Posted 2 июня 2021, 15:18
Published 2 июня 2021, 15:18
Modified 30 марта, 09:46
Updated 30 марта, 09:46
Что знают о нас приложения в наших смартфонах, когда включает прослушку «товарищ майор» и где берут персональные данные мошенники? На эти и другие вопросы «Росбалту» ответил ведущий специалист в России по Big Data (обработке «больших данных»), генеральный директор Tazeros Global Systems Артур Хачуян.
— Кто собирает о нас больше всего данных: сотовые операторы, социальные сети, браузеры, банковские приложения?
— Из тех, что вы перечислили, больше всего данных собирают мобильные операторы и банки. Ну, таких чувствительных данных: паспорт, геоперемещения, денежные транзакции. Если речь идет о данных, которые описывают наше настроение, поведение, кто мы, чем мы интересуемся, тогда, конечно, социальные сети.
Важно понимать, что в объеме, в гигабайтах, социальные сети собирают больше, но с точки зрения чувствительности, это, в основном, ерунда, которая никак на нашу жизнь не повлияет, если куда-то утечет.
— Давайте теперь по порядку. Что про нас знают сотовые операторы?
— Все данные, которые у них есть, можно разделить на прямые и косвенные. Прямые — это те данные, которые мы даем им сами: паспорт, место жительства. Кроме того, с помощью геолокации они могут отслеживать наши перемещения по стране и за ее пределами. Но есть еще косвенная информация, которую могут получить операторы, анализируя две вещи: смс и мобильный трафик. Они могут видеть сообщения, которые приходят нам на телефон, в том числе от банков — сколько денег списали, сколько осталось. Сам текст сообщений, которые проходят через мобильного оператора, не зашифрован. Мобильные операторы его видят. То есть, они могут доставать эти данные из смс и использовать для рекламной сегментации. Также они знают, какие сайты мы посещаем.
— Получается, сотовые операторы знают о нас все то же, что и браузеры, если интернет трафик тоже мониторят?
— Да. Но если мы посещаем сайты, адрес которых начинается не с http://, а с https:// (расширение протокола HTTP для поддержки шифрования в целях повышения безопасности, — «Росбалт»), то ни мобильный провайдер, ни сам браузер не видят, что мы там делаем. Они фиксируют сам факт посещения какого-то ресурса, но не знают, что происходит дальше. Ровно поэтому профессиональное сообщество так долго смеялось над «пакетом Яровой» и поправками в закон «О связи». Мы сейчас в огромных массивах собираем этот трафик, провайдеры обязаны хранить весь объем данных за последние шесть месяцев. А использовать это никак нельзя.
— То есть они просто не видят информации, которую собирают?
— Все верно, она зашифрована.
— Если мы платим за связь банковской картой и даже привязываем ее личному кабинету для оплаты мобильной связи, получается, сотовые операторы получают о нас и эти данные?
— Да, они могут видеть номер карты. Но они же не знают, сколько у нас там денег.
— Сколько у нас там денег и куда мы их тратим, знают банки. Так же, как и сотовые операторы, они знают наши паспортные данные, знают о наших перемещениях по городу и за его пределами. Что еще?
— Еще они могут собирать о нас дополнительную информацию, которую получают из чеков. Сколько раз в неделю мы покупали шампанское или водку, в каком магазине, как далеко этот магазин находится от дома и всегда ли — один и тот же. Есть много всевозможных дополнительных метрик, которые можно получить косвенным путем, например, методом текстового анализа.
Кроме того, банки любят закупать информацию о клиентах из дополнительных источников. Микрофинансовые организации часто при одобрении заявки на кредит покупают у мобильных операторов данные о регистрации сим-карты. Это одна из самых популярных метрик, по которой можно определить кредитоспособность человека. Если симка оформлена несколько дней назад, велика вероятность, что завтра он ее выбросит и концы в воду. При этом, если человек пользуется этим номером годами, он выглядит благонадежным.
— Вы сказали, что соцсети собирают о нас совсем другую информацию. Что интересует их?
— Социальные сети обрабатывают информацию, которая есть внутри самих сетей: какой контент мы потребляем, на что ставим лайки, кому пишем комментарии, по каким темам. Кроме этого, есть еще косвенные параметры, которые соцсети тоже могут вытащить: геолокация, ключевые слова, которые мы вводим при поиске.
Все современные телефоны в список данных о фотографии вставляют геолокацию — где она была сделана. Когда вы загружаете фото в социальные сети, эта информация у них остается. При этом, если кто-то скачает эту фотографию, там уже этих данных не будет.
— То есть никто другой не сможет получить информацию о том, где была сделана фотография, но соцсеть будет знать?
— Да. Это один из сотни примеров того, какие дополнительные параметры социальные сети о нас получают. Например, условная соцсеть делает кешбек. Чтобы его получить, нужно отсканировать QR-коды со своих чеков. Это же не просто так делается, а для того, чтобы соцсеть смогла привязать ваш рекламный идентификатор к чекам.
— Значит, пока мы радуемся тому, как удобно и просто можно получить небольшой бонус, компании собирают о нас данные, чтобы потом их продать маркетологам?
— Конечно. Но и нам как пользователям тоже удобно, когда мы заходим в один сервис, а там подтягивается вся информация о нас, и нам не нужно ничего дополнительно вводить.
— Меня, например, пугает, когда я захожу впервые на сайт, а там уже есть данные о моей карте.
— Конкретно этот пример объясняется просто: вашу карту запоминает ваш браузер. Ее номер хранится только на вашем компьютере и никуда не передается.
Но одно дело, когда вы запоминаете карту внутри браузера, другое — когда привязываете ее к интернет-магазину. Тогда и магазин будет знать эту карту. Конечно, деньги с нее никто не спишет, если только его не взломают.
— Вернемся к социальным сетям. Когда я ставлю лайк или пишу комментарий к посту, я совершаю какое-то активное действие, которое соцсеть запоминает и анализирует. Если же я просто открываю какую-то публикацию, но не лайкаю, или задерживаюсь взглядом на каком-то посте, соцсеть и это считывает?
— Конечно. Вы можете даже не лайкать посты, но если вы их читаете, социальные сети тоже будут знать, что их содержимое находится в сфере ваших интересов.
— А что насчет того, что социальные сети нас подслушивают? Мы как-то с друзьями вслух обсуждали покупку лыж, и через полчаса Facebook уже предлагал нам рекламу. Как это возможно?
— Если вы просто поговорили о чем-то с включенным телефоном, это невозможно. Скорее всего, это такой эффект цифрового дежавю. Вы сосредоточились на какой-то определенной теме и обратили внимание на рекламу. Но вполне возможно, что вам и раньше такую рекламу показывали, вы просто не замечали. То, что вы описываете, доказывает, что рекомендательные алгоритмы работают хорошо. Они проанализировали всю вашу активность и поняли, в какой момент вам показать эту рекламу.
Вот если вы пишете о чем-то в личных сообщениях в социальных сетях или говорите с голосовым помощником, тогда да, социальные сети могут использовать эту информацию для анализа. Что же касается «прослушки» через телефон, который во время разговора просто лежал рядом, это все неправда.
— То есть пока нас не «слушают»?
— Социальным сетям просто невыгодно это делать. Стоимость рекламы, которую вам покажут, — три копейки, а потоковое распознавание речи в режиме нон-стоп на всех телефонах будет стоить им сотни тысяч.
Технологически такая возможность есть только у разработчиков мобильных устройств. Например, у Apple. Но они так никогда делать не будут, потому что безопасность у них стоит на первом месте. Если кто-то докажет, что Apple в реальном времени подключена к чьему-то микрофону, это будет концом для компании.
— Данные, которые собирают о нас разные приложения, потом как-то аккумулируются? Есть агрегаторы?
— На рынке есть компании, которые агрегируют какую-то информацию. Но единой организации, которая знает все про всех, нет. Например, у меня есть куча разных источников информации, но у меня нет прямого потока финансовых транзакций, которые есть в Росфинмониторинге. А у того же Росфинмониторинга нет данных веб-аналитики, которые есть у меня.
Единого хранилища данных обо всех нет и никогда не будет, потому что никто не хочет делиться информацией, на которой он зарабатывает деньги, с другими. Сейчас государство хочет сделать единый национальный реестр данных, но это все ерунда. Ничего у них не получится. Частные компании не обязаны будут сдавать в этот реестр свою информацию.
— Вы сказали, что микрофинансовые организации, прежде чем одобрить кредит, покупают данные у сотовых операторов. Как они это оформляют? Это вообще законно?
— Да, это абсолютно законная сделка. Вы же, когда приходите к мобильному оператору, подписываете соглашение о том, что он имеет право пользоваться вашими данными. Так что в этом нет ничего такого.
— Кто еще продает данные о нас, кому, на каких условиях?
— Любой сервис имеет право делать то, что указал в своей политике конфиденциальности. Например, мы получили предписание сидеть в карантине в период коронавируса, скачали приложение от департамента информационных технологий. В соглашении прописано, что они имеют право показывать нам рекламу. Значит, департамент возьмет наш номер телефона, загрузит его в myTarget, «Яндекс», ВК или еще куда-то, и мы будем видеть рекламу.
В рамках пользовательского соглашения делиться информацией приложения могут с кем угодно, кто к ним придет: цветочный ларек, бургерная. Более того, сам цветочный ларек, если мы там что-то купим и оставим свои контакты, потом может как-то с нами взаимодействовать и показывать нам рекламу. Это нормальная практика. Во все цены товаров это заложено: то есть мы платим не 100 рублей, а 60, но с условием, что компания потом еще 60 рублей заработает на наших данных.
— Правильно я понимаю, что соцсети, например, не продают наши данные в чистом виде, они продают рекламу, основанную на этих данных?
— Данные можно продать один раз, поэтому, конечно, они этого не делают. Но у социальной сети есть свои рекламные платформы. Любой желающий со своей клиентской базой может прийти в эту рекламную платформу, загрузить туда номера телефонов всех людей, которые у них что-нибудь покупали, и после этого им всем показать рекламу какой-то акции, например. Соцсеть в таком случае заработает на том, что объединит эти номера телефонов с аккаунтами в социальных сетях. Несмотря на то, что номер телефона публично может быть не указан, пользователи вводят его при регистрации, поэтому такие данные у социальных сетей есть.
— Вы говорите, что в базах данных, которые о нас собирают, имена и фамилии часто заменяют цифровые идентификаторы. Как это выглядит? Насколько реально обезличены наши данные?
— Обезличенную информацию публикует условный Минздрав. Например, он дает статистику о том, в каком городе какой процент онкозаболеваний выявляется. То есть мы видим данные не о конкретных людях, а о неких группах и пропорциях. Но если мы идем в Даркнет и покупаем там слитую базу ГИБДД, тогда это будет уже не обезличенная информация. Поэтому все зависит от того, где и какие данные мы берем.
— Если я захожу на сайт, что-то там смотрю и выхожу, не оставляя никаких данных, что этот сайт будет обо мне знать?
— Этот сайт может поставить себе пиксель веб-аналитики, например, пиксель ретаргетинга ВКонтакте или Facebook. Если вы заходите на сайт, будучи авторизованными в ВК, он идентифицирует вас с вашим профилем в этой социальной сети. При этом владелец сайта не видит, кто вы. Он видит лишь, что на его сайт зашли сто человек, у которых есть аккаунт в ВК. Потом он может обратиться в ВК, посмотреть, что это были за люди и, соответственно, показать им свою рекламу.
То есть внутри веб-аналитики идентификаторы обезличены. Хотя есть сервисы, как, например, WantResult, которые сотрудничают с мобильными операторами. Когда вы заходите на сайт, они присваивают вам специальный идентификатор, а дальше мобильный оператор в привязке к этому идентификатору потом отдает им ваш номер. Зашли на сайт, ничего не нажимали, а у владельца сайта уже есть ваш телефон.
— Примерно так это работает, когда я захожу на сайт недвижимости просто посмотреть квартиры и выхожу, не оставив там никаких своих данных, а на следующий день мне звонят из этой компании и говорят: вот, вы нашими квартирами интересовались.
— Да, здесь действует ровно та схема, которую я описал.
— Сотовые операторы отдают эти данные совершенно легально?
— Ну, скажем так, сейчас этот вопрос находится в серой зоне. У нас есть закон, который подразумевает, что все данные, которые мы передаем мобильному оператору, должны быть покрыты тайной связи. Но мобильному оператору нужно же как-то зарабатывать, поэтому он дает нам пользовательское соглашение, где мы сами разрешаем ему эту информацию о себе использовать. Насколько это законно, сказать сложно. Нужно спрашивать у юристов.
— Откуда берут наши данные банковские мошенники?
— Как правило, это украденные данные самих банков или каких-то сторонних сервисов. Например, в интернет-магазине вы привязали свою карточку с именем и фамилией, и вот вам уже звонят якобы из банка, называют вас по имени отчеству.
— Сейчас банки хотят разрешить россиянам снимать деньги с чужих банковских карт по QR-коду. Насколько это упростит жизнь преступникам?
— Как и с введением онлайн-переводов по номеру телефона, с одной стороны, это упростит жизнь мошенникам, с другой, всем нам. Здесь все зависит от человека. Если мне позвонит сотрудник банка и попросит прислать QR-код, я просто брошу трубку и перезвоню в банк. Это самое главное элементарное правило, которым мало кто, к сожалению, пользуется.
— Мне, кстати, часто звонят мошенники, представляясь сотрудниками банков, услугами которых я никогда не пользовалась. Что это: расчет на дурака или ошибка данных?
— То, что о вас знают мошенники, зависит от того, какую базу они получили. Если это слитая база банка, то они могут знать номер вашей карты или данные о каких-то операциях. Если это база данных магазина, могут назвать, например, ваш адрес.
Но чаще всего бывает, что они просто купили базу с номерами телефонов и звонят вслепую. Поскольку статистически 9 из 10 россиян имеют счет в Сбербанке, то проще всего представляться сотрудником именно этого банка.
Мне тоже недавно звонили якобы из Сбера. У меня нет там счета, я был на сто процентов уверен, что моим деньгам ничего не угрожает, и 40 минут парил им мозги: «Да-да-да, сейчас. Вот код из смс. Как неправильный? Давайте я еще раз попробую». После такого разговора они, скорее всего, пометят в своей базе, что по этому номеру звонить бесполезно.
— Какую роль в сборе данных играют дисконтные карты?
— Чаще всего в крупных сетях скидочные карты выдают для получения дополнительной информации о вас. Нельзя же просто так взять карту. Ее нужно активировать, ввести свой номер телефона. Дальше к этому номеру как к вашему идентификатору будут привязывать ваши покупки. Приходит к ним бренд Mars и говорит: мне нужны все, кто покупает мои шоколадки пять раз в неделю. Торговая сеть выгружает этот сегмент в условный myTarget, а клиент платит деньги за показ рекламы своей аудитории. Деньги получает Mail.ru и отчисляет часть торговой сети, которая предоставила базу. Абсолютно честный рынок. Там нет никаких персональных данных, никаких имен и фамилий. Просто идентификаторы, к которым привязано то, что люди потребляют.
— Кто еще собирает о нас данные?
— Есть три категории: сами операторы данных, частные компании вроде моей, которые занимаются сбором открытых данных, и государство.
— Насколько правдивы истории о том, что после определенных кодовых слов автоматически включается прослушка?
— Все разговоры о том, что, если сказать: «Путин. Бомба. Революция», начнется запись, — полный бред. Не начнется.
Кстати, я лично ничего плохого не вижу в том, что государство в рамках безопасности собирает о нас данные. Проблема в другом: в злоупотреблении доступом к подобным системам и в том, что, как правило, потом вся эта информация оказывается в открытом доступе. К примеру, делают у нас электронное голосование, и через шесть-восемь месяцев в Даркнете можно купить базу паспортов. И такое происходит постоянно. Огромное количество исследователей в области безопасности покупали видеозаписи московской системы видеонаблюдения, по 5-15 тысяч рублей брали у мобильных операторов распечатки звонков, сведения о геоперемещениях, о переписке. Вот это проблема, и с ней у нас бороться не хотят.
Я не против создания единой системы хранения данных. Проблема в другом: я знаю, что грамотно ее не сделают, и в итоге все данные окажутся в Сети.
— За оппозицией реально следят? После последних митингов, например, появилось много вопросов по городским камерам и распознаванию лиц. Это все правда?
— Распознавание лиц в Москве существует, его используют, и проследить за вами с митинга до дома можно. Но дальше все сильно зависит от людей. Например, я сходил на митинг, меня отследили до дома. Ну ты попробуй мне что-нибудь предъявить? Меня с работы уволят? Да я засужу всех, включая Путина. Другое дело — какая-нибудь учительница. Ей скажут — пиши заявление по собственному желанию, она и напишет. В этом проблемы больше, нежели в применении системы распознавания лиц.
Я к чему веду? Технологии нейтральны. Если государству нужно будет кого-то изжить со свету, оно это сделает. Неважно, с помощью системы распознавания лиц или старый добрый кокаин подбросят. Да, с помощью технологий это можно сделать быстро, массово. Но важны именно управленческие решения, которые государство принимает.
— На Западе к сбору данных относятся как-то иначе? Или там тоже подписал пользовательское соглашение, на все согласился, и дальше уже не понимаешь, какие данные о тебе уходят и в каком направлении?
— Что касается законов о сборе данных, все везде примерно одинаково. В Европе чуть строже, чем у нас. Совсем строго в Калифорнии. Но в рамках данных пользователями разрешений компании могут делать с информацией, что хотят.
С другой стороны, европейское законодательство намного более строгое в плане тех преференций, которые может получить гражданин в случае жалобы. Главное отличие европейского законодательства от нашего ФЗ-152 в том, что у нас защищаются данные, в Европе — права людей.
Беседовала Анна Семенец