафы за неуведомление Роскомнадзора»;
мораторий на проверки для ИТ-компаний, скорее всего, снимут.
Кроме того, РКН проводит закупки на системы мониторинга медиа.
Что делать?
максимизировать усилия по реальной безопасности данных;
заняться комплаенсом.
«Важно провести учения о том, кто и за что отвечает в случае утечек, как не допустить утечек и что делать, если она всё-таки произошла», — заключил эксперт и добавил, что решить проблему утечек может «только тотальная образованность».
К слову, для того чтобы повысить свой уровень киберграмотности, прокачивайтесь на сервисе «Секьюрно».
Приватность во время военных действий и глобальных катастроф
Роман Нестер о русском парадоксе приватности
Куратор магистратуры «Коммуникации, основанные на данных» НИУ ВШЭ Роман Нестер поделился промежуточными выводами эксклюзивного исследования вуза на основе 40 интервью о том, как граждане относятся к сбору данных в интернете.
Главные выводы исследования следующие:
Приватность — не исключительно коммерческий или государственный вопрос. Тема политически заряжена для большинства людей. «Она интегрирована в политико-социальный контекст общества», — заявил Нестер.
Вопросы слежки стали актуальнее. Раньше превалировал практический аспект: не важно, собирает сервис данные или нет, люди продолжали им пользоваться. Сейчас респонденты разных возрастов обращают внимание на то, собирают ли приложения данные о них, а также чаще используют Telegram, потому что он за ними «не следит».
Приватность — термин скорее для экспертов, чем для пользователей. «Для большинства людей отсутствует понятие права использовать общие пространства без слежки», — говорит эксперт.
Приватность vs безопасность.
«Интересно, что людей не так волнует, что кто-то узнает детали их частной жизни, как то, что их могут обмануть и обокрасть. Поэтому люди готовы к тому, чтобы данные защищало именно государство, несмотря на возможную слежку с его стороны», — рассказал Нестер.
Выступающий также отметил интересную деталь: в общественном дискурсе отсутствует защита граждан как категории, людям важно, чтобы их «не трогали» индивидуально, не вмешивали в политику, позволили заниматься своими делами.
Люди хотят чтобы виновные в утечках были наказаны. Граждане одобряют то, что государство забирает контроль над данными у компаний себе: новые законы, выступают зеркалом запроса общества. Хотя часть людей доверяют компаниями и желают, чтобы те участвовали в регуляции.
«Одна респондентка, не будучи экспертом, сама того не зная, предложила в этих целях модель блокчейна, при которой государство не обладает полным контролем над данными», — рассказал эксперт.
Русский парадокс приватности: с одной стороны, у людей богатое социальное воображение и запрос на уважение к их данным, с другой — выученная беспомощность, выражающаяся в невозможности защитить свои данные («они и так про нас всё собрали»).
«У людей есть запрос на прозрачные, сильные, независимые институты по защите персданных. У них есть интуитивное представление о справедливом устройстве приватности, в котором в равной степени представлены государство, общество и бизнес, у них есть гражданская субъектность», — заключил Нестер.
? Почему «Роскомсвобода» защищает право на приватность?
Артём Козлюк о том, что при отсутствии работающих институтов надо работать на уровне низовых инициатив
Со стороны государства нет запроса на защиту персональных данных граждан, в отличие от самих граждан, продолжил тему общественных интересов руководитель «Роскомсвободы» Артём Козлюк. По его мнению, утечки — следствие отсутствия надлежащего контроля и независимых институтов.
«Роскомсвобода» ещё три года назад выступала против масштабного применения камер наблюдения.
«Мы не против технологий, мы за мораторий, пока не будет общественного консенсуса по поводу их использования», — объясняет Козлюк.
Иначе в результате неправомерного применения технологии происходят:
неправомерный доступ к данным со стороны третьих лиц;
трансформация поведения.
? Кампания против распознавания лиц
«Проблема то не только не находит понимания у властей, но всё больше и больше развивается. Мы видим программу «Умный город» в Москве и Санкт-Петербурге, которую потом экстраполируют на всю страну», — считает Козлюк.
Он также напомнил, что аналитики из DLBI подсчитали, что за прошлый год могли утечь данные, эквивалентные информации о 75% России.
«Проблема зашла в каждый дом. Надо повышать грамотность, чтобы тезис «мне нечего» скрывать исчез из повестки. А общественные организации должны объяснять, что подвергая риску свои данные, подвергаешь риску и людей, с контактируешь», — убеждён эксперт.
? «Мне нечего скрывать», или зачем защищать персональные данные?
Таким образом, общественные организации должны проводить юридическую и просветительскую работу.
«Несмотря на текущую политическую ситуацию, мы всё ещё можем помогать пользователям защищать их права. К сожалению, общественным организациям заходить к государству очень-очень тяжело. Я, например, нахожусь в комитете по информационной политике, информационным технологиям и связи Госдумы, нам присылают готовящиеся законопроекты, мы аргументированно пишем на них отзывы, показываем все пробелы, но наше мнение оказывается на дальней полочке. Даже «спасибо» уже не пишут, хотя мнение ещё зачем-то спрашивают. Поэтому давайте работать снизу, давайте работать с людьми», — резюмировал спикер.
Иван Бегтин о трендах в области приватности и открытости данных
Директор АНО «Информационная культура» Иван Бегтин не согласился с тезисом, что просвещение сейчас может кому-то помочь.
«Государство действует против гражданских активистов не государственными, а военными методами. Сначала оно будет признавать их «иноагентами», потом нежелательными, а затем станет обвинять в госизмене тех, кто будет продвигать обсуждаемую повестку сильнее, чем государство сейчас это допускает. При этом степень допуска непонятна, ужесточения ежедневны, — заявил он.
По словам эксперта, утечки — большой риск для пользователей. Но хакеры нападают на гражданские объекты, такие как «Яндекс», «Авито», «Почта России». Поэтому государство может использовать нарратив, что эти компании — жертвы, так что компенсации пользователям ждать не стоит.
Политика государства сейчас заключается в максимальной поддержке IT-сектора. Государство не только не снизило расходы на него, но, наоборот, увеличило, несмотря на все проблемы с экономикой.
«Бизнес IT-компаний не изменился. Даже те организации, у кого были контракты не по профильным темам, не пострадали. Почти все технологические компании приходят с утверждением, что при закручивании гаек мы, во-первых, не сможем импортозаместиться, во-вторых, просто уйдем из России. Те, кто могут, уходят, те, кто нет, грозят сворачиванием бизнеса. А государству крайне важно показывать, что будто ничего не происходит», — рассказал эксперт.
Утечки приводят к усилению регулятора, а тот предельно циничен: если может воздействовать на бизнес в своих целях, он воздействует, продолжил Бегтин. Гражданское возмущение — способ влиять на бизнес. Кроме того, бизнес становится прогосударственным, поэтому государство станет вставать на сторону корпораций.
Таким образом, эксперт не видит, что что-то может измениться. «Впрочем, может быть, низовое движение поможет», — говорит он.
Из других проблем он отметил то, что страна идёт в сторону закрытости. Ранее Россия была одной из самых открытых стран (госконтракты, юрлица), сейчас всё переходит в плоскость пиара, например, бюджетные организации ведут соцсети и таким образом якобы демонстрируют открытость.
? Открытые данные. Открытые кем, кому и почему
Другая проблема — игнорирование приватности компаниями. Анализ «Информационной культуры» мобильных приложений в RuStore ранее показал, что в RuStore для разработчиков нет обязательств по соблюдению приватности и практике раскрытия кода.
? «Инфокультура» исследовала приватность мобильных приложений в RuStore
Ещё одна проблема — идея национального удостоверяющего центра.
«Это крайне опасная штука, поскольку позволяет подменять сертификаты незаметно для пользователей. Следует противодействовать ей во всех формах: не использовать на рабочих устройствах; купить отдельную машину, если придётся устанавливать сертификат. Иначе это приведет к контролю государства за конечными устройствами пользователей», — заключил эксперт.
