Security Week 19: великий и ужасный GDPR

Security Week 19: великий и ужасный GDPR
 
Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.

Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). «День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Пока скорее нет, чем да, но есть и позитивные примеры.

Что может пойти не так?
Да все что угодно! Разработчик плагина для блокировки рекламы в вебе Ghostery успешно расстрелял себе обе ноги, отправив сообщение о GDPR 500 пользователям, причем адрес каждого из них был открытым текстом записан в поле To.

f069bfbf8c93d5d498b09017106bd9bf.png
Напомню, основным принципом GDPR является не столько ответственная обработка персональных данных, сколько ответственное их хранение, причем особо оговаривается, что данные НЕ должны лежать в открытом виде. Или рассылаться всем клиентам.

5362dabe888a76ec3b5f81760611a148.png
Большая часть корпоративных сообщений по поводу GDPR действительно больше похожа на прикрытие, так сказать, юридических тылов, нежели на попытки чуть более активно следовать духу закона. Предположу, что наибольшие проблемы новое законодательство принесло малому и среднему бизнесу, так или иначе подпадающему под действие европейских правил. Например, сервис klout прекратил работу, видимо, решив, что проще так, чем пытаться привести всю инфраструктуру в соответствие с новым законодательством. Сайт газеты Los Angeles Times всем посетителям из Европы показывает вот такую заглушку:

Американское National Public Radio европейцев не отфутболивает, но показывает полностью текстовую версию сайта, лишенную всякого рекламного кода и вызывающую даже приятные ностальгические чувства. По аналогичным причинам временно закрыт для Европы сервис Instapaper.

6f2cd9a2078440a7d2c7fb1d5be65647.png
Газета USA Today сделала для жителей Европы отдельную версию сайта, где главная страница с идентичным контентом занимает в 10 раз меньше места! Честнее всего поступило издание Politico , демонстрирующее полный список компаний, собирающих информацию о посетителях сайта, с возможностью отключить каждого провайдера или всех скопом. В списке компаний, профилирующих пользователя для показа рекламы, — несколько десятков вендоров.

А что насчет крупных компаний? С одной стороны, такие монстры, как Google и Facebook, имеют функциональность, отвечающую требованиям GDPR, уже довольно давно: в обоих случаях вы можете выгрузить абсолютно всю информацию, которую крупный интернет-сервис про вас «знает». С другой, нельзя сказать, что методы сбора и обработки информации стали намного прозрачнее. В первый же день работы GDPR австрийский борец за приватность Макс Шремс подал пусть и символические, но многомиллиардные иски к Facebook (в отношении Whatsapp и Instagram) и Google (по части Android). Основная претензия: сетевые гиганты вынуждают пользователей принимать все условия обработки информации скопом: или соглашайся, или лишишься доступа к сервису. Теоретически GDPR как раз должен предоставлять право более детального выбора.

В общем, 25 мая тема GDPR не закончилась, а, скорее, только началась. Насколько эффективным будет законодательство, сможет ли оно остановить этот «мир дикого Запада» в отношении пользовательских данных и привести рынок информации к цивилизованному виду? Что насчет спамеров, фишеров и прочих киберпреступников, не связанных никаким законодательством? Посмотрим. Практика применения закона, инциденты с наказанием невиновных и награждением непричастных это покажут. В техническом мире хотелось бы, конечно, увидеть техническое же решение проблемы. Но увы, пока крупнейшие игроки на рынке IT скорее НЕ заинтересованы в строгом соблюдении прав пользователей, просто потому что это дешевле и выгоднее. Законодательство с более жесткими требованиями приватности в этом контексте точно не помешает.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться