BIS Journal №3(42)/2021

3 августа, 2021

«От бумажной отчётности к латанию дыр, через которые течёт»

Проблема больших данных не только в том, что это данные о людях или организациях, но и в том, что на их основе можно генерировать новые данные и знания, наличие которых изначально не предполагалось.

Два примера. Первый – как американская торговая сеть сделала специальное предложение старшекласснице – в виде набора для беременных. Получился скандал, руководство магазина извинялось перед родителями девочки, мол, искусственный интеллект, анализируя данные, сделал ошибку. А потом оказалось, что система всё верно спрогнозировала, только семья была не в курсе насчёт юной особы.

Другой пример – когда частная британская компания Cambridge Analitica использовала Facebook для глубоко таргетированной рекламы. Около 300 тыс. пользователей получили от Cambridge Analytica денежное вознаграждение за прохождение психологического теста. Затем компания использовала результаты этого теста вместе с лайками и личными данными этих пользователей, а также их друзей, для генерации и запуска высокоперсонализированной политической рекламы. И во многом благодаря именно ей Дональд Трамп победил на президентских выборах.

При этом данные собирались в соответствии с политикой Facebook, с помощью API Facebook, без какого-либо несанкционированного доступа или взлома. Но оказалось, что век ИИ принёс с собой новый вызов: набор данных, которые не считаются конфиденциальными, может генерировать чувствительные, а порой и вредные новые знания. И к такому не готово ни общество, ни индустрия информационной безопасности.

Ведь индустрия ИБ привыкла иметь дело с классическими угрозами, а в описанных случаях речь идёт о другом – о том, как используются большие данные.

Когда мы говорим, что интернет-поисковики собирают большие данные, чтобы показывать нам таргетированную рекламу товаров, это приемлемо и зачастую даже удобно: экономит силы, время и т. д. Настоящей проблемой это становится, когда большие данные используются для целей, идущих вразрез, скажем, с нашими ожиданиями, общепринятой моралью и т. п. Отсюда вопрос: кто и как будет контролировать варианты и способы применения персональных данных? И этот вопрос до сих пор открыт.

Идеи, что, мол, персональные данные граждан страны должны храниться внутри этой страны, не дают ответа на поставленный вопрос. Необходимо выработать кодекс, помогающий различать, что такое хорошо и что такое плохо.

Первый шажок в этом направлении сделали наш российский закон 152-ФЗ и европейский GDPR: в них заявляется, что персональные данные должны обрабатываться только для тех целей, ради которых они собирались. Легко видеть, что в случае Cambridge Analytica это требование не соблюдалось, но Цукербергу повезло – на момент скандала сегодняшние нормы GDPR ещё не действовали. А они гораздо более жёсткие, чем российские. Так, если у нас всё сводится к «галочке» — явному разрешению самого человека передавать персональные данные третьим лицам, то в GDPR прописана концепция Data Privacy Officer. Она подразумевает, что в каждой организации должен быть менеджер, ответственный за приватность пользовательских данных.

По сути, этот человек представляет в компании интересы регулятора и несёт личную ответственность, в том числе и материальную, за нарушения в сфере персональных данных. Например, если в компании происходит утечка данных, он обязан отчитаться о случившемся перед регулятором и, возможно, после расследования, на него будет наложен штраф.

GDPR, на мой взгляд, самое прогрессивное регулирование. Правда, оно затрагивает только те организации, которые обрабатывают личную информацию жителей ЕС. Можно ожидать, что законодатели других стран скоро пройдут тот же путь в своём законотворчестве. Почему?

Анонимность не пройдёт – это уже понятно. Вспомните, насколько популярна во всём мире концепция Know Your Customers («Знай своего клиента»). Для российских банков, кстати, с точки зрения управления киберрисками решения KYC входят в состав обязательных. Да и другие компании постоянно проводят Due Diligence, изучая своих клиентов.

Запретить компаниям собирать и обрабатывать ПД клиентов тоже вряд ли получится. Заставить компании размещать клиентскую базу на сторонней площадке и получать к ней удалённый доступ? Тоже нет: кто откажется от хранения очень ценных данных – о клиентах – под своим контролем?

Пожалуй, более реально запретить компаниям передавать данные клиентов. Вернее, делать это не напрямую, а через доверенного посредника. Скажем, человек регистрируется на некотором ресурсе, типа портала госуслуг, и там получает идентификатор, который затем использует в различных операциях. С одной стороны, есть взаимно однозначное соответствие между идентификатором и физлицом. С другой —  сторонним компаниям реальные сведения будут недоступны.

Для банковских задач класса KYC это может оказаться хорошим решением, ведь они затрачивают много сил и средств на реализацию процедур Know Your Customers. Правда, есть существенный минус: ответственность размазана. Скажем, открыли счёт новому клиенту, а позже выяснилось, что этого не стоило делать. С кого спрашивать? С сервиса обработки персональных данных? С него взятки гладки, да и сама кредитная организация, тоже вроде бы не имеет отношения к исходным клиентским данным... Кроме того, такой метод «сокрытия» данных всё равно не позволит полностью решить поставленную проблему, Ведь всё равно компании будет известен профиль клиента, и этого вполне достаточно для многих задач. Более того, на основании профиля нетрудно вычислить и недостающие данные.

Остаётся только снижать риски неправомерного использования персональных данных. С точки зрения концепции защиты ПД, это означает, что к традиционным аспектам защиты информации – конфиденциальность, целостность, доступность – нужно добавить ещё один – целеполагание. В этом случае модель защиты персональных данных будет охватывать риск злоупотребления данными, который появился благодаря развитию технологий искусственного интеллекта и обработки больших данных.

На практическом уровне появляется много вопросов, и все они весьма сложные. Поэтому движение в эту сторону будет постепенным, мелкими шажочками и, конечно, гораздо более медленным, чем скорость развития самих технологий обработки больших данных.

Пример такого актуального шажочка — история с массовыми утечками ПД из банков и компаний связи. Сформировалась целая индустрия мошеннических кол-центров. Их коммерческий успех основан на халатном отношении организаций к защите своей информации. А подвигает их на такое отношение смешное наказание за нарушение закона о персональных данных: кого смотивирует штраф в 150 тыс. руб. на создание команды специалистов по защите? В англоязычных новостях то и дело выскакивают заголовки: очередной банк оштрафован за утечку персональных данных на десятки (а порой сотни) миллионов долларов. Наше непозволительно мягкое законодательство в этой области – болевая точка № 1.

Отсутствие ответственности самой организации за утечки – проблема № 2. У нас тоже бывают утечки, и большие, и даже в самых крупных банках. Однако наказание несут обычно рядовые сотрудники, и масштаб наказания – соответствующий. У банков просто нет стимулов превентивно заниматься этой задачей. И это проблема № 3. Нужно от методических рекомендаций и тесно связанной с ними «бумажной безопасности» переходить к практическому залатыванию дыр, через которые утекают данные.

По большому счёту, понятие утечек данных должно стать понятием законодательства. Согласно западному законодательству, штрафуют именно за утечки данных. Эта практика напоминает надзорную работу с экологическими нарушениями: если компания загрязнила окружающую среду, она должна заплатить штраф, а размер штрафа должен быть соразмерен и с нанесённым ущербом, и с тем, какие усилия компания предпринимала для защиты от инцидентов такого рода.

Список проблем-«шажков» можно продолжить. И вряд ли он в обозримом будущем будет исчерпан. Это новая реальность – новая промышленная революция, и в ней надо учиться жить.

Смотрите также