Напомним, в ноябре 2022 года в Госдуму был внесён законопроект о создании информационной системы национального удостоверяющего центра.
?Можно ли доверять национальным TLS-сертификатам?
Актуальные кейсы и новые практики
Ксения Бакина о мониторинге соцсетей со стороны государства и компаний
Специалист по правовым вопросам британской правозащитной организации Privacy International (PI) Ксения Бакина выступила с докладом на тему мониторинга социальных сетей со стороны государства и частных компаний.
«Соцсети играют важную роль. Это то место, где люди формируют и высказывают свои идеи, выражают несогласие, разоблачают коррупцию и организуют акции протеста», — начала эксперт.
В качестве примера она рассказала про полицию Великобритании, которая часто использует соцсети для прогнозирования поведения людей и наблюдения за протестами. PI направила в полицию 250 запросов в соответствии с местным Законом о свободе информации в разные регионы. По итогам выяснилось, что
60% местных органов мониторят соцсети;
мониторинг применяли не только для отслеживания протестных настроений, но и при выплатах пособий, и даже предоставлении услуг для детей;
информацию использовали даже для обвинения в мошенничестве и отказе срочной помощи людям в условиях крайней нищеты;
мониторинг проводился бесконтрольно;
проверка эффективности мониторинга отсутствовала;
у госорганов нет инструментов для аудита этого мониторинга;
если у пользователей нет настроек конфиденциальности, данные собираются легко.
«Но права человека не зависят от конфиденциальных настроек», — подчеркнула эксперт.
? Как удалить информацию о себе из соцсетей
Для того чтобы противодействовать произвольному мониторингу, PI вмешалась в дело Салмана Батт против Великобритании в ЕСПЧ. Это дело касается сбора персональных данных упомянутого человека и его объявления экстремистом. Информация о нём была получена из разных источников, в том числе из Facebook и Twitter.
PI утверждала, что:
мониторинг — серьёзное вмешательство в частную жизнь;
использование соцсетей в подобных целях выходит за рамки ожиданий людей;
мониторинг должен регулироваться предсказуемыми законами и содержать ряд строгих гарантий.
На данный момент дело ещё не рассмотрено в ЕСПЧ.
Другой кейс — деятельность Clearview AI, занимающейся сбором изображением лиц людей в интернете. В компании сообщали о базе в два млрд лиц из «Вконтакте» и базе в 10 млрд лиц по всему миру. Организация продаёт доступ к этим изображениям полиции и другим частным компаниям.
«База данных в руках полиции позволяет группировать людей по разным признакам и открывать двери для дискриминационного отслеживания», — пояснила проблему Бакина.
27 мая 2021 года PI подала жалобы в органы по защите ПД во Франции и Великобритании. Она также помогла подать аналогичные жалобы партнёрам в Италии, Греции и Австрии.
В этих жалобах утверждалось о том, что для сбора нет оснований и такой сбор незаконен. В итоге в Италии, Греции и Франции компанию оштрафовали на 20 млн евро в каждой стране и приказали прекратить обработку. В Великобритании штраф составил 7,5 млн фунтов стерлингов. В Австрия решение ещё ожидается.
? Clearview AI предлагала полиции по всему миру бесплатно тестировать свою систему распознавания лиц
В марте Clearview AI предложила Украине технологии наблюдения.
«Мы обеспокоены этим, потому что люди в Украине находятся в наиболее уязвимом положении. Предлагать использование противоречивых технологий в такой ситуации — совершенно безответственно», — заявила эксперт.
По её словам, в контексте военных действий возможно, что, например, гражданских лиц могут принять за солдат, что приведёт к ужасным последствиям. Гарантий защиты персданных компания не даёт в принципе, во время военных действий они исчезают полностью.
«Мы призвали отозвать предложение, но нам не ответили. Для подобных компаний, конечно, ни одна человеческая трагедия не является запретной», — заключила Бакина